過(guò)去兩年里，企業(yè)面臨的最大變化，不是“AI能做什么”，而是AI正在以“不可見(jiàn)”的方式進(jìn)入你的數(shù)據(jù)通道：?jiǎn)T工自帶工具（BYOAI）、SaaS內(nèi)嵌AI助手默認(rèn)啟用、OAuth/插件一鍵授權(quán)、以及以MCP為代表的“Agent連接協(xié)議”把模型直接接到企業(yè)系統(tǒng)后端。

微軟與LinkedIn在《Work Trend Index》中指出，78%的AI用戶(hù)會(huì)把自帶AI工具帶到工作中，這意味著大量AI使用天然繞開(kāi)審批與審計(jì)。 另一方面，Netskope《Cloud and Threat Report: 2026》給出更“安全視角”的事實(shí)：影子AI（個(gè)人/非托管賬號(hào)）仍占生成式AI用戶(hù)的47%，平均組織每月可見(jiàn)約223起向AI應(yīng)用發(fā)送敏感數(shù)據(jù)的違規(guī)事件。

因此，AI應(yīng)用爆發(fā)式增長(zhǎng)帶來(lái)了一個(gè)嚴(yán)峻挑戰(zhàn)：如何發(fā)現(xiàn)和管理員工在未經(jīng)審批的情況下使用的"影子AI"工具？

先給結(jié)論：影子AI治理的“三步走”

• 第一步：發(fā)現(xiàn)（Map）——建立“AI資產(chǎn)清單”，覆蓋應(yīng)用、賬號(hào)、集成、嵌入式AI、MCP/Agent連接與用戶(hù)活動(dòng)。

• 第二步：分級(jí)（Measure）——用統(tǒng)一的風(fēng)險(xiǎn)評(píng)分把“該封/該納管/該引導(dǎo)/該放行”說(shuō)清楚。

• 第三步：管控（Manage + Govern）——把處置動(dòng)作固化為流程（撤權(quán)、阻斷、準(zhǔn)入、替代方案、培訓(xùn)與復(fù)盤(pán)），形成閉環(huán)。

以下通過(guò)10個(gè)方面來(lái)說(shuō)明如何在發(fā)現(xiàn)影子AI的基礎(chǔ)上實(shí)施有效的AI治理。

1

什么是影子AI?

影子AI指的是員工在沒(méi)有經(jīng)過(guò)IT部門(mén)正式審批流程的情況下，自行試用和采用的AI應(yīng)用及功能。這些工具可能包括豆包、通義、元寶等聊天機(jī)器人，也包括嵌入在現(xiàn)有SaaS工具中的AI功能。

與傳統(tǒng)的網(wǎng)絡(luò)資產(chǎn)發(fā)現(xiàn)不同，AI資產(chǎn)清單需要捕獲的是第三方AI應(yīng)用、用戶(hù)賬戶(hù)、跨應(yīng)用集成、模型上下文協(xié)議(MCP)連接，以及AI供應(yīng)鏈依賴(lài)關(guān)系等信息。

2

為什么說(shuō)“影子AI正在吞噬數(shù)據(jù)邊界”？

你過(guò)去構(gòu)建的數(shù)據(jù)邊界，核心靠三件事：賬號(hào)可控（SSO/企業(yè)賬號(hào)）、權(quán)限可控（最小權(quán)限）、審計(jì)可追溯（日志與留痕）。影子AI恰好從三個(gè)方向同時(shí)瓦解它：

• 員工自帶AI工具，把“數(shù)據(jù)外發(fā)”變成日常動(dòng)作

78%的AI用戶(hù)自帶工具（BYOAI）意味著：即使你部署了企業(yè)版AI，仍有大量人會(huì)“企業(yè)版+個(gè)人版混用”，形成審計(jì)盲區(qū)。

