AI已从研究领域深度融入个人与职业生活。对企业领导者而言，关键问题已从“员工是否在用AI”转变为“员工是否在安全地使用AI”。员工为提升效率，正广泛将生成式AI用于搜索、总结等流程性任务。然而，许多使用行为是自下而上驱动的，员工常自带AI工具（影子AI）到工作中，且往往未经公司知晓或监督。这些在公司网络或使用公司数据运行的未记录工具，构成了显著的安全盲区。

主要风险集中在几个方面：首先是“影子AI”的泛滥。员工因免费、快捷或便利而使用未经授权的AI应用，这虽可能提升效率，却极大地扩大了攻击面，并使安全团队缺乏足够的可见性与监督。更令人担忧的是输入这些工具的数据。员工可能将公司数据、甚至机密客户信息输入未授权工具，导致知识产权、受监管信息及个人数据被未知第三方处理。

其次是数据泄露风险。员工常将敏感信息粘贴至AI工具，却未充分理解风险。已有案例显示，工程师曾不慎向ChatGPT提交专有代码和机密会议记录，使数据脱离公司控制。类似事件在各行业浮现，表明大量敏感信息正悄然流入第三方AI系统。一旦提交，组织往往难以完全删除或控制数据的保留与使用方式。

此外，账户与提示词泄露也可能带来威胁。泄露的AI聊天记录或被入侵的提示词可能让攻击者获取广泛敏感信息，若更广泛的网络安全控制薄弱，还可能引发进一步的账户入侵。

面对员工不会等待企业完善权限、明确指南与安全措施的现状，企业需快速实施有效的AI治理与使用控制，同时不扼杀创新。这包括提升AI使用的可见性，了解员工在何处、如何使用及使用何种工具，并理解与工作场所AI使用相关的各类风险，从而建立平衡安全与效率的管控框架。