
你的員工早已把公司機密洩漏給 ChatGPT——封鎖只會讓情況更糟
我曾與一家大型金融服務公司的資安長(CISO)面對面而坐,他說了一句讓我思索了好幾週的話。他往後靠、揉著太陽穴,說:「我們在每一台由我們管理的裝置上都封鎖了 ChatGPT。我們更新了可接受使用政策。我們發了三封全公司的電子郵件。結果上週二,我發現我們整個併購(M&A)團隊午餐時間都在用個人手機把交易條款貼進 Claude 裡。」
他並不生氣。他是筋疲力盡。他做足了資安手冊要他做的每一件事,結果卻沒有用。
那次對話讓我把某件事看得無比清晰——那是我在 Veriprajna 的團隊接手的每一個企業案子中都看到的現象:禁用生成式 AI 並不會阻止人們使用它——只會讓他們把使用行為藏起來。而隱藏的使用,比看得見的使用危險無數倍。數據也說著同樣的故事。四十六%的員工表示,即使公司明確禁止,他們仍會繼續使用 AI 工具。三十八%的人承認,他們已經在沒有告訴任何人的情況下,把敏感的工作資料分享給公開的 AI 平台。流向生成式 AI 應用程式的資料量,年增達三十倍。這不是一個政策問題。這是一個架構問題。
三星改變一切的那一夜
2023 年 5 月,三星半導體部門的三名工程師做了一件完全合乎理性的事。他們正在為專有的晶片製造程式碼除錯——這是複雜、高風險的工作,一個第二意見就能省下好幾天的功夫。於是他們把程式碼貼進了 ChatGPT。
其中一人上傳了半導體量測資料庫的原始碼。另一人分享了用於辨識良率缺陷的程式邏輯——這種資料會直接影響三星的股價。第三人則上傳了一段內部會議錄音來生成會議紀錄。
他們沒有一個人是想傷害公司。他們是想把工作做好。他們對待 ChatGPT 的方式,就像對待一台計算機:輸入某些東西、得到某些東西、然後繼續往前走。他們沒有完全理解的是,OpenAI 當時的服務條款允許保留輸入內容——有可能被用於模型訓練,而且肯定會儲存在三星無法掌控的伺服器上。
我記得讀到那些新聞報導時,胃裡揪成一團。不是因為這起洩漏令人意外——我一直在向客戶警告的正是這種情境——而是因為三星的反應如此可預期。他們發布了全公司的禁令。對違規者祭出解僱威脅。把網路鎖得死死的。
而我懷著絕對的確信知道,這行不通。
為什麼禁用 AI 總是適得其反?
多數資安團隊搞錯的地方在於:他們把威脅模型建立在員工是敵人的假設上。築一道更高的牆,問題就消失了。但那些把資料洩漏給 ChatGPT 的人並不是敵人。他們是你最頂尖的績優人員。
想想到底是誰在工作中真正使用 AI 工具。不是那個一整天混日子的人。而是那個承受著週五前要交付壓力的工程師。那個必須在早上前把四十頁盡職調查摘要完成的分析師。那個知道 AI 能在幾秒內揪出一個他手動要花一小時才找得到的錯誤的開發者。
當你禁用這項工具,你其實是在對你最有生產力的人說:「慢一點吧。效率低一點吧。看著你的競爭對手超越你,並且接受它。」他們當然不會照做。他們只會改用自己的個人手機。他們用 4G 熱點繞過公司網路。他們找出 Netskope 在企業環境中追蹤到的三百一十七種以上不同的生成式 AI 應用程式中的一個——因為即使你封鎖了 OpenAI、Google 和 Anthropic,還有數百個更小、更不安全的替代品在等著。
當資安被視為阻礙而非助力時,你最盡責的員工就會變成你最主要的政策違規者。
我開始在與團隊的對話中把這稱為「貼上缺口」(Paste Gap)。資料離開安全的公司筆電,前往個人裝置,然後被貼進公開的雲端服務。沒有防火牆攔得住它。沒有 CASB 記錄它。它是看不見的。而且它此刻正在發生——就在每一個試圖用一份政策備忘錄解決這個問題的組織裡。
這些數字令人瞠目結舌:貼進 AI 工具的專有原始碼增加了 485%。七十二%的企業 AI 使用是透過個人帳號進行的,完全在 IT 的可見範圍之外。這不是涓滴細流。這是一場洪水,而堤壩是紙糊的。
關於「企業級」AI 分級,我搞錯了什麼
我坦白說——當 OpenAI 推出 ChatGPT Enterprise 時,我以為它或許就夠了。零資料保留。不以商業資料進行訓練。SOC 2 合規。它把該勾的框都勾了。
