一个视觉隐喻:公司数据从上锁的公司笔记本电脑与私人手机之间的缝隙中逃逸,象征文章核心的“粘贴缺口”概念。
Artificial IntelligenceCybersecurityEnterprise Technology

你的员工早已把公司机密粘贴进 ChatGPT——封禁只会让情况更糟

Ashutosh SinghalAshutosh Singhal2026年1月30日13 min

我曾与一家大型金融服务公司的首席信息安全官(CISO)面对面坐着,他说了一句让我思索了好几周的话。他向后靠去,揉着太阳穴说:“我们在每一台受管设备上都封禁了 ChatGPT。我们更新了可接受使用政策。我们发了三封全公司范围的邮件。可就在上周二,我发现我们整个并购团队一直在午休时间用他们的私人手机把交易条款粘贴进 Claude。”

他并不生气。他只是精疲力竭。他把网络安全手册里教的每一件事都做了,却没有奏效。

那次对话让我一直以来在我们 Veriprajna 团队所承接的每一个企业项目中看到的东西变得清晰起来:封禁生成式 AI 并不能阻止人们使用它——只会让他们把使用行为藏起来。而隐蔽的使用比公开的使用危险无数倍。数据也讲述着同样的故事。46% 的员工表示,即使公司明确禁止,他们也会继续使用 AI 工具。38% 的人承认,他们已经在未告知任何人的情况下,把敏感的工作数据分享给了公共 AI 平台。流向生成式 AI 应用的数据量同比增长了三十倍。这不是一个政策问题,而是一个架构问题。

三星改变一切的那一夜

2023 年 5 月,三星半导体部门的三名工程师做了一件完全合乎情理的事。他们正在调试专有的芯片制造代码——那是一项复杂而高风险的工作,一个第二意见就可能省下好几天的工夫。于是他们把代码粘贴进了 ChatGPT。

一人上传了半导体测量数据库的源代码。另一人分享了用于识别良率缺陷的程序逻辑——那是直接影响三星股价的那类数据。第三人上传了一段内部会议录音以生成会议纪要。

他们中没有一个人是想伤害公司。他们是想把工作做好。他们对待 ChatGPT 的方式就像对待计算器:输入点什么,得到点什么,然后继续。他们没有完全领会的是,当时 OpenAI 的服务条款允许保留输入内容——有可能被用于模型训练,肯定会存储在三星无法掌控的服务器上。

我记得读到那些新闻报道时,胃里一阵揪紧。不是因为泄露令人意外——我早就一直在向客户警告正是这种情况——而是因为三星的应对如此可以预料。他们发布了一道全公司范围的禁令。以解雇威胁违规者。锁死了网络。

而我以绝对的确信知道,这行不通。

为什么封禁 AI 总会适得其反?

多数安全团队搞错的地方在于:他们把威胁建模成仿佛员工是对手。筑起一道更高的墙,问题就消失了。可那些把数据泄露给 ChatGPT 的人并不是对手。他们是你最优秀的员工。

想想到底是谁在工作中使用 AI 工具。不是那个混日子的人。而是那个背负着周五前必须交付压力的工程师。是那个需要在早上之前把四十页尽职调查材料总结出来的分析师。是那个知道 AI 能在几秒钟内发现一个自己手动排查要花一小时才能找到的 bug 的开发者。

当你封禁工具时,你其实是在告诉你最高产的员工:“慢一点。低效一点。眼睁睁看着你的竞争对手超越你,然后接受它。”他们当然不会照做。他们只是切换到自己的私人手机。他们用 4G 热点绕过公司网络。他们会找到 Netskope 在企业环境中追踪到的 317 多个不同的生成式 AI 应用中的一个——因为即便你封禁了 OpenAI、Google 和 Anthropic,还有数百个更小、更不安全的替代品在等着。

当安全被视为障碍而非助力时,你最尽责的员工就会变成你最主要的政策违规者。

在与团队的交流中,我开始把这称为“粘贴缺口”(Paste Gap)。数据离开安全的公司笔记本电脑,转移到私人设备上,然后被粘贴进一个公共云服务。没有防火墙拦住它。没有 CASB 记录它。它是隐形的。而它此刻正在发生,就在每一个试图用一份政策备忘录来解决这个问题的组织里。

这些数字令人瞠目:被粘贴进 AI 工具的专有源代码增加了 485%。72% 的企业 AI 使用是通过个人账户进行的,完全在 IT 的可见范围之外。这不是涓涓细流,而是一场洪水,而堤坝是纸糊的。

我对“企业级”AI 分层曾经搞错的地方

我得坦白——当 OpenAI 推出 ChatGPT Enterprise 时,我以为它或许就够了。零数据保留。不用业务数据训练。SOC 2 合规。它把该打的勾都打上了。

然后我们开始为客户做更深入的尽职调查,裂缝就显现了。

即便是企业级协议,通常也包含一个短暂的数据保留窗口——往往是三十天——用于滥用监控。那就是你最敏感的提示词在别人的服务器上待着的三十天。而这个“别人”是一家美国公司,这就把我们带到一个让欧洲的 CISO 夜不能寐的问题。

