背景與概述

隨著人工智慧（AI）工具在企業中的普及，特別是像Otter AI這樣的AI筆記工具，其快速採用帶來了顯著的生產力提升，但也引發了資安與合規性的挑戰。Otter AI是一款自動化會議記錄與轉錄工具，通過整合日曆與會議平台（如Zoom、Google Meet），能夠自動加入會議並生成筆記。然而，其快速擴張的採用模式，尤其是未經授權的帳戶激增，對企業的資安管理構成威脅。
一家大型企業在90天內發現800個新Otter AI帳戶的案例，凸顯了未經控制的AI工具採用可能導致的「影子AI」問題。
Nudge Security提供了一套AI安全管理解決方案，幫助企業發現、評估並移除未經授權的Otter AI帳戶，同時確保AI工具的採用符合組織的資安與合規要求。本報告將詳細分析Otter AI的資安風險、Nudge Security的移除與管理策略、企業應對措施，以及AI工具治理的長期展望，旨在為企業提供實用的指導。

Otter AI的資安風險

1. 未經授權的帳戶激增：Otter AI的產品導向成長策略鼓勵用戶快速註冊，無需企業授權即可創建帳戶。這種模式導致員工在未經IT或資安團隊批准的情況下使用Otter AI，形成了影子AI的風險。這些未受管理的帳戶可能存取敏感會議資料，例如財務資訊、客戶數據或內部策略，增加資料外洩風險。
2. OAuth權限的隱患：Otter AI常通過OAuth整合存取員工的日曆與會議資料，這可能包括與會者的聯繫資訊。雖然日曆存取不是強制要求，但許多用戶為充分利用功能而授予此權限。未妥善管理的OAuth權限可能導致Otter AI存取超出其必要範圍的資料，違反GDPR或HIPAA等法規。
3. 資料隱私與AI訓練：Otter AI的隱私政策顯示，其免費版本可能使用會議錄音與轉錄資料進行AI模型訓練，儘管聲稱資料已去識別化，仍可能包含敏感資訊。此外，Otter AI與第三方資料標記服務提供商分享資料，這增加了資料外洩與隱私風險。對於處理敏感通訊的企業，這可能導致合規性挑戰。
4. 資料保留的不確定性：Otter AI的隱私政策未明確說明資料保留期限，長期的資料儲存增加了資料洩露風險。即使企業要求刪除帳戶，已用於AI訓練的資料可能無法完全移除，這對於需要遵守嚴格隱私法規的組織而言是一大挑戰。

Nudge Security的Otter AI移除策略

1. 發現未授權帳戶：Nudge Security通過多種發現方法，提供組織內Otter AI使用的全面視圖，包括：

• 顯示哪些員工正在使用Otter AI及其帳戶活動時間。
• 追蹤OAuth整合，識別哪些員工授予了日曆或會議平台存取權限。
• 提供部門別的使用趨勢與帳戶創建圖表，幫助企業了解採用模式。

2. 評估與審查：Nudge Security為Otter AI提供詳細的安全檔案，包括供應商的安全計畫、合規認證（如SOC 2 Type 2）、資料處理政策及過往洩露事件。這有助於企業加速對Otter AI的資安與合規性審查，判斷其是否符合組織要求。若發現風險，企業可考慮替代工具或限制使用。
3. 移除與阻止Otter AI：Nudge Security提供以下步驟協助企業移除Otter AI：

• 帳戶刪除：企業可聯繫Otter AI支援團隊，要求刪除與組織網域相關的帳戶。Nudge Security提供帳戶清單，簡化此過程。
• 撤銷OAuth權限：在Google Workspace或Microsoft Entra ID中，撤銷Otter AI的OAuth存取權限，防止其繼續存取日曆或會議資料。
• 阻止應用程式：在Google Admin Console的「API控制」或Microsoft Teams管理中心中，封鎖Otter AI的應用程式ID或網域，防止新帳戶創建或自動加入會議。
• 員工溝通：通知員工停止使用Otter AI，並說明資安與隱私考量，確保全員遵守政策。