後來我們開始為客戶做更深入的盡職調查,裂縫就顯露出來了。
即使是企業級協議,通常也包含一段短暫的資料保留期——往往是三十天——用於濫用監控。那是三十天,你最敏感的提示詞就擱在別人的伺服器上。而那個「別人」是一家美國公司,這就把我們帶到一個讓歐洲資安長徹夜難眠的問題。
美國《雲端法案》(US CLOUD Act)——《釐清海外資料合法使用法》——允許美國執法機關強制美國科技公司交出儲存在其伺服器上的資料,無論那些伺服器實際位於何處。如果一家德國銀行使用位於法蘭克福資料中心的 Azure OpenAI,資料或許在歐盟境內「靜態儲存」,但掌控它的法律實體仍受美國搜索令的管轄。在推論過程中——當模型實際處理你的資料時——它仍可能經由美國掌控的基礎設施進行傳輸。
當我帶著一整屋子的合規官員逐步了解這一點時,我看著他們臉色發白。他們簽下那份企業級協議時,以為自己已經解決了主權問題。他們連皮毛都還沒碰到。
我在我們關於影子 AI 與私有企業 LLM 的互動式白皮書中寫過這個架構問題——以及完整的威脅模型。它正是從這些對話中誕生的。
包裝層陷阱
大約在同一時期,我的收件匣開始塞滿來自各家 AI 顧問公司的提案。「我們會為你打造一套客製化的 AI 解決方案!」它們大多只是包裝層——在 OpenAI API 上頭鎖上一個漂亮的介面,或許再加一句系統提示詞:「你是一位樂於助人的法律助理。」
我曾坐著看完一場示範,廠商得意地展示一套用於合約分析的「專有 AI 平台」。我只問了一個問題:「當使用者上傳一份合約時,資料會去哪裡?」一陣沉默。然後:「呃,它會傳到 OpenAI API,但我們有簽訂 BAA。」
那不是解決方案。那是一個中間人,替你的資料洩漏增添了延遲。
包裝層並不能解決資料主權問題。它只是把資料外流的介面美化了一番。
包裝層在三個具體面向上辜負了企業。第一,它們極易被複製——如果你的「AI 解決方案」不過是一段提示詞加一把 API 金鑰,你的實習生一個下午就能重建它。第二,它們缺乏與你實際資料的深度整合,在面對公司特有術語、老舊程式庫或存取控制的細微之處時捉襟見肘。第三——而這才是致命傷——它們仍舊把你的資料經由公開網際網路傳送給第三方供應商。資安風險絲毫沒變。你只是替它加了個商標。
「擁有智慧」實際上是什麼意思?

有一個明確的時刻,讓我們在 Veriprajna 的做法變得清晰起來。我們當時正與一位受監管產業的客戶合作——我不能說是哪一個產業,但你可以想像成「那種一旦洩漏就會上晚間新聞的資料」。他們的法務團隊剛剛否決了一項很有前景的 AI 試點計畫,因為它仰賴一個公開的 API。工程團隊怒不可遏。該業務部門揚言要自行其是,用個人帳號打造自己的東西。
我當時正和我的首席架構師通話,他說了一句很簡單的話:「我們為什麼要爭論該用哪個 API?我們應該自己來跑這個模型。」
就是在那一刻,我們全心投入了我現在稱之為深度 AI(Deep AI)的做法——把開源大型語言模型直接部署在客戶自己的基礎設施內。不是包裝別人的模型。不是按 token 租用智慧。而是真正地擁有它。
以下是這在實務中的樣貌。你採用一個高效能的開放權重模型——例如 Meta 的 Llama 3,其 70B 參數版本在許多基準測試上足以與 GPT-4 匹敵——然後把它部署在客戶虛擬私有雲(VPC)內的 GPU 執行個體上。模型權重存放在客戶掌控的硬體上。推論引擎在公司防火牆後方運行。當一名開發者用專有程式碼向模型提問時,那段程式碼從他的筆電傳到內部伺服器、在記憶體中被處理、然後回傳。它從不接觸公開網際網路。它從不落在第三方伺服器上。
我們把這與我們所稱的「私有 RAG」搭配使用——建立在部署於同一安全環境內的向量資料庫之上的檢索增強生成。公司的文件被擷取、嵌入並在本地端儲存。而且關鍵在於,系統會尊重既有的存取控制。如果你沒有權限查看 SharePoint 裡的某份文件,AI 也不會為了回答你的問題而去檢索它。那個「扁平授權」問題——聊天機器人不小心把機密資料呈現給任何提問者——在這種架構中根本不存在。
如何讓一個原始模型達到企業等級?