• SaaS內(nèi)嵌AI，讓“AI訪問(wèn)數(shù)據(jù)”變成默認(rèn)能力

過(guò)去你能靠“禁止安裝某工具”來(lái)管住風(fēng)險(xiǎn)；現(xiàn)在大量風(fēng)險(xiǎn)來(lái)自SaaS自身的AI功能：它可能讀取郵件、文檔、工單、代碼庫(kù)、知識(shí)庫(kù)，并將內(nèi)容發(fā)送給底層模型或第三方服務(wù)。你如果仍用“工具黑名單”思路，會(huì)發(fā)現(xiàn)永遠(yuǎn)跟不上變化。

• MCP/Agent連接讓“對(duì)話式使用”升級(jí)為“系統(tǒng)級(jí)調(diào)用”

MCP這類(lèi)協(xié)議的核心不是“又一個(gè)插件”，而是把企業(yè)系統(tǒng)能力抽象為模型可調(diào)用的工具接口：模型可以通過(guò)后端API查詢(xún)、創(chuàng)建、修改業(yè)務(wù)對(duì)象。 微軟等廠商也在把MCP視作連接企業(yè)系統(tǒng)與Agent的重要基礎(chǔ)設(shè)施，這意味著它會(huì)迅速進(jìn)入企業(yè)真實(shí)環(huán)境。

對(duì)安全團(tuán)隊(duì)而言，這類(lèi)連接的風(fēng)險(xiǎn)形態(tài)更像“新一代集成風(fēng)險(xiǎn)”：Token/憑據(jù)濫用、權(quán)限繼承導(dǎo)致橫向擴(kuò)權(quán)、提示注入誘導(dǎo)越權(quán)調(diào)用、審計(jì)鏈斷裂等。

3

為什么AI發(fā)現(xiàn)如此重要?

有效的AI發(fā)現(xiàn)能幫助企業(yè)回答以下關(guān)鍵問(wèn)題:

• 組織中有哪些人在使用AI工具?

• 是否有未經(jīng)批準(zhǔn)的AI工具繞過(guò)了治理流程?

• AI工具與哪些存儲(chǔ)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的應(yīng)用集成，訪問(wèn)權(quán)限有多大?

• 其他工作場(chǎng)所技術(shù)解決方案中的AI功能是否使數(shù)據(jù)可被大語(yǔ)言模型訪問(wèn)?

• SaaS供應(yīng)商的供應(yīng)鏈中是否使用了AI，他們提供了哪些數(shù)據(jù)隱私保證?

Netskope基于匿名化企業(yè)數(shù)據(jù)的統(tǒng)計(jì)顯示，影子AI仍然普遍存在（47%為個(gè)人AI應(yīng)用/賬號(hào)路徑），并伴隨每月平均223起向AI應(yīng)用發(fā)送敏感數(shù)據(jù)的違規(guī)事件。

4

AI發(fā)現(xiàn)應(yīng)該包括哪些內(nèi)容?

• 專(zhuān)用AI應(yīng)用

這類(lèi)應(yīng)用如Deepseek、Qwen、ChatGPT、Perplexity、Claude等，為員工提供與大語(yǔ)言模型交互的用戶(hù)界面。理想情況下，你需要發(fā)現(xiàn)所有這類(lèi)應(yīng)用的全部用戶(hù)賬戶(hù)。

關(guān)鍵提示:尋找能夠通過(guò)模式匹配識(shí)別AI工具的解決方案，而不是依賴(lài)靜態(tài)列表。任何固定的AI工具清單都會(huì)很快過(guò)時(shí)。

• 授予AI工具數(shù)據(jù)訪問(wèn)權(quán)限的集成

許多AI工具通過(guò)OAuth授權(quán)或原生市場(chǎng)應(yīng)用與其他平臺(tái)輕松連接。員工可能無(wú)意中授予AI工具訪問(wèn)整個(gè)企業(yè)網(wǎng)盤(pán)、日歷或電子郵件的權(quán)限。