美国《云法案》(CLOUD Act)——即《澄清境外数据合法使用法案》——允许美国执法部门强制美国科技公司交出存储在其服务器上的数据,无论那些服务器实际位于何处。如果一家德国银行使用带法兰克福数据中心的 Azure OpenAI,数据也许“静态存储”在欧盟境内,但控制它的法律主体仍受美国搜查令的约束。在推理过程中——当模型实际处理你的数据时——它可能仍会经由美国控制的基础设施进行传输。

当我带着一屋子合规官逐一梳理这一点时,我看着他们脸色发白。他们当初签下企业级协议,以为已经解决了数据主权问题。他们连它的皮毛都没触到。

我在我们关于影子 AI 与私有企业级 LLM 的交互式白皮书中写到了这个架构问题——以及完整的威胁模型。它正是从这些对话中诞生的。

套壳陷阱

大约在同一时期,我的收件箱开始被来自各家 AI 咨询公司的推销塞满。“我们将为你打造一套定制 AI 解决方案!”其中大多数都是套壳——在 OpenAI API 之上加装一个漂亮的界面,也许再配上一句写着“你是一位乐于助人的法律助理”的系统提示词。

我曾坐着看完一场演示,供应商自豪地展示了一套用于合同分析的“专有 AI 平台”。我只问了一个问题:“当用户上传一份合同时,数据流向哪里?”一片沉默。然后:“嗯,它会流向 OpenAI API,不过我们签了一份 BAA。”

那不是解决方案。那是一个给你的数据泄露增加延迟的中间人。

套壳解决不了数据主权问题。它只是把数据外流的界面美化了一番。

套壳在三个具体方面辜负了企业。首先,它们极易被复制——如果你的“AI 解决方案”不过是一段提示词加一个 API 密钥,你的实习生一个下午就能把它重建出来。其次,它们缺乏与你实际数据的深度集成,难以应对公司特有术语、遗留代码库或访问控制的细微之处。第三——这一点才是致命的——它们仍然把你的数据经由公共互联网发送给第三方提供商。安全风险丝毫未变。你只是给它加了个 logo 而已。

“拥有智能”究竟意味着什么?

一张架构示意图,比较了三种方式——公共 API/套壳、企业级 API 层,以及自托管私有 LLM——展示在每种情形下数据都流向何处。

有那么一个具体的时刻,我们 Veriprajna 的做法变得清晰起来。当时我们在为一家受监管行业的客户工作——我不能说是哪一家,但可以想象成“那种一旦泄露就会上晚间新闻的数据”。他们的法务团队刚刚叫停了一个很有前景的 AI 试点项目,因为它依赖于一个公共 API。工程团队怒不可遏。业务部门则威胁要另起炉灶,用个人账户自己搭一套东西。

我当时正和我的首席架构师通话,他说了一句很简单的话:“我们为什么要争论用哪个 API?我们干脆自己把模型跑起来就好了。”

就在那时,我们全力投入到我现在称之为Deep AI的东西——把开源大语言模型直接部署在客户自己的基础设施内部。不是给别人的模型套壳。不是按 token 租用智能。而是真正地拥有它。

在实践中它是这样的。你选取一个高性能的开放权重模型——比如 Meta 的 Llama 3,其中 700 亿参数的版本在许多基准测试上可与 GPT-4 匹敌——然后把它部署在客户虚拟私有云(VPC)内部的 GPU 实例上。模型权重存放在客户掌控的硬件上。推理引擎运行在公司防火墙之后。当开发者用专有代码向模型发出提示词时,那段代码从他的笔记本电脑传到一台内部服务器,在内存中被处理,然后返回。它从不接触公共互联网。它从不落到第三方服务器上。

我们把这与我们所称的私有 RAG(Private RAG)搭配起来——检索增强生成,构建在部署于同一安全环境内部的向量数据库之上。公司的文档被摄入、嵌入并本地存储。而且关键在于,该系统尊重既有的访问控制。如果你在 SharePoint 中没有查看某份文档的权限,AI 也不会为了回答你的问题而去检索它。那种“扁平授权”问题——聊天机器人意外地把机密数据呈现给任何提问的人——在这套架构中根本不存在。

如何让一个原始模型达到企业级?

