《企业AI安全建设蓝图②:从AI资产盘点开始,先弄清楚企业到底用了哪些大模型》

很多企业一谈AI安全，第一反应往往是上一个安全产品、加一层拦截能力、做一套输出审核机制。这些都重要，但如果连企业内部到底用了哪些大模型、接了哪些AI应用、谁在调用、接了什么数据都没有摸清楚，后面的治理很容易变成头痛医头、脚痛医脚。

更现实的情况是，很多企业其实已经用了不少AI，只是自己未必说得完整。

客服系统里可能接了智能问答，办公平台里可能有写作助手，研发团队可能在用代码助手，知识库里可能已经接入了问答能力，业务部门可能接了第三方AI API，个别团队甚至已经开始尝试Agent智能体。表面上看，大家只是各自提效；但从安全视角看，这些分散接入、分散使用的AI，已经在企业里形成了一批新的数字资产。

问题在于，很多企业对这批资产并没有一张清楚的图。

谁在用？用了什么模型？是公有云调用还是私有化部署？接了哪些接口？碰了哪些数据？权限边界在哪里？日志有没有留存？有没有对外提供服务？如果这些问题回答不清，企业很难真正谈得上AI安全治理。

所以，企业建设AI安全的第一步，不是先买工具，而是先盘点资产。先把模型、应用、接口、数据、用户和权限梳理清楚，才有后续治理的基础。

如果今天在一家企业里开个会，问一句：我们现在到底用了哪些大模型？很多时候，现场不会没有答案，而是答案不完整。

信息化部门可能知道统一采购或统一接入的模型平台，业务部门可能知道自己接入的智能客服和办公助手，研发团队知道代码助手和开发平台里的模型能力，安全团队可能掌握部分对外接口情况，但很少有企业能在第一时间拿出一份完整、统一、持续更新的AI资产清单。

这并不奇怪。因为AI的接入方式本来就很多，它不像传统系统那样总是以一个独立平台的形式出现。它可能是一个大模型底座，也可能是嵌在办公流程里的一个写作能力；可能是知识库问答，也可能是客服系统里的智能回复；可能是一套正式采购的行业模型，也可能只是一个部门临时接入的第三方API。

也正因为如此，AI资产盘点不能只盯着模型本身，而要把与模型相关的应用、接口、数据和使用关系一起看清楚。

很多人一提AI资产，想到的只是通用大模型。其实在企业里，真正需要盘点的范围往往更广。

最常见的，首先是通用大模型，包括企业统一采购、私有化部署或通过云平台调用的各类基础模型。其次是行业大模型，例如面向金融、政务、制造、医疗等垂直领域的模型能力。再往下，就是已经落到具体业务场景里的各类AI应用。

比如，客服场景中的智能客服，办公场景中的办公助手，研发场景中的代码助手，知识管理场景中的知识库问答，以及开始越来越常见的Agent智能体。此外，还有一个经常被忽略但非常关键的部分，就是各种第三方AI API。很多企业并没有上一个完整的大模型平台，而是在系统里零散接了多个AI能力接口，这些同样属于AI资产的一部分。

换句话说，企业要盘点的，不只是有没有用某个模型，而是要搞清楚：哪些模型被谁用在了什么场景里，又通过什么方式接进了业务。

只有把这张图拉出来，企业才知道自己的AI使用版图到底有多大。

盘点AI资产，不是简单列一个名称清单，更不是做一张汇总表就结束。真正有价值的盘点，至少要回答九个问题。

第一，模型来源是什么

这是企业自建的、采购的、合作方提供的，还是通过第三方平台调用的？模型来源不同，责任边界和风险点也不同。

第二，部署方式是什么

是本地部署、私有云部署，还是公有云API调用？部署方式决定了数据流向、管理边界和安全控制方式。

第三，调用接口有哪些

模型通过哪些API被接入系统？哪些业务系统正在调用？这些接口是不是还在持续使用？有没有冗余、重复或未经统一管理的调用入口？

第四，使用部门是谁

是客服在用，还是研发在用，还是多个部门都在用？不同部门的业务场景不同，风险暴露面也不同。

第五，接入了哪些数据

这一点往往最关键。模型接触的是公开资料，还是客户信息、合同、源代码、内部制度、经营数据？没有数据视角的AI资产盘点，很容易只看到“用了模型”，却看不到真正的风险在哪里。

