影子AI正在吞噬你的數據邊界：企業如何管控不可見的AI使用風險？

過去兩年里，企業面臨的最大變化，不是“AI能做什么”，而是AI正在以“不可見”的方式進入你的數據通道：員工自帶工具（BYOAI）、SaaS內嵌AI助手默認啟用、OAuth/插件一鍵授權、以及以MCP為代表的“Agent連接協議”把模型直接接到企業系統后端。

微軟與LinkedIn在《Work Trend Index》中指出，78%的AI用戶會把自帶AI工具帶到工作中，這意味著大量AI使用天然繞開審批與審計。 另一方面，Netskope《Cloud and Threat Report: 2026》給出更“安全視角”的事實：影子AI（個人/非托管賬號）仍占生成式AI用戶的47%，平均組織每月可見約223起向AI應用發送敏感數據的違規事件。

因此，AI應用爆發式增長帶來了一個嚴峻挑戰：如何發現和管理員工在未經審批的情況下使用的"影子AI"工具？

先給結論：影子AI治理的“三步走”

• 第一步：發現（Map）——建立“AI資產清單”，覆蓋應用、賬號、集成、嵌入式AI、MCP/Agent連接與用戶活動。

• 第二步：分級（Measure）——用統一的風險評分把“該封/該納管/該引導/該放行”說清楚。

• 第三步：管控（Manage + Govern）——把處置動作固化為流程（撤權、阻斷、準入、替代方案、培訓與復盤），形成閉環。

以下通過10個方面來說明如何在發現影子AI的基礎上實施有效的AI治理。

1

什么是影子AI?

影子AI指的是員工在沒有經過IT部門正式審批流程的情況下，自行試用和采用的AI應用及功能。這些工具可能包括豆包、通義、元寶等聊天機器人，也包括嵌入在現有SaaS工具中的AI功能。

與傳統的網絡資產發現不同，AI資產清單需要捕獲的是第三方AI應用、用戶賬戶、跨應用集成、模型上下文協議(MCP)連接，以及AI供應鏈依賴關系等信息。

2

為什么說“影子AI正在吞噬數據邊界”？

你過去構建的數據邊界，核心靠三件事：賬號可控（SSO/企業賬號）、權限可控（最小權限）、審計可追溯（日志與留痕）。影子AI恰好從三個方向同時瓦解它：

• 員工自帶AI工具，把“數據外發”變成日常動作

78%的AI用戶自帶工具（BYOAI）意味著：即使你部署了企業版AI，仍有大量人會“企業版+個人版混用”，形成審計盲區。

• SaaS內嵌AI，讓“AI訪問數據”變成默認能力

過去你能靠“禁止安裝某工具”來管住風險；現在大量風險來自SaaS自身的AI功能：它可能讀取郵件、文檔、工單、代碼庫、知識庫，并將內容發送給底層模型或第三方服務。你如果仍用“工具黑名單”思路，會發現永遠跟不上變化。

• MCP/Agent連接讓“對話式使用”升級為“系統級調用”

MCP這類協議的核心不是“又一個插件”，而是把企業系統能力抽象為模型可調用的工具接口：模型可以通過后端API查詢、創建、修改業務對象。 微軟等廠商也在把MCP視作連接企業系統與Agent的重要基礎設施，這意味著它會迅速進入企業真實環境。

對安全團隊而言，這類連接的風險形態更像“新一代集成風險”：Token/憑據濫用、權限繼承導致橫向擴權、提示注入誘導越權調用、審計鏈斷裂等。

3

為什么AI發現如此重要?

有效的AI發現能幫助企業回答以下關鍵問題:

• 組織中有哪些人在使用AI工具?

• 是否有未經批準的AI工具繞過了治理流程?

• AI工具與哪些存儲關鍵業務數據的應用集成，訪問權限有多大?

• 其他工作場所技術解決方案中的AI功能是否使數據可被大語言模型訪問?

• SaaS供應商的供應鏈中是否使用了AI，他們提供了哪些數據隱私保證?

Netskope基于匿名化企業數據的統計顯示，影子AI仍然普遍存在（47%為個人AI應用/賬號路徑），并伴隨每月平均223起向AI應用發送敏感數據的違規事件。

4

AI發現應該包括哪些內容?

