員工自建 Vibe Coding 應用成影子 AI 新風險
Red Access 2026 年 6 月研究發現,主流 AI 驅動開發平臺上約 5,000 個企業用途 AI 生成應用可公開存取,其中 40%(約 2,000 個)暴露敏感資料且缺乏存取控管,部分甚至預設賦予訪客管理者權限。
背景
Vibe Coding 指利用 AI 工具(如 Cursor、GitHub Copilot 等)快速生成應用程式的開發模式。隨著門檻降低,各部門非技術員工也開始自行建立 AI 應用,在未經 IT 或資安審查的情況下串接企業內部資料與正式系統。
核心風險
| 面向 | 說明 |
|---|---|
| 影子 AI(Shadow AI) | 員工在 IT/資安部門不知情下建立、部署並公開 AI 應用 |
| 資料暴露 | 應用匯入企業敏感資料後公開上線,缺乏存取控管 |
| 權限失控 | 部分應用預設賦予任何訪客管理者權限 |
| 生產系統串接 | AI 應用直接連接正式生產環境,擴大攻擊面 |
數據
- 約 5,000 個可公開存取的企業用途 AI 生成應用(Red Access,2026-06-01)
- 約 40%(~2,000 個)含敏感資料但缺乏基本身分驗證
風險演變脈絡
舊的影子 AI 風險:員工將敏感資料輸入 ChatGPT 等聊天工具。
新的影子 AI 風險(2026):員工自建 AI 應用 → 匯入內部資料 → 串接正式生產系統 → 未審查即公開上線。
緩解建議
- AI 應用資產盤點:定期掃描並識別組織內自建 AI 應用
- 治理流程:建立申請、審查與持續監控機制
- 使用規範:明訂可用平臺、可處理資料類型與最低安全標準
關聯
- red-access — 研究機構,發布此調查
相關頁面
- 非人類身分NHI治理危機與AI Agent資安威脅 — NHI 與 AI 代理安全治理相關議題
- 臺灣企業AI使用風險與中國AI模型封鎖現況2026 — 企業 AI 使用風險現況