员工使用ChatGPT导致企业数据泄露风险
根据安全公司LayerX的研究,大量企业用户将个人身份信息(PII)或支付卡行业(PCI)号码直接粘贴到ChatGPT中,即使他们在未经授权的情况下使用该机器人。
在《2025年企业AI和SaaS数据安全报告》中,LayerX将企业和个人数据从企业环境中泄露归咎于生成式AI工具日益增长且基本不受控制的使用。
LayerX研究显示,目前45%的企业员工使用生成式AI工具,其中77%的AI用户会在聊天机器人查询中复制粘贴数据。超过五分之一(22%)的复制粘贴操作包含PII/PCI数据。
报告指出:“由于82%的粘贴来自非管理的个人账户,企业几乎无法了解正在共享哪些数据,这为数据泄露和合规风险创造了巨大的盲点。”
据称,上传到生成式AI网站的文件中约有40%包含PII/PCI数据,其中39%的上传来自非企业账户。
LayerX通过企业浏览器扩展监控浏览器中的数据,这意味着该公司仅能看到基于Web的AI交互,而无法看到来自应用程序的API调用。
当被问及AI数据泄露是否造成实际损害时,LayerX首席执行官提到了某中心在2023年决定暂时禁止员工使用ChatGPT,因为据报道有员工将敏感代码上传到该聊天机器人。他表示,通过AI工具泄露企业数据可能引发地缘政治问题(例如与某机构的Qwen等AI模型)、监管和合规问题,并且如果通过个人AI工具使用暴露,企业数据可能被不适当地用于训练。
用户青睐ChatGPT,冷落Copilot
LayerX报告称,通过非企业账户(影子IT)使用应用程序不仅对生成式AI(67%)很常见,对聊天/即时消息(87%)、在线会议(60%)、某机构在线(68%)和某视频会议平台(64%)也很常见。
在一个令人惊讶的支持影子IT的举动中,某中心最近表示将支持在企业的某中心365账户中使用个人Copilot账户。这可能反映了某中心对某机构ChatGPT主导地位的不适,LayerX称ChatGPT已成为事实上的企业标准AI工具。
报告称:“在所有AI应用中,ChatGPT主导了企业AI使用,超过十分之九的员工访问它,而其他替代方案如某搜索巨头的Gemini(15%)、Claude(5%)和Copilot(约2-3%)的采用率要低得多。”报告补充说,大多数人(83.5%)只使用一种AI工具。
“我们看到用户有偏好的AI平台,即使企业有‘官方’AI或许可的AI,用户也会选择他们想要的任何工具,”Eshed在一封电子邮件中表示,“在这种情况下,绝大多数是ChatGPT。换句话说,用户更喜欢ChatGPT。”
当被问及调查中关于某中心Copilot在企业中采用的数据时,Eshed引用了一份报告,称某中心“在4.4亿某中心365订阅者中转化率为1.81%”,并指出该数字“与我们的发现几乎相同(约2%)”。
LayerX报告称,ChatGPT的企业渗透率达到43%,接近某视频会议平台(75%渗透率)和某搜索巨头服务(65%)等应用程序的普及度,同时超过了某团队协作工具(22%)、某客户关系管理平台(18%)和某软件开发平台(15%)的渗透率。
总体而言,LayerX报告发现AI在企业中的使用正在迅速增长,占所有应用程序使用量的11%,仅次于电子邮件(20%)、在线会议(20%)和办公生产力应用程序(14%)。
这家安全公司认为,员工对生成式AI的亲和力意味着,如果首席信息安全官希望了解数据流,就必须认真对待在每个业务关键应用程序中实施单点登录(SSO)。
当被要求提供为报告贡献数据的客户数量具体信息时,LayerX发言人回复称,公司不希望透露其客户群的确切数字。
Eshed表示,LayerX的客户群包括“数十家全球企业和大企业(1,000-100,000用户),主要分布在金融服务、医疗保健、服务和半导体行业。我们的大多数客户在北美,但我们在五大洲和任何垂直行业都有客户。”