• 專用AI應用

這類應用如Deepseek、Qwen、ChatGPT、Perplexity、Claude等，為員工提供與大語言模型交互的用戶界面。理想情況下，你需要發現所有這類應用的全部用戶賬戶。

關鍵提示:尋找能夠通過模式匹配識別AI工具的解決方案，而不是依賴靜態列表。任何固定的AI工具清單都會很快過時。

• 授予AI工具數據訪問權限的集成

許多AI工具通過OAuth授權或原生市場應用與其他平臺輕松連接。員工可能無意中授予AI工具訪問整個企業網盤、日歷或電子郵件的權限。

一個典型例子是AI會議記錄應用，它們會提示用戶授予日歷和聯系人訪問權限，并默認"加入每個會議"。突然間，未經批準的AI記錄工具出現在討論敏感話題的會議中。

關鍵提示:尋找能夠提供詳細的應用間集成清單的解決方案，包括OAuth授權、API等方法的詳細信息，最好能夠直接撤銷有風險的訪問權限。

• 嵌入式AI的SaaS應用

這個經常被忽視但增長最快的類別是在產品內嵌入AI功能的SaaS應用。啟用這些嵌入式AI功能可能導致底層大語言模型獲得超出預期的數據訪問權限。

關鍵提示:某些SaaS和AI安全解決方案可以展示和總結供應商的數據訓練政策，包括數據是否用于模型訓練、可用的退出選項、保留期限等信息。

• MCP服務器集成

隨著Anthropic發布開源模型上下文協議(MCP)，企業數據被AI工具訪問的方式發生了重大轉變。主要SaaS提供商紛紛跟進，宣布自己的MCP服務器和原生AI集成。

MCP服務器允許大語言模型通過后端API直接查詢SaaS應用，從而大幅擴展數據訪問范圍。這些連接通常授予AI工具與創建連接的用戶相同的數據權限，可能導致更廣泛的數據訪問。

關鍵提示:SaaS安全態勢管理(SSPM)工具在這方面很有幫助，它們通常會清點已連接應用中啟用的集成。

• 其他SaaS提供商供應鏈中的AI

另一個經常被忽視的類別是其他SaaS應用提供商供應鏈中的AI。例如，某些公司使用AI工具來優化客戶支持運營。如果在支持案例中分享了敏感數據，這些數據現在可能被底層大語言模型訪問。

• AI用戶活動

最后，需要考慮用戶可能通過聊天提示或文件上傳與AI工具共享的數據。檢測這些活動通常需要基于瀏覽器、終端或網絡的控制措施。

5

AI發現的主要方法

• 方法一: 基于網絡的監控和終端代理

這種方法通過安裝在設備上的桌面代理或通過防火墻、VPN的網絡級監控來捕獲用戶流量。

優點:監控云服務訪問、應用安全策略

缺點:僅限于企業網絡、對遠程工作支持有限、資源密集、需要終端代理、無歷史發現能力

• 方法二: 基于瀏覽器的發現

通過部署到企業設備的輕量級瀏覽器擴展直接監控應用使用情況。擴展可以檢測AI網站訪問、賬戶注冊、登錄活動、文件共享、提示內容等。

優點:精細的用戶活動數據、實時干預、使用模式洞察

缺點:遺漏移動/個人設備使用、歷史數據有限、依賴安裝、域支持可能有限

• 方法三: 基于電子郵件的發現

分析來自SaaS和AI提供商的企業電子郵件通信，尋找AI活動的證據——如歡迎郵件、密碼重置、賬單通知、多因素認證提示等。

優點:廣泛的發現覆蓋、發現未知應用、歷史洞察、檢測各種賬戶類型

缺點:對個人賬戶的可見性有限、實際能力因供應商而異

• 方法四: 與SaaS應用的API連接

SSPM解決方案通過與特定SaaS應用的直接API連接工作，可以提供應用間集成和應用配置的詳細可見性。

優點:可見AI工具與關鍵應用之間的集成、支持審查數據共享權限、持續安全監控

缺點:僅限于已知應用、API可用性因供應商而異、部署工作量較大、應用覆蓋有限

6

理想的AI發現解決方案

由于每種發現方法都有其優勢和局限性，最理想的解決方案應該采用分層方法，結合多種發現技術:

• 全面覆蓋:結合電子郵件分析、API集成、SSO連接和瀏覽器擴展，提供最廣泛的AI使用可見性

• 自動發現:在引入新AI應用和集成時持續識別，需要最少的設置或維護

• 歷史洞察:發現過去創建的AI賬戶，即使是在開始使用解決方案之前引入的應用

• 豐富的上下文:提供使用模式、用戶角色、身份驗證方法和安全配置的詳細信息

• 可擴展性:不需要復雜的基礎設施、終端代理或網絡監控工具，適合現代分布式工作場所

“理想方案”不等于“大而全采購”。很多企業可以從“郵件線索 + SSO/IdP日志 + OAuth授權清單 + 瀏覽器側行為可見性”四件事組合起步，先把高風險面看清，再逐步加深能力。

