商傳媒|何映辰/台北報導
隨著人工智慧(AI)工具日益普及,企業行之有年的資料外洩防護(DLP)策略正遭遇前所未有的挑戰。傳統的DLP機制未能有效應對生成式AI帶來的資安風險,導致企業機敏資料外洩的隱憂大幅升高。
根據《Solutions Review》指出,過去二十年來,資料外洩防護一直是企業資安計畫的基石,主要透過分類靜態資料與監控傳輸中資料來運作。然而,諸如 Microsoft Copilot、Google Gemini for Workspace、ChatGPT 和 Claude 等嵌入式AI工具,其運作模式已讓傳統DLP系統難以偵測。這些AI工具多在相同的軟體即服務(SaaS)租戶環境中執行,而非跨越傳統資安邊界,使得資料流向對既有DLP而言形同隱形。
報導強調,瀏覽器已成為雲端優先或混合工作模式下,企業資料意外外洩的主要攻擊面。員工在瀏覽器中使用AI工具,例如將財務模型丟入 ChatGPT、把原始碼貼給 Claude,或將客戶名單輸入生產力輔助工具,都可能在不知不覺中造成資料外洩。這些行為往往未經察覺,因為現有的DLP工具在架構上並未考慮到此類情境。
更甚者,「影子AI」現象與傳統的影子IT問題性質迴異。影子IT通常關注未經授權的軟體或存取,資料多半仍留在企業內部。然而,影子AI卻意味著資料可能完全脫離企業的掌控,難以追蹤其流向,並可能無限期地存留在第三方AI模型的訓練語料庫或推論歷史中。許多員工並非惡意行為,他們只是依據工具設計的方式,使用AI來提高工作效率,卻可能因此將敏感資訊貢獻給第三方。
為因應此一挑戰,企業必須重新檢視其DLP策略。《Solutions Review》建議應採取以下措施:首先,資料分類仍是有效DLP的基礎,尤其針對非結構化資料(如文件、程式碼儲存庫、電子郵件檔案)更為關鍵,這些正是最常被輸入AI工具進行分析的內容。其次,實施積極的資料保存政策,定期清除不再需要的資料,以降低暴露面。第三,將最小權限原則應用於AI工具,如同對待人員及服務帳戶。最後,企業應部署與消費者版本同樣強大的內部授權AI工具,並輔以瀏覽器層級的資安控制,以監控或阻擋資料流向未經核准的端點。運用AI本身來強化DLP自動化,進行模式識別、異常偵測及風險評分,將是短期內最有效的解決方案。
