員工自建 Vibe Coding 應用成影子 AI 新風險

Red Access 2026 年 6 月研究發現,主流 AI 驅動開發平臺上約 5,000 個企業用途 AI 生成應用可公開存取,其中 40%(約 2,000 個)暴露敏感資料且缺乏存取控管,部分甚至預設賦予訪客管理者權限。

背景

Vibe Coding 指利用 AI 工具(如 Cursor、GitHub Copilot 等)快速生成應用程式的開發模式。隨著門檻降低,各部門非技術員工也開始自行建立 AI 應用,在未經 IT 或資安審查的情況下串接企業內部資料與正式系統。

核心風險

面向說明
影子 AI(Shadow AI)員工在 IT/資安部門不知情下建立、部署並公開 AI 應用
資料暴露應用匯入企業敏感資料後公開上線,缺乏存取控管
權限失控部分應用預設賦予任何訪客管理者權限
生產系統串接AI 應用直接連接正式生產環境,擴大攻擊面

數據

  • 約 5,000 個可公開存取的企業用途 AI 生成應用(Red Access,2026-06-01)
  • 約 40%(~2,000 個)含敏感資料但缺乏基本身分驗證

風險演變脈絡

舊的影子 AI 風險:員工將敏感資料輸入 ChatGPT 等聊天工具。

新的影子 AI 風險(2026):員工自建 AI 應用 → 匯入內部資料 → 串接正式生產系統 → 未審查即公開上線。

緩解建議

  1. AI 應用資產盤點:定期掃描並識別組織內自建 AI 應用
  2. 治理流程:建立申請、審查與持續監控機制
  3. 使用規範:明訂可用平臺、可處理資料類型與最低安全標準

關聯

相關頁面

來源文章