第六，用户范围有多大

是少数管理员在用，还是全员可用？是内部使用，还是合作伙伴也能访问？用户范围越广，风险扩散面就越大。

第七，权限边界是否清楚

谁可以调用，谁可以配置，谁可以查看输出，谁可以接入数据，是否有审批机制，这些都需要明确。

第八，日志是否留存

模型调用有没有记录？输入输出是否可追溯？接口访问有没有日志？如果没有日志，很多问题发生之后根本没法复盘。

第九，是否对外提供服务

有些AI应用是内部提效工具，有些则已经面对客户、合作伙伴甚至公众。只要涉及对外服务，风险等级和治理要求就会进一步提高。

说到底，AI资产盘点不是为了知道企业有多少个模型，而是为了知道这些模型和应用到底是怎么进入业务、怎么接触数据、怎么被使用、又可能在哪些地方失控。

企业在做AI资产盘点时，最容易漏掉的，不是那些正式上线的AI系统，而是影子AI。

所谓影子AI，说得直白一点，就是企业不知道、管不到、也审不到的AI使用行为。比如员工私自使用外部AI工具处理工作内容，把合同、客户资料、源代码、内部制度、会议纪要直接上传；比如某个团队为了赶项目，绕过统一平台，自己接入一个第三方模型接口；再比如某个业务应用已经悄悄嵌入了AI能力，但并没有纳入统一的安全管理范围。

这些行为之所以危险，不只是因为用了外部工具，更关键的是企业对此不知情、不可控、不可审计。

一旦数据通过这些路径进入模型，企业很难说清楚数据有没有被违规使用，也很难判断模型输出有没有带来新的合规和安全风险。更麻烦的是，这类风险通常不是通过一次明显的安全事件暴露出来，而是在日常使用中不断积累，等真正出问题时，企业才发现自己连基本台账都没有。

所以，AI资产盘点的一个重要目标，就是把影子AI尽可能从看不见变成看得见。而只有看得见，才能谈治理。

很多企业一听资产盘点，容易理解成拉一张台账。台账当然需要有，但如果只是把名称、负责人和上线时间列出来，这样的台账价值非常有限。

真正有用的AI资产台账，应该把它放在更大的治理框架里去看。它至少要和三类能力形成连接。

第一类，是数据资产管理。因为AI资产到底重要不重要，很大程度上取决于它接了什么数据。模型本身只是能力载体，真正决定风险等级的，往往是数据类型、数据敏感度和数据流向。

第二类，是API资产管理。现在很多模型能力并不是以独立系统存在，而是通过接口嵌入业务系统。如果接口资产不清楚，AI资产就很难真正盘清。

第三类，是数据流动监测。企业做盘点，不是为了做一次静态登记，而是为了持续知道数据在模型调用过程中怎么流动、经过了哪些系统、有没有异常使用或越权访问。

也就是说，AI资产台账不能孤立存在，它应该成为AI安全治理的基础底图。一边连着模型和应用，一边连着数据、接口、用户和权限，只有这样，企业后续无论是做风险评估、访问控制、日志审计，还是做AI安全防护，才有抓手。

企业做AI安全，当然离不开评测、防护、审计和治理能力，但这些能力都建立在一个前提上：你得先知道自己在保护什么。

如果连企业内部有哪些模型、哪些应用、哪些调用关系、哪些高风险数据接入路径都不清楚，那么后面的很多动作都会缺乏针对性。安全策略很难落到具体对象上，权限管理很难做到精细化，日志审计也很难覆盖关键路径。

从这个意义上说，AI资产盘点并不是一项前期准备工作，而是整个AI安全建设的起点。

它解决的不是有没有风险的问题，而是更基础的问题：风险到底在哪里，发生在谁身上，沿着什么路径进入企业业务。

只有先把它看清楚，企业后面做分级分类、权限控制、日志留痕、输入输出防护、影子AI治理，才不会变成盲目加固。

所以，对很多企业来说，AI安全建设真正的第一步，往往不是先买一个工具，而是先做一轮扎实的AI资产盘点。

大模型进入企业之后，AI已经不只是一个新工具，而是一批新的资产、一组新的接口关系，也是一条新的数据和权限流动路径。

企业如果想把AI用得更深、更稳、更安全，第一步不是急着追求能力堆叠，而是先弄清楚自己到底用了哪些模型、哪些应用、哪些接口，又有哪些数据正在通过这些路径流动。

只有先把AI资产摸清楚，企业后续的安全评估、权限治理、日志审计和风险防护，才有真正落地的基础。

✦

✦