2025年企业级AI与SaaS数据安全报告透露,现在好多企业把AI和SaaS当成主要的办公工具,可这也给数据安全埋下了隐患。以前那种只盯着文件的DLP防护方式根本行不通了,现在浏览器才是企业数据最容易出问题的地方,可惜大家都没太在意。这篇报告把核心发现都摆出来了。 先说AI这边,它早就不是个玩玩的工具了,好多公司把它当成了核心生产力。现在有45%的员工天天在用AI工具,占整体办公活动的11%。ChatGPT在这上面独霸一方,占了92%的市场份额,83.5%的人只用它一家。但它也成了泄露的重灾区。有77%的员工会把数据往AI里面粘贴,82%的操作都是用个人账户干的。大家平均一天给个人账户贴14次数据,至少3次里面有敏感的信息。上传到AI的文件里有40%也有PII或者PCI这样的敏感内容。 再看SaaS这块儿的漏洞也很大。很多系统都用个人账户登录:67%的AI工具、87%的即时通讯、64%的Zoom、77%的Salesforce都是这样。就算用的是企业账户,SSO单点登录也没做太好。像ERP和CRM这种存核心数据的系统里,非联邦化登录的比例分别高达83%和71%。这些个人账户跟普通用户账户没什么两样,安全防护根本不管用。 除了AI以外,文件存储和即时通讯也是泄露的重灾区。41%上传到存储平台的文件里有敏感信息,近四成的操作都是个人账户弄的。87%的即时通讯操作也是个人账户弄的。62%的人会往聊天工具里粘贴敏感数据。 复制粘贴这种方式因为不显眼,成了最主要的泄露手段。员工平均一天贴46次。虽然个人账户贴得少点但更危险,而且这种行为基本没人管得到。现在泄露的渠道越来越多也越来越模糊了。员工不光把数据发到影子IT工具上还会在不同平台间来回倒腾,传统DLP根本就发现不了。 针对这些问题,报告给CIO们提了建议:一是查清楚影子AI和嵌入在SaaS里的AI工具是谁在用怎么用的;二是把DLP策略从盯文件改成盯行为;三是限制个人账户的使用;四是给生成式AI同样严格的防护;五是先管好AI、即时通讯和文件存储这些高危的类别。另外还推荐把浏览器当核心节点来管。