一個(gè)典型例子是AI會(huì)議記錄應(yīng)用，它們會(huì)提示用戶(hù)授予日歷和聯(lián)系人訪問(wèn)權(quán)限，并默認(rèn)"加入每個(gè)會(huì)議"。突然間，未經(jīng)批準(zhǔn)的AI記錄工具出現(xiàn)在討論敏感話題的會(huì)議中。

關(guān)鍵提示:尋找能夠提供詳細(xì)的應(yīng)用間集成清單的解決方案，包括OAuth授權(quán)、API等方法的詳細(xì)信息，最好能夠直接撤銷(xiāo)有風(fēng)險(xiǎn)的訪問(wèn)權(quán)限。

• 嵌入式AI的SaaS應(yīng)用

這個(gè)經(jīng)常被忽視但增長(zhǎng)最快的類(lèi)別是在產(chǎn)品內(nèi)嵌入AI功能的SaaS應(yīng)用。啟用這些嵌入式AI功能可能導(dǎo)致底層大語(yǔ)言模型獲得超出預(yù)期的數(shù)據(jù)訪問(wèn)權(quán)限。

關(guān)鍵提示:某些SaaS和AI安全解決方案可以展示和總結(jié)供應(yīng)商的數(shù)據(jù)訓(xùn)練政策，包括數(shù)據(jù)是否用于模型訓(xùn)練、可用的退出選項(xiàng)、保留期限等信息。

• MCP服務(wù)器集成

隨著Anthropic發(fā)布開(kāi)源模型上下文協(xié)議(MCP)，企業(yè)數(shù)據(jù)被AI工具訪問(wèn)的方式發(fā)生了重大轉(zhuǎn)變。主要SaaS提供商紛紛跟進(jìn)，宣布自己的MCP服務(wù)器和原生AI集成。

MCP服務(wù)器允許大語(yǔ)言模型通過(guò)后端API直接查詢(xún)SaaS應(yīng)用，從而大幅擴(kuò)展數(shù)據(jù)訪問(wèn)范圍。這些連接通常授予AI工具與創(chuàng)建連接的用戶(hù)相同的數(shù)據(jù)權(quán)限，可能導(dǎo)致更廣泛的數(shù)據(jù)訪問(wèn)。

關(guān)鍵提示:SaaS安全態(tài)勢(shì)管理(SSPM)工具在這方面很有幫助，它們通常會(huì)清點(diǎn)已連接應(yīng)用中啟用的集成。

• 其他SaaS提供商供應(yīng)鏈中的AI

另一個(gè)經(jīng)常被忽視的類(lèi)別是其他SaaS應(yīng)用提供商供應(yīng)鏈中的AI。例如，某些公司使用AI工具來(lái)優(yōu)化客戶(hù)支持運(yùn)營(yíng)。如果在支持案例中分享了敏感數(shù)據(jù)，這些數(shù)據(jù)現(xiàn)在可能被底層大語(yǔ)言模型訪問(wèn)。

• AI用戶(hù)活動(dòng)

最后，需要考慮用戶(hù)可能通過(guò)聊天提示或文件上傳與AI工具共享的數(shù)據(jù)。檢測(cè)這些活動(dòng)通常需要基于瀏覽器、終端或網(wǎng)絡(luò)的控制措施。

5

AI發(fā)現(xiàn)的主要方法

• 方法一: 基于網(wǎng)絡(luò)的監(jiān)控和終端代理

這種方法通過(guò)安裝在設(shè)備上的桌面代理或通過(guò)防火墻、VPN的網(wǎng)絡(luò)級(jí)監(jiān)控來(lái)捕獲用戶(hù)流量。

優(yōu)點(diǎn):監(jiān)控云服務(wù)訪問(wèn)、應(yīng)用安全策略

缺點(diǎn):僅限于企業(yè)網(wǎng)絡(luò)、對(duì)遠(yuǎn)程工作支持有限、資源密集、需要終端代理、無(wú)歷史發(fā)現(xiàn)能力

• 方法二: 基于瀏覽器的發(fā)現(xiàn)