4. 持續監控與治理：Nudge Security的AI儀表板可追蹤新AI工具的採用情況，當員工嘗試使用Otter AI或其他未授權工具時，自動發送提醒（nudge），要求員工說明使用原因並啟用多因素驗證（MFA）。這有助於企業在AI工具引入初期進行治理，防止影子AI擴散。

企業應對Otter AI的實務建議

1. 檢查與移除整合：企業應檢查Otter AI是否已整合至Zoom、Google Meet或Microsoft Teams，並撤銷相關權限。例如：

• 在Zoom中，前往「帳戶管理 > 應用市場」，移除Otter AI。
• 在Google Workspace中，於「應用程式 > Google Workspace市集應用程式」中刪除Otter AI。
• 在Microsoft Entra ID中，移除Otter AI的企業應用程式存取權限。

2. 封鎖應用程式存取：企業可通過以下方式阻止Otter AI：

• 在Google Admin Console的「安全 > API控制 > 應用程式存取控制」中，封鎖Otter AI的應用程式ID（如517439599553-aflp6g0o205nu5keqvl84hv9aa9rfv90.apps.googleusercontent.com）。
• 在Microsoft Teams管理中心，封鎖Otter.ai網域，防止其加入會議。
• 設定傳輸規則，阻止Otter AI的會議邀請郵件。

3. 員工教育與政策制定：企業應向員工傳達禁用Otter AI的理由，特別是涉及隱私與合規的風險。制定明確的AI工具使用政策，規定僅允許使用經資安團隊批准的工具，並要求員工在引入新工具前進行審查。4. 替代方案的選擇若企業需要類似Otter AI的筆記功能，可考慮更符合隱私與合規要求的替代工具，例如BuildBetter.ai，其符合GDPR、SOC 2 Type 2與HIPAA，且不使用客戶資料進行AI訓練。

Otter AI移除的挑戰

1. OAuth權限的殞留：即使刪除了Otter AI帳戶，其OAuth權限可能未被自動撤銷。企業需手動在Google Workspace或Microsoft 365中移除這些權限，否則Otter AI可能繼續存取資料。
2. 員工行為管理：員工可能因Otter AI的便利性而持續使用，特別是免費版本。企業需通過技術限制與員工教育，確保全員遵守資安政策。
3. 合規與法律風險：對於受GDPR或HIPAA監管的企業，Otter AI的資料處理方式可能不符要求。企業需審慎評估其資料使用政策，並確保移除後無殞留資料風險。

AI工具治理的長期展望

1. 影子AI的持續挑戰：Otter AI的案例反映了影子AI的普遍問題，即員工未經授權使用AI工具。隨著AI應用的快速增長，企業需建立全面的AI治理框架，包括發現、審查與管理流程。
2. 資安技術的創：新Nudge Security等工具展示了AI驅動的資安解決方案的潛力。未來，企業可利用AI技術監控工具採用趨勢、自動化合規審查，並提供即時安全提示。
3. 法規與標準的演進：隨著歐盟《網路安全法案》（CRA）等法規的實施，企業需確保AI工具符合嚴格的資安與隱私標準。Otter AI的案例提醒企業，選擇符合法規的工具至關重要。

Otter AI的快速採用凸顯了AI工具在提升生產力的同時，對資安與合規性的挑戰。Nudge Security通過發現、評估與移除未授權帳戶，幫助企業有效管理Otter AI的風險。企業應採取技術限制、員工教育與替代方案選擇等措施，確保AI工具的採用安全可控。隨著影子AI問題的加劇，企業需建立長期的AI治理策略，並投資於資安技術，以在數位轉型中保持競爭力。通過積極應對，企業不僅能降低風險，還可在全球市場中建立安全可靠的品牌形象。

資料來源：nudge, Julia Kisielius, How to remove Otter AI from your organization with Nudge Security, 2025/07/23