夜雨聆风两年前,关于影子AI的讨论还聚焦在数据泄露上:员工把客户名单粘贴进ChatGPT,开发者把核心代码丢进对话窗口。风险确实存在,但其形式却似曾相识。
安全团队的应对也很常规:给AI提示词加数据防泄漏防护、用云访问安全代理(CASB)管控SaaS会话、给员工做安全培训。
但过去12个月,一切都变了。
过去只会粘贴数据的员工,如今直接让自主AI智能体对接企业文件夹、代码仓库、内部系统,下达指令执行操作。影子AI智能体可读取文件、运行命令、调用API、查询数据库、触发其他智能体,还会继承部署员工的全部权限。它们以机器速度执行操作,初始指令下达后,几乎无需二次审批。
从前,影子AI的风险是泄露数据;现在,风险是直接操控数据、执行高危操作。而针对旧风险搭建的安全防护,完全看不到、更管不住的新威胁。
影子AI智能体,藏在企业的各个角落
员工在本地桌面、浏览器、开发工具(IDE)、个人AI账号中部署智能体,传统安全工具根本无法识别这些临时运行的智能体程序。
个人账号,让风险雪上加霜
企业内47%的AI使用行为,都通过个人账号完成。
这些个人账号脱离单点登录(SSO)、身份管控、审计日志,虽不能直接访问企业系统,却能随意处理员工已下载到本地的企业数据。智能体操作全程无记录、无痕迹,而消费级AI产品从一开始就没设计企业级身份管控功能。
给首席安全官(CISO)的警示:三大致命安全缺口
真正的危机,不是员工用了未授权AI工具,而是员工部署了自主运行的智能系统--它们继承企业权限、自主决策、调用工具、脱离用户持续操作而长期存在。
企业往往完全不知道这些智能体在哪、有什么权限、连了哪些外部系统、指令逻辑是什么?
最新调研显示:79%的企业,至今完全看不到内部运行的AI智能体和相关系统。
缺口1:找不到智能体
传统工具只能发现应用、终端、SaaS租户,根本识别不了藏在IDE、本地桌面、浏览器、个人AI账号里的临时智能体。
缺口2:看不清权限范围
智能体自动继承员工的GitHub权限、云密钥、内部API令牌、本地文件访问权,实际权限往往远超员工预期。
缺口3:查不透智能体逻辑
安全团队会审核代码、基础设施、访问策略,却从不检查智能体的提示词、技能、工具定义、指令逻辑--更无法识别恶意行为、提示注入风险、数据外渗路径。
最终形成巨大安全盲区:自主系统可随意访问敏感数据、执行高危操作、对外通信,却完全游离在现有安全流程之外。
落地3大治理方向
AI智能体已渗透研发、运维、客服、销售、财务全岗位。
正确思路是:默认智能体已存在,聚焦可见、可控、强执行。
1、全面发现:扫描终端、SaaS环境,定位所有智能体、相关服务器、技能和AI工作流;
2、权限映射:梳理每个智能体可访问的身份、令牌、API、数据源;
3、逻辑审计:检查提示词、指令、技能是否存在恶意或高风险行为;
4、全程监控:盯紧智能体执行路径,而非只看员工登录行为;
5、最小权限:给智能体专属身份,严格限制权限;
6、管控个人账号:企业数据流入个人AI环境,必须纳入治理;
7、动态管理:把智能体资产当作持续变化的攻击面,而非季度例行检查项。
影子AI智能体不是未来风险,而是正在企业内部肆虐的现实威胁。它们由可信员工创建、目的是提高效率,却以机器速度、持企业权限、无人监督地自主运行。如今,内部威胁早已不只是人类用户,更是替人类行事、失控的自主AI系统。
原文链接:https://cloudsecurityalliance.org/blog/2026/05/26/shadow-ai-agents-the-insider-threat-you-re-not-monitoring-yet
本文审校来自CSA翻译组:
审校:贺志生,CSA大中华区专家
相关推荐