通過(guò)部署到企業(yè)設(shè)備的輕量級(jí)瀏覽器擴(kuò)展直接監(jiān)控應(yīng)用使用情況。擴(kuò)展可以檢測(cè)AI網(wǎng)站訪問(wèn)、賬戶(hù)注冊(cè)、登錄活動(dòng)、文件共享、提示內(nèi)容等。

優(yōu)點(diǎn):精細(xì)的用戶(hù)活動(dòng)數(shù)據(jù)、實(shí)時(shí)干預(yù)、使用模式洞察

缺點(diǎn):遺漏移動(dòng)/個(gè)人設(shè)備使用、歷史數(shù)據(jù)有限、依賴(lài)安裝、域支持可能有限

• 方法三: 基于電子郵件的發(fā)現(xiàn)

分析來(lái)自SaaS和AI提供商的企業(yè)電子郵件通信，尋找AI活動(dòng)的證據(jù)——如歡迎郵件、密碼重置、賬單通知、多因素認(rèn)證提示等。

優(yōu)點(diǎn):廣泛的發(fā)現(xiàn)覆蓋、發(fā)現(xiàn)未知應(yīng)用、歷史洞察、檢測(cè)各種賬戶(hù)類(lèi)型

缺點(diǎn):對(duì)個(gè)人賬戶(hù)的可見(jiàn)性有限、實(shí)際能力因供應(yīng)商而異

• 方法四: 與SaaS應(yīng)用的API連接

SSPM解決方案通過(guò)與特定SaaS應(yīng)用的直接API連接工作，可以提供應(yīng)用間集成和應(yīng)用配置的詳細(xì)可見(jiàn)性。

優(yōu)點(diǎn):可見(jiàn)AI工具與關(guān)鍵應(yīng)用之間的集成、支持審查數(shù)據(jù)共享權(quán)限、持續(xù)安全監(jiān)控

缺點(diǎn):僅限于已知應(yīng)用、API可用性因供應(yīng)商而異、部署工作量較大、應(yīng)用覆蓋有限

6

理想的AI發(fā)現(xiàn)解決方案

由于每種發(fā)現(xiàn)方法都有其優(yōu)勢(shì)和局限性，最理想的解決方案應(yīng)該采用分層方法，結(jié)合多種發(fā)現(xiàn)技術(shù):

• 全面覆蓋:結(jié)合電子郵件分析、API集成、SSO連接和瀏覽器擴(kuò)展，提供最廣泛的AI使用可見(jiàn)性

• 自動(dòng)發(fā)現(xiàn):在引入新AI應(yīng)用和集成時(shí)持續(xù)識(shí)別，需要最少的設(shè)置或維護(hù)

• 歷史洞察:發(fā)現(xiàn)過(guò)去創(chuàng)建的AI賬戶(hù)，即使是在開(kāi)始使用解決方案之前引入的應(yīng)用

• 豐富的上下文:提供使用模式、用戶(hù)角色、身份驗(yàn)證方法和安全配置的詳細(xì)信息

• 可擴(kuò)展性:不需要復(fù)雜的基礎(chǔ)設(shè)施、終端代理或網(wǎng)絡(luò)監(jiān)控工具，適合現(xiàn)代分布式工作場(chǎng)所

“理想方案”不等于“大而全采購(gòu)”。很多企業(yè)可以從“郵件線索 + SSO/IdP日志 + OAuth授權(quán)清單 + 瀏覽器側(cè)行為可見(jiàn)性”四件事組合起步，先把高風(fēng)險(xiǎn)面看清，再逐步加深能力。

7

發(fā)現(xiàn)之后先別急著封——先做風(fēng)險(xiǎn)分級(jí)

影子AI治理常見(jiàn)失敗點(diǎn)是“一刀切封禁”，結(jié)果是：業(yè)務(wù)轉(zhuǎn)向更隱蔽的個(gè)人賬號(hào)與繞行路徑，風(fēng)險(xiǎn)更不可見(jiàn)。更優(yōu)做法是風(fēng)險(xiǎn)分級(jí)→差異化處置。

