在生成式人工智慧快速進入職場之際,企業內部對「未經核准使用 AI 工具」的風險更加重視。目前相關討論指出,員工在工作情境中使用外部生成式 AI,雖然有助提升效率,卻也可能在不知情下觸及著作權侵害、機密外洩與法規違規等問題,讓個人與企業一同承擔風險。
這類被稱為影子 AI(Shadow AI)的現象,指的是員工未經資訊或資安團隊核准,直接使用外部生成式 AI、應用軟體或大型語言模型。報導指出,這反映出企業導入 AI 的速度加快,但治理與管控往往跟不上實際使用情況,形成明顯的管理落差。
其中最受關注的是資料外洩與智慧財產權流失。像是業務人員把客戶營收資料貼進聊天機器人、軟體工程師將專有程式碼上傳至外部模型、行銷人員輸入客戶分群資訊等行為,都可能使敏感資料進入組織無法掌控的系統。由於部分公共 AI 工具可能依服務條款保留、記錄甚至用於訓練模型,企業一旦把機密資訊送出,便很難再確保資料能完全刪除或封存。
除了資料風險,法遵責任也同樣嚴峻。若未經審核的 AI 工具處理到個資、醫療資料或金融資訊,可能引發隱私法、資料治理規範與產業監管問題。相關消息提到,在歐盟人工智慧法與 GDPR 等規範下,企業若無法提出完整稽核軌跡與合規證明,將更難在發生外洩時證明自身清白。報導同時以三星(Samsung)案例為例,指出員工曾不慎將敏感半導體程式碼與會議內容輸入公共 AI 工具,迫使公司採取更嚴格的限制措施。
面對這股趨勢,企業治理的焦點也正從單純禁止,轉向建立可操作的控管機制。其中包括訂定明確的生成式 AI 使用政策、強化員工教育、設定資料底線,以及透過安全閘道或過濾機制,在模型執行前先攔截敏感資訊。專家指出,若缺乏清楚規範與技術防線,傳統防火牆、資料外洩防護(DLP)與存取控制等工具,往往難以辨識或阻擋以文字提示、程式碼片段或瀏覽器介面進行的 AI 使用行為。
整體而言,這波 AI 職場應用軟體的擴散,已不只是效率工具的選擇題,而是企業資料治理、法遵與競爭力保護的共同考驗。隨著更多員工把外部 AI 做為日常工作助手,如何在創新與風險之間取得平衡,正成為企業管理高層不得不正視的新課題。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
