员工点了个“允许全部”,公司数据全裸奔!AI办公工具权限管控的救命指南

核心情报（2026年4月29日 01:00分，来源于VentureBeat报道）

一家AI公司（Context.ai）的办公套件因为员工授权时图省事点了“全部允许”，导致黑客偷了用户OAuth令牌，直接进入公司谷歌工作区，能随便看邮件、改文档。这是Lumma Stealer病毒搞的，但根源是权限没管住。

老板视角解读

这破事跟咱小老板直接相关：你让员工用AI工具（比如AI写邮件、做合同），如果员工嫌麻烦点了“允许全部”，黑客就能顺着这个漏洞，把你的客户名单、报价单、内部流程全偷走。对手要是拿到这些，你连怎么死的都不知道。别觉得黑客看不上你那点生意——你的数据在黑市上能卖钱，而且一天就能把你的客户抢光。省人工是好事，但安全漏洞不堵，省下的钱都不够赔一次泄密官司。

你可以做什么

1. @技术主管：今天下班前，排查公司所有在用AI办公工具（比如AI写邮件的、AI做PPT的），列出每个工具的OAuth授权清单，明天早上告诉我哪些是“全部权限”。
2. @行政/人事：明天给全员发通知：以后任何人再给第三方工具授权，必须先填《权限申请表》，经部门主管签字批准，每季度重审一次。
3. @技术主管：从明天起，所有第三方AI工具的OAuth授权，必须按“最小权限”原则配置——只给工具能完成任务的必要权限（比如只能读邮件，不能写）。直接上手改，别跟我整啥流程文件。

情报总结

AI工具省下来的人工钱，别最后都交了数据泄露的学费。”

👇关注我们，实时获取情报