員工自建Vibe Coding應用成影子AI新風險,有兩千個企業用途工具暴露敏感資料

來源: iThome
發布日期: 2026-06-01
URL: https://www.ithome.com.tw/news/176269
研究機構: Red Access

摘要

資安公司 Red Access 在主流 AI 驅動開發平臺上發現約 5,000 個可公開存取、用於企業用途的 AI 生成應用,其中約 40%(約 2,000 個)含企業營運、個人或敏感資料,卻未設置基本身分驗證與存取控管。部分應用甚至預設給任何開啟頁面的人管理者權限。

關鍵數據

  • 5,000 個可公開存取的企業用途 AI 生成應用
  • 約 2,000 個(40%)暴露敏感資料,缺乏存取控管
  • 部分應用預設賦予訪客管理者權限

風險演變

舊風險新風險
員工將敏感資料輸入 AI 聊天工具員工自建 AI 應用 → 匯入內部資料 → 串接正式生產系統

問題根源

  • 各部門員工自行建立應用,未經 IT 或資安團隊審查即公開上線
  • Vibe Coding 工具降低了建立應用的技術門檻,但同時也降低了安全意識門檻

建議措施

  1. 建立 AI 應用資產盤點機制
  2. 導入申請、審查與持續治理流程
  3. 明確規範可使用的 AI 開發平臺、可處理的資料類型、最低資安標準

衍生頁面