風(fēng)險(xiǎn)分級(jí)四維模型

給每個(gè)AI資產(chǎn)（應(yīng)用/集成/嵌入式AI/MCP連接）打分：

1）數(shù)據(jù)敏感度：是否涉及個(gè)人信息、財(cái)務(wù)、人事、客戶(hù)合同、源代碼、憑據(jù)/API Key等。

2）權(quán)限范圍：是否“全盤(pán)讀取/批量導(dǎo)出/可寫(xiě)可改/可創(chuàng)建業(yè)務(wù)對(duì)象”。

3）賬號(hào)可控性：企業(yè)賬號(hào)+SSO+審計(jì) vs 個(gè)人賬號(hào)/不可導(dǎo)日志。

4）外部處理與保留：數(shù)據(jù)是否可能用于訓(xùn)練、保留多久、是否可選擇退出（以供應(yīng)商承諾與配置為準(zhǔn)）。

三檔處置策略

• 高風(fēng)險(xiǎn)（立即止血）：個(gè)人賬號(hào) + 訪問(wèn)核心數(shù)據(jù)源/大范圍OAuth scope/MCP直連關(guān)鍵系統(tǒng) → 立即撤銷(xiāo)授權(quán)、阻斷訪問(wèn)、提供企業(yè)替代方案、同步復(fù)盤(pán)通報(bào)。

• 中風(fēng)險(xiǎn)（納管與加固）：企業(yè)賬號(hào)但權(quán)限偏大/嵌入式AI默認(rèn)開(kāi)啟且可見(jiàn)性不足 → 收緊權(quán)限、開(kāi)啟審計(jì)、配置DLP/敏感標(biāo)簽策略、建立審批白名單。

• 低風(fēng)險(xiǎn)（可放行但要留痕）：只處理公開(kāi)或低敏信息、權(quán)限最小、可審計(jì) → 允許使用，但納入臺(tái)賬與周期復(fù)核。

8

AI治理閉環(huán)

NIST AI RMF把AI風(fēng)險(xiǎn)管理拆為四個(gè)功能：Govern / Map / Measure / Manage。

Govern（治理與責(zé)任）

• 明確RACI：業(yè)務(wù)Owner、IT、Sec、數(shù)據(jù)合規(guī)/法務(wù)、采購(gòu)、HR分別對(duì)“引入—使用—審計(jì)”承擔(dān)什么責(zé)任。

• 把影子AI納入制度：AI使用政策、第三方集成準(zhǔn)入、數(shù)據(jù)分級(jí)與外發(fā)規(guī)則、違規(guī)處置機(jī)制。

• 若組織希望體系化，可參考ISO/IEC 42001:2023作為“AI管理體系”的框架化抓手（管理系統(tǒng)標(biāo)準(zhǔn)）。

Map（發(fā)現(xiàn)與建賬）

• 建“AI資產(chǎn)清單”與“影子AI暴露面地圖”，至少月度更新；

• 覆蓋六類(lèi)資產(chǎn) + 四類(lèi)信號(hào)源

Measure（分級(jí)與度量）

• 使用四維模型打分；

• 輸出Top風(fēng)險(xiǎn)清單、趨勢(shì)圖、處置MTTR，并形成可審計(jì)證據(jù)鏈。

Manage（控制與處置）

• 處置動(dòng)作庫(kù)：撤權(quán)、阻斷、遷移到企業(yè)版、最小權(quán)限、開(kāi)啟審計(jì)、敏感標(biāo)簽+DLP、教育與復(fù)訓(xùn)；

