Sophos 最新報告揭示當企業積極採用 AI 提升生產力之際,未經授權使用 AI 工具,加上網絡安全團隊嚴重倦怠正形成「雙重風暴」,成為亞太區企業嚴峻的營運挑戰。報告指出雖然 72% 企業已制定正式的 AI 使用政策,仍有 46% 公司承認員工使用未經授權的 AI 工具,更有 12% 企業對此毫無察覺。在印度此問題尤為嚴峻,高達 95% 的企業正經歷網絡安全倦怠,較 2024 年的 83% 大幅上升。本文將深入剖析影子 AI 如何侵蝕企業核心防線、網絡安全團隊倦怠危機的商業衝擊,以及企業應如何在創新與安全之間取得平衡。
90 % 員工私下用 AI 做公事不告訴 IT 部門
Sophos《2025 年亞太及日本網絡安全趨勢》報告揭示了一個令人震驚的現實:影子 AI 已成為企業最大的安全盲點。調查數據顯示,亞太地區各國面臨的挑戰程度差異顯著,其中印度(62%)和新加坡(60%)的影子 AI 使用率居高不下。更令人擔憂的是,35% 企業無法確定這些影子 AI 工具存取了哪些敏感資料,包括財務報表、客戶名單、產品藍圖等核心商業機密。
Sophos 亞太區及日本駐場首席資訊安全總監 Aaron Bugal 表示:「影子 AI 激增,創造了不受監管的資料外洩渠道。員工為了提升工作效率,正無意中將公司最敏感的資料上傳至各種未經驗證的 AI 模型中。」這種行為不但帶來技術層面的風險,更涉及法規合規問題。隨著亞太地區資料主權法規日趨嚴格,包括中國的《個人信息保護法》和印度的《數位個人資料保護法》,企業面臨的合規風險正急劇上升。
MIT 最新研究更證實了此趨勢的普遍性:90% 企業員工承認使用聊天機械人等 AI 工具,但大多數人卻向 IT 部門隱瞞此事。這種「影子 AI 經濟」的蓬勃發展,反映了企業的正式 AI 計劃與員工實際需求之間存在巨大落差。
32 % 公司因網絡安全問題出現員工而辭職
網絡安全倦怠已從單純的技術問題演變為嚴重的商業風險。Sophos 報告顯示,亞太地區 86% 企業正面臨嚴重的網絡安全倦怠問題,此數字在澳洲為 78%,馬來西亞為 90%。更值得關注的是倦怠的嚴重程度正在加劇:澳洲網絡安全專業人員因壓力和倦怠,每週平均損失 4.8 小時生產力,較 2024 年的 3.8 小時增長 26%。
這種倦怠危機的商業衝擊是多方面的。首先,41% 企業的防禦韌性因倦怠而下降,39% 企業的事故回應速度變慢。其次是嚴重的人才流失問題,32% 公司因網絡安全壓力出現員工辭職,對企業而言是難以估計的知識和經驗損失。最令人擔憂的是,31% 受訪企業承認,倦怠是造成網絡安全漏洞的直接誘因之一。
Exabeam 的研究更揭示了管理層與前線分析師之間的認知鴻溝:71% 亞太地區高管認為 AI 為安全團隊帶來顯著的生產力提升,但只有 5% 安全分析師認同此觀點。這種認知差異反映 AI 工具在實際應用中,仍存在大量誤報、警報疲勞等問題,加劇了前線員工的工作壓力。
AI 治理:從被動防禦轉向主動管控
面對影子 AI 和倦怠危機的雙重挑戰,領先企業正採用更積極的 AI 治理策略。根據 IDC 亞太區調查,隨著生成式 AI 在各業務領域擴展,現時有 34% 機構將 AI 治理列為優先事項。新加坡、印度和澳洲等國家正推進專注於道德使用、透明度和法規合規的 AI 治理框架。
成功的 AI 治理實施需建立跨職能團隊,包括 IT、法務、合規、人力資源和產品領導者,並指派 AI 倫理長、治理委員會等專門角色。企業應採用風險分類方法,將 AI 使用案例分為高風險(信貸評分、醫療保健、招聘)、中風險(客戶細分、定價)和低風險(庫存預測、聊天機械人)三個等級。
對於影子 AI 的管控,專家建議建立集中式「AI 應用商店」,提供經預先審核的工具,確保員工有安全合規的替代方案。同時透過數據防洩漏(DLP)和網絡檢測等持續監控手段,能夠及早發現未經授權的 AI 使用。
AI 驅動的安全運營新模式
雖然挑戰嚴峻,但正確投資 AI 安全工具能帶來顯著回報。Sophos 報告顯示,56% 企業表示使用 AI 強化的網絡安全工具,能有效減輕團隊壓力並緩解倦怠。同時 40% 企業見證 AI 提升了安全事件分類的速度和準確性。這證明投資於「受管控的 AI」,是提升防禦效率和保護團隊的明智選擇。
在 2025 年,AI 驅動的統一安全平台將變得更為重要。這些平台能夠持續分析攻擊行為數據,管理事件以確保機構基礎設施各部分能無縫通訊,並共享威脅情報。特別是在亞太地區面臨網絡安全人才短缺的情況下,AI 驅動的統一平台能顯著增強現有網絡技能,為企業提供競爭優勢。
展望未來,企業需在董事會層面建立 AI 治理戰略,制定明確、務實且易於執行的使用規範。投資於可見性和管控技術,偵測、監控和管理內部網絡中的所有 AI 應用,消除影子 AI 的藏身之處。同時策略性引入能提升效率、降低誤報的 AI 網絡安全工具,將團隊從重複工作中解放出來,是應對當前挑戰的關鍵第一步。
資料來源:
Sophos APJ網絡安全報告
MIT影子AI研究
FutureCISO AI安全分析
IDC亞太AI治理調查
Exabeam APAC安全團隊研究