我们早期学到的最艰难的一课之一是:部署一个模型大概只是工作的三成。让成千上万名员工每天都能安全地使用它——那才是另外的七成。

原始语言模型是不可预测的。它们会乐呵呵地讨论本不该讨论的话题,生成违反公司政策的内容,或者响应旨在绕过安全协议的巧妙提示词注入。你需要护栏——本质上是一道针对提示词的防火墙。

我们把 NVIDIA NeMo Guardrails 实现为环绕模型的一个可编程层。在提示词抵达模型之前,它会被扫描。如果有人输入社会安全号码或信用卡号,护栏就会拦住它。如果有人向一个 HR 机器人询问数据库密码,系统会识别出意图不匹配并予以拒绝。如果有人尝试越狱攻击——那些“忽略此前所有指令”的把戏——防御层会将其拦截。

我记得我们对一个早期部署做过一次渗透测试。我们的红队花了两天时间试图提取训练数据或绕过话题限制。他们发挥了创意——嵌套的角色扮演提示词、编码后的指令,各种花招都用上了。护栏顶住了。凌晨两点,我的架构师给我发来一张被拦截尝试日志的截图,只配了一句话:“墙很稳。”那是个不错的夜晚。

关于这套架构的完整技术拆解——推理栈、向量数据库配置、护栏实现——请见我们关于企业级 AI 安全的技术深度剖析

“但 GPU 很贵,而 API 很便宜”

一张成本对比信息图,展示 API 成本如何随规模线性增长,而自托管成本则保持相对平坦,并附有文中的关键数据点。

这是我从 CFO 那里最常听到的反对意见,而它错得很有必要拆解一番。

没错,API 定价表面上看很便宜——每个 token 只要几分之一美分。但企业级 RAG 应用对 token 的胃口贪得无厌。为了回答一个问题,系统可能会检索十页上下文作为输入 token。把这乘以一千名员工每天各问十个问题,你就面对着每天 1000 到 3000 美元的开销。那有可能是一年一百万美元,而且它是线性增长的。如果采用率翻倍,账单也翻倍。

自托管模型的运作方式则不同。你付的是硬件的钱——GPU 的租用或购买——以及电费。一个配置得当的单节点每秒就能处理数千个请求。在你把那个节点跑满之前,下一个 token 的边际成本实际上为零。对于一家每月处理十亿 token 的中型公司,我们见到自托管的成本比同等 API 成本便宜 50% 到 70%,而隐私是免费附赠的红利。

而且 API 还有一些永远不会出现在发票上的隐性成本。会在全公司铺开期间引发中断的速率限制。会在提供商停用某个版本时迫使你重新测试每一个提示词和工作流的模型弃用。有了自托管模型,除非你自己决定升级,否则什么都不会变。你得到的是稳定性。你得到的是可预测性。你不必再去操心 OpenAI 的定价委员会下个季度会做出什么决定。

在企业规模上,自托管并不是昂贵的那个选项。它是那个在采用取得成功时不会让你破产的选项。

为什么大家还没都这么做?

人们会问我这个问题,而诚实的答案是:这很难。不是概念上难——逻辑很直白——而是运营上难。你需要既懂得用 Kubernetes 做 GPU 编排、又能为最优吞吐量配置 vLLM、还知道如何构建具备 RBAC 意识的检索流水线、并且能实现既足够严格以防止滥用又足够灵活以不至于惹恼用户的护栏的人。

多数企业没有那样的团队。多数 AI 咨询公司也没有——他们知道怎么调用一个 API,却不知道怎么部署一套推理栈。那正是我们 Veriprajna 所填补的缺口。我们不出售对某个模型的访问权。我们构建的是独立运行模型的能力。当我们离开时,客户拥有一切——微调后的模型权重、向量索引、编排基础设施。这些都是他们的。这才是全部的意义所在。

另一件拖慢采用的事情是惯性。那位封禁了 ChatGPT 的 CISO 感觉自己做了点什么。承认禁令没起作用,就意味着承认过去一年的政策执行不过是一场表演。那是一场很难向董事会交代的对话。但另一种选择——一边假装问题不存在,一边任由员工把源代码粘贴进个人 AI 账户——更糟。下一次三星规模的泄露不是会不会发生的问题。而是何时发生,以及是否会发生在你身上。

影子 AI 中隐藏的信号

我认为多数人对影子 AI 这场瘟疫看漏了的东西是:它不只是一个安全问题。它是一个信号。一个响亮而明确无误的信号,表明你的员工队伍正迫切渴望更好的工具,并且愿意冒着丢掉工作的风险去得到它们。

46% 的员工表示他们会违抗一道明确的禁令。那不是为了叛逆而叛逆。那是人们在用他们的行动告诉你,AI 已经成为他们工作方式中不可或缺的一部分。问题不在于你的组织是否会使用生成式 AI。那个决定早已做出——由你的员工做出,未经你的许可,在他们的私人设备上,在午休时间里。

剩下的唯一问题是,你是否会提供一种安全的方式,去做他们已经在以不安全的方式做着的事。

影子 AI 是你的员工队伍在用他们的键盘敲击投票。他们已经选择了 AI。现在轮到你选择:可见且安全,还是隐形且不断失血般泄露数据。

我们已经走过了那个把“不”当作一种可接受的 AI 战略的时代。开源模型已经足够好。部署基础设施已经足够成熟。经济账算得过来。横亘在多数企业与自主 AI 能力之间的,只剩下一样东西:停止假装禁令有效的意愿。

你不需要封禁 AI。你需要拥有它。

Related Research

Also Published On