• 復(fù)盤(pán)機(jī)制：每月復(fù)盤(pán)“新增影子AI來(lái)源、繞行方式、制度漏洞、配置缺陷”。

9

實(shí)施建議

針對(duì)影子AI，以下提出30天、60天、90天的“速贏”方案供參考：

30天：先“看見(jiàn)”高風(fēng)險(xiǎn)面

• 建最小臺(tái)賬（應(yīng)用/賬號(hào)/集成/MCP連接/負(fù)責(zé)人/數(shù)據(jù)源/權(quán)限范圍）；

• 先抓三類(lèi)“高收益信號(hào)”：郵箱線索（注冊(cè)/授權(quán)通知）、SSO/IdP登錄、OAuth授權(quán)清單；

• 產(chǎn)出Top 20影子AI清單 + Top 10高風(fēng)險(xiǎn)集成（可直接給管理層看）。

60天：做風(fēng)險(xiǎn)分級(jí)與止血

• 用四維模型分級(jí)，定義“高風(fēng)險(xiǎn)即刻處置”門(mén)檻；

• 對(duì)高風(fēng)險(xiǎn)項(xiàng)執(zhí)行：撤銷(xiāo)OAuth/禁用個(gè)人賬號(hào)入口/提供企業(yè)替代；

• 對(duì)嵌入式AI：梳理開(kāi)關(guān)與默認(rèn)策略，統(tǒng)一配置審計(jì)與DLP。

90天：形成可持續(xù)治理閉環(huán)

• 影子AI納入例行巡檢與內(nèi)審（每月新增、變更、處置、趨勢(shì)）；

• 建“第三方AI/集成準(zhǔn)入模板”（訓(xùn)練/保留/退出/地域/子處理者/審計(jì)）；

• 將NIST AI RMF的Govern/Map/Measure/Manage寫(xiě)入制度與流程，形成長(zhǎng)期機(jī)制。

10

關(guān)鍵評(píng)估問(wèn)題

在選擇AI發(fā)現(xiàn)解決方案時(shí)，應(yīng)向明確以下關(guān)鍵問(wèn)題:

• 使用什么AI發(fā)現(xiàn)方法?

• 發(fā)現(xiàn)方法是僅面向未來(lái)還是可以發(fā)現(xiàn)部署前創(chuàng)建的AI資產(chǎn)?

• 能檢測(cè)哪些資產(chǎn)(AI應(yīng)用、用戶(hù)賬戶(hù)、OAuth集成、API集成等)?

• 可以提供哪些關(guān)于已發(fā)現(xiàn)AI工具的洞察(安全程序詳情、數(shù)據(jù)訓(xùn)練政策、違規(guī)歷史等)?

• 能否發(fā)現(xiàn)AI工具與其他業(yè)務(wù)工具之間的集成?包括MCP服務(wù)器集成?

• 發(fā)現(xiàn)之后能否一鍵撤權(quán)/批量處置？能否形成可審計(jì)的處置證據(jù)？

• 能否區(qū)分企業(yè)賬號(hào) vs 個(gè)人賬號(hào)并對(duì)個(gè)人賬號(hào)路徑給出治理手段？（否則影子AI永遠(yuǎn)在）

• 對(duì)MCP/Agent連接，能否給出連接注冊(cè)、權(quán)限范圍、調(diào)用日志、Token生命周期的可見(jiàn)性？

結(jié)語(yǔ)

隨著AI能力持續(xù)嵌入各類(lèi)SaaS、以及MCP/Agent連接把模型接入企業(yè)系統(tǒng)，"AI工具"與"SaaS工具"的界限會(huì)繼續(xù)模糊。企業(yè)真正需要的不是更長(zhǎng)的黑名單，而是：可見(jiàn)性（發(fā)現(xiàn)）—可決策（分級(jí)）—可執(zhí)行（處置）—可持續(xù)（治理閉環(huán)）。當(dāng)你能把“不可見(jiàn)的AI使用”變成“可控的業(yè)務(wù)通道”，AI才會(huì)從風(fēng)險(xiǎn)源變成生產(chǎn)力。

合作電話：18311333376

合作微信：aqniu001

聯(lián)系郵箱：bd@aqniu.com