我們早期學到最艱難的教訓之一是:部署一個模型大概只占工作的三成。讓它安全到能讓數千名員工每天使用——那才是另外的七成。
原始的語言模型是難以預測的。它們會樂於討論不該討論的話題、生成違反公司政策的內容,或回應那些精心設計來繞過安全協定的巧妙提示詞注入。你需要護欄——本質上就是一道用於提示詞的防火牆。
我們把 NVIDIA NeMo Guardrails 導入為模型周圍一個可程式化的層。在提示詞抵達模型之前,它會先被掃描。如果有人輸入社會安全號碼或信用卡卡號,護欄會攔截它。如果有人向一個 HR 機器人詢問資料庫密碼,系統會辨識出意圖不符並予以拒絕。如果有人嘗試越獄攻擊——那些「忽略先前所有指令」的把戲——防禦層會攔截它。
我記得有一次我們對某個早期部署進行滲透測試。我們的紅隊花了兩天嘗試提取訓練資料或繞過主題限制。他們玩得很有創意——巢狀角色扮演提示詞、編碼指令,各種花招都用上了。護欄守住了。我的架構師在凌晨兩點傳給我一張被攔截嘗試記錄的截圖,只附上一句話:「牆很牢。」那是個美好的夜晚。
若要完整了解這套架構的技術剖析——推論堆疊、向量資料庫組態、護欄實作——請參閱我們關於企業 AI 安全的技術深度剖析。
「但 GPU 很貴,而 API 很便宜」

這是我最常從財務長(CFO)那裡聽到的反對意見,而它在一個值得剖析的層面上是錯的。
沒錯,API 的定價表面上看起來很便宜——每個 token 只要幾分之一美分。但企業級 RAG 應用程式對 token 的胃口大得驚人。為了回答一個問題,系統可能會檢索十頁的脈絡作為輸入 token。把它乘上一千名員工每天各問十個問題,你看到的就是每天 1,000 到 3,000 美元。那有可能是一年一百萬美元,而且它呈線性成長。如果採用率翻倍,帳單就翻倍。
自架模型的運作方式不同。你付的是硬體費用——GPU 的租用或購置——以及電費。單一設定良好的節點每秒就能處理數千個請求。在你把那個節點跑到飽和之前,下一個 token 的邊際成本實際上是零。對於一家每月處理十億個 token 的中型公司,我們見過自架的成本比等值的 API 成本便宜五成到七成,而隱私還是免費附贈的紅利。
而 API 還有一些從不會出現在帳單上的隱藏成本。在全公司推行期間造成服務中斷的速率限制。當供應商淘汰某個版本時,逼你重新測試每一段提示詞與工作流程的模型棄用。有了自架模型,除非你決定要升級它,否則什麼都不會變。你得到穩定性。你得到可預測性。你得以不必再擔心 OpenAI 的定價委員會下一季會決定什麼。
在企業規模上,自架並不是昂貴的選項。它是那個在採用成功時不會讓你破產的選項。
為什麼不是每個人早就這麼做了?
人們問我這個,而誠實的答案是:這很難。不是概念上難——邏輯很直截了當——而是在營運上難。你需要懂得用 Kubernetes 進行 GPU 編排的人、能為最佳吞吐量組態 vLLM 的人、知道如何建構具 RBAC 意識的檢索管線的人、能實作出既嚴格到足以防止濫用、又靈活到不會惹惱使用者的護欄的人。
多數企業並沒有那樣的團隊。多數 AI 顧問公司也沒有——他們懂得如何呼叫一個 API,卻不懂如何部署一套推論堆疊。那就是我們在 Veriprajna 所填補的缺口。我們不販售對某個模型的存取權。我們建立起獨立運行模型的能力。當我們離開時,客戶擁有一切——微調後的模型權重、向量索引、編排基礎設施。它們都是客戶的。這正是整件事的重點。
另一件拖慢採用的事情是慣性。那位封鎖了 ChatGPT 的資安長,覺得自己做了點什麼。承認那道禁令沒有用,就等於承認過去一整年的政策執行不過是一場戲。那是一場很難對董事會啟齒的對話。但另一種選擇——在員工把原始碼貼進個人 AI 帳號的同時,假裝問題不存在——更糟。下一起三星規模的洩漏會不會發生,已經不是問題所在。問題在於它何時發生,以及它會不會發生在你身上。
藏在影子 AI 中的訊號
以下是我認為多數人對影子 AI 這場流行病所忽略的:它不只是一個資安問題。它是一個訊號。一個響亮、明確無誤的訊號,說明你的員工正極度渴望更好的工具,並且願意冒著飯碗不保的風險去取得它們。
四十六%的員工表示,即使有明確禁令,他們也會違抗。那不是為反抗而反抗。那是人們透過他們的行動告訴你,AI 已經成為他們工作方式中不可或缺的一部分。問題不在於你的組織會不會使用生成式 AI。那個決定早已被做成了——由你的員工做成,未經你的許可,在他們的個人裝置上,在午餐時間。
唯一剩下的問題是:你會不會提供一種安全的方式,去做他們早已在不安全地做著的事。
影子 AI 是你的員工用鍵擊在投票。他們已經選擇了 AI。現在換你選:看得見且安全,還是看不見且不斷流失資料。
我們已經走過那個把「不」當成一種可接受的 AI 策略的年代。開源模型已經夠好。部署的基礎設施已經夠成熟。經濟帳算得過去。橫亙在多數企業與主權 AI 能力之間的唯一障礙,就是願不願意停止假裝禁令有用。
你不需要禁用 AI。你需要擁有它。