7

發現之后先別急著封——先做風險分級

影子AI治理常見失敗點是“一刀切封禁”，結果是：業務轉向更隱蔽的個人賬號與繞行路徑，風險更不可見。更優做法是風險分級→差異化處置。

風險分級四維模型

給每個AI資產（應用/集成/嵌入式AI/MCP連接）打分：

1）數據敏感度：是否涉及個人信息、財務、人事、客戶合同、源代碼、憑據/API Key等。

2）權限范圍：是否“全盤讀取/批量導出/可寫可改/可創建業務對象”。

3）賬號可控性：企業賬號+SSO+審計 vs 個人賬號/不可導日志。

4）外部處理與保留：數據是否可能用于訓練、保留多久、是否可選擇退出（以供應商承諾與配置為準）。

三檔處置策略

• 高風險（立即止血）：個人賬號 + 訪問核心數據源/大范圍OAuth scope/MCP直連關鍵系統 → 立即撤銷授權、阻斷訪問、提供企業替代方案、同步復盤通報。

• 中風險（納管與加固）：企業賬號但權限偏大/嵌入式AI默認開啟且可見性不足 → 收緊權限、開啟審計、配置DLP/敏感標簽策略、建立審批白名單。

• 低風險（可放行但要留痕）：只處理公開或低敏信息、權限最小、可審計 → 允許使用，但納入臺賬與周期復核。

8

AI治理閉環

NIST AI RMF把AI風險管理拆為四個功能：Govern / Map / Measure / Manage。

Govern（治理與責任）

• 明確RACI：業務Owner、IT、Sec、數據合規/法務、采購、HR分別對“引入—使用—審計”承擔什么責任。

• 把影子AI納入制度：AI使用政策、第三方集成準入、數據分級與外發規則、違規處置機制。

• 若組織希望體系化，可參考ISO/IEC 42001:2023作為“AI管理體系”的框架化抓手（管理系統標準）。

Map（發現與建賬）

• 建“AI資產清單”與“影子AI暴露面地圖”，至少月度更新；

• 覆蓋六類資產 + 四類信號源

Measure（分級與度量）

• 使用四維模型打分；

• 輸出Top風險清單、趨勢圖、處置MTTR，并形成可審計證據鏈。

Manage（控制與處置）

• 處置動作庫：撤權、阻斷、遷移到企業版、最小權限、開啟審計、敏感標簽+DLP、教育與復訓；

• 復盤機制：每月復盤“新增影子AI來源、繞行方式、制度漏洞、配置缺陷”。

9

實施建議

針對影子AI，以下提出30天、60天、90天的“速贏”方案供參考：

30天：先“看見”高風險面

• 建最小臺賬（應用/賬號/集成/MCP連接/負責人/數據源/權限范圍）；

• 先抓三類“高收益信號”：郵箱線索（注冊/授權通知）、SSO/IdP登錄、OAuth授權清單；

• 產出Top 20影子AI清單 + Top 10高風險集成（可直接給管理層看）。

60天：做風險分級與止血

• 用四維模型分級，定義“高風險即刻處置”門檻；

• 對高風險項執行：撤銷OAuth/禁用個人賬號入口/提供企業替代；

• 對嵌入式AI：梳理開關與默認策略，統一配置審計與DLP。

90天：形成可持續治理閉環

• 影子AI納入例行巡檢與內審（每月新增、變更、處置、趨勢）；

• 建“第三方AI/集成準入模板”（訓練/保留/退出/地域/子處理者/審計）；

• 將NIST AI RMF的Govern/Map/Measure/Manage寫入制度與流程，形成長期機制。

10

關鍵評估問題

在選擇AI發現解決方案時，應向明確以下關鍵問題:

• 使用什么AI發現方法?

• 發現方法是僅面向未來還是可以發現部署前創建的AI資產?

• 能檢測哪些資產(AI應用、用戶賬戶、OAuth集成、API集成等)?

• 可以提供哪些關于已發現AI工具的洞察(安全程序詳情、數據訓練政策、違規歷史等)?

• 能否發現AI工具與其他業務工具之間的集成?包括MCP服務器集成?

• 發現之后能否一鍵撤權/批量處置？能否形成可審計的處置證據？

• 能否區分企業賬號 vs 個人賬號并對個人賬號路徑給出治理手段？（否則影子AI永遠在）

• 對MCP/Agent連接，能否給出連接注冊、權限范圍、調用日志、Token生命周期的可見性？

結語

隨著AI能力持續嵌入各類SaaS、以及MCP/Agent連接把模型接入企業系統，"AI工具"與"SaaS工具"的界限會繼續模糊。企業真正需要的不是更長的黑名單，而是：可見性（發現）—可決策（分級）—可執行（處置）—可持續（治理閉環）。當你能把“不可見的AI使用”變成“可控的業務通道”，AI才會從風險源變成生產力。

合作電話：18311333376

合作微信：aqniu001

聯系郵箱：bd@aqniu.com