根据AI和Browser Security Company Lesex的一份新报告,人工智能已成为公司数据剥离的最大单一的非控制渠道,超过了Shadow SaaS和未管理的文件共享。这项基于现实世界浏览遥测的研究表明,企业中AI的主要风险不是未来的威胁,而是当今的日常工作流程中的现实。敏感的公司数据已经流入了以高比率的Chatgpt,Claude和Copilot等生成的AI工具流入,主要是通过不受管理的个人帐户和复制和纸质功能。
AI的迅速,无人权的采用
AI工具在短短两年内就达到了一定程度的采用水平,这花费了其他技术数十年。在所有企业员工中,近一半(45%)已经使用了生成AI,仅Chatgpt就达到了43%的渗透率。 AI现在占所有企业应用程序活动的11%,竞争文件共享和办公生产力应用程序。这种增长在很大程度上是在没有相应治理的情况下发生的。该报告发现,有67%的AI使用是通过不受管理的个人帐户发生的,而安全团队没有可见的员工使用哪些工具或共享哪些数据。
敏感数据正在通过文件泄漏和复制 –
该研究发现了AI平台如何处理敏感数据的令人震惊的趋势。
- 文件上传: 上传到生成AI工具的文件中有40%包含个人识别信息(PII)或支付卡行业(PCI)数据。这些上传中的十分之四是使用个人帐户完成的。
- 复制和纸质: 数据泄漏的主要渠道是复制式函数。 77%的员工将数据粘贴到生成的AI工具中,其中82%的活动来自不受管理的个人帐户。平均而言,员工每天至少三次将敏感数据粘贴到这些工具中。
该报告将副本和副本标识为生成AI,是企业数据离开企业控制的第一向量。侧重于扫描文件附件和阻止未经授权上传的传统安全计划完全丢失了这一威胁。
其他主要安全盲点
该报告重点介绍了公司数据面临风险的其他两个关键领域。
- 非登录名: 即使员工在CRM和ERP系统等高风险平台上使用公司凭证,他们也绝大多数绕过单登录(SSO)。 71%的CRM登录名和83%的ERP登录名是未填充的,从安全可见性的角度来看,公司登录功能与个人登录功能相同。
- 即时消息: 87%的企业聊天用法是通过未管理的个人帐户发生的,其中62%的用户将PII或PCI数据粘贴到其中。
AI时代的企业安全建议
该报告为安全领导者提供了几项明确的建议。
- 将AI安全性视为核心企业类别,而不是新兴的企业类别,并通过监视上传,提示和复制式 – 流量。
- 从以文件为中心的安全模型转移到以动作为中心的模型,该模型是针对复制和聊天等无文件方法的说明。
- 限制使用未管理的个人帐户,并为所有公司应用程序执行联合登录名。
- 优先考虑最紧密控制的最高风险应用程序类别:AI,聊天和文件存储。
这些发现绘制了一个清晰的图片:企业安全周边已转移到浏览器,在那里员工在批准和未经批准的工具之间流动地移动敏感数据。该报告得出结论,如果安全团队不适应这一新现实,AI不仅会影响工作的未来,还可以影响数据泄露的未来。
