關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 人工智慧
顯示分類
2026.02.09
標準與框架/人工智慧
人工智慧使用控制買家指南

如今,「人工智慧無所不在」的現實已融入企業日常工作流程,嵌入在SaaS平台、瀏覽器、輔助駕駛軟體、擴充功能以及數量龐大、更新速度遠超安全團隊追蹤能力的影子工具中。然而,大多數組織仍依賴遠離人工智慧實際交互發生位置的傳統控制措施。結果是,隨著人工智慧使用呈指數級增長,但可見度和控制力卻未能跟上,導致治理差距日益擴大。

隨著人工智慧成為提高生產力的核心,企業面臨著一個新的挑戰:如何在保持治理、合規性和安全性的同時,使企業能夠進行創新。一份新的《人工智慧使用控制買家指南》指出,企業從根本上誤解了人工智慧風險的所在。令人驚訝的事實是,人工智慧安全並非數據問題或應用程式問題,而是互動問題,而傳統工具並非為此而設計。

人工智慧無所不在,可見性卻無所不在

如果你問一位典型的安全主管,他們的員工使用了多少種人工智慧工具,他會給你答案。但如果你問他怎麼知道的,房間裡就會鴉雀無聲。該指南揭示了一個令人不安的事實:人工智慧的普及速度已經遠遠超過了人工智慧安全可見性和控制的速度,而且這種差距不是幾個月,而是幾年。

人工智慧已嵌入軟體即服務平台、辦公室套件、電子郵件用戶端、客戶關係管理系統、瀏覽器、擴充程序,甚至員工的個人專案中。使用者經常在同一會話中切換企業和個人人工智慧身分。智能體工作流程將操作串聯到多個工具中,但缺乏清晰的歸屬資訊。

然而,普通企業並沒有可靠的 AI 使用清單,更不用說控制提示、上傳、身分和自動化操作在整個環境中的流動情況了。這不是工具問題,而是架構問題,傳統的安全控制措施無法在人工智慧實際互動發生的層面發揮作用。正是由於這種差距,人工智慧使用控制應運而生,成為專門用於管理即時人工智慧行為的新型控制類別。

AI 使用控制功能讓您可以管理 AI 交互

AUC (AI Usage Control)不是對傳統安全的增強,而是在 AI 交互點上一個截然不同的治理層面。有效的 AUC 需要在互動瞬間進行發現和執行,並以情境風險訊號為驅動,而不是靜態的允許清單或網路流量。簡而言之,AUC 不僅僅回答“哪些數據離開了 AI 工具?”

它回答了以下問題:“誰在使用人工智慧?如何使用?透過什麼工具?在哪個會話中?使用什麼身份?在什麼條件下使用?接下來發生了什麼?”從以工具為中心的控制轉向以互動為中心的治理轉變,是安全產業需要迎頭趕上的地方。

為什麼大多數人工智慧「控制」實際上並非控制

安全團隊在試圖保障人工智慧使用安全時,總是會落入同樣的陷阱:

  1. 將 AUC 視為 CASB 或 SSE 中的一個複選框功能
  2. 僅依賴網路可見性(這會遺漏大多數人工智慧互動)
  3. 偵測到過度索引而未強制執行
  4. 忽略瀏覽器擴充功能和人工智慧原生應用
  5. 假設僅靠資料遺失防護就足夠了

這些都會導致安全態勢嚴重缺失,且有安全隱患。業界一直試圖將舊的控制方式生搬硬套到全新的互動模型上,但這根本行不通。

AUC之所以存在,是因為沒有專門為此開發的傳統工具。

人工智慧使用控制不僅僅是可見性

在人工智慧使用控制中,可見性只是第一步,而非最終目標。了解人工智慧的使用地點固然重要,但真正的區別在於解決方案如何在人工智慧互動發生時理解、管理和控制這些互動。安全領導者通常會經歷以下四個階段:

  1. 發現:識別所有人工智慧接觸點:包括授權的應用程式、桌面應用程式、輔助駕駛程式、基於瀏覽器的互動、人工智慧擴充功能、代理程式和影子人工智慧工具。許多人認為發現就能定義風險的全部範圍。但實際上,缺乏互動脈絡的可見性往往會導致對風險認知的誇大,以及諸如全面禁止人工智慧等草率應對措施。
  2. 互動感知:人工智慧風險即時發生,例如使用者輸入提示、文件自動摘要或代理人執行自動化工作流程時。我們需要超越「正在使用哪些工具」的層面,關注「使用者實際上在做什麼」。並非所有人工智慧互動都存在風險,大多數互動都是良性的。即時理解提示、操作、上傳和輸出,是區分無害使用和真正風險的關鍵所在。
  3. 身分與情境:人工智慧互動通常繞過傳統的身分框架,透過個人人工智慧帳戶、未經驗證的瀏覽器會話或未受管理的擴充功能進行。由於傳統工具假定身分等同於控制權,因此它們會忽略大部分此類活動。現代人工智慧使用控制 (AUC) 必須將互動與真實身分(企業或個人)關聯起來,評估會話情境(設備狀態、位置、風險),並實施自適應的、基於風險的策略。這使得諸如「允許來自非單一登入 (SSO) 帳戶的行銷摘要,但阻止來自非企業身分的財務模型上傳」之類的精細控製成為可能。
  4. 即時控制:這是傳統模型失效的地方。人工智慧互動不再適用「允許/阻止」的思維模式。最強大的AUC解決方案能夠巧妙地處理各種細節:資料編輯、即時用戶警告、繞過機制以及在不中斷工作流程的情況下保護資料的防護措施。
  5. 架構契合度:這是最容易被低估但卻重要的階段。許多解決方案需要代理程式、代理伺服器、流量重新導向或對 SaaS 堆疊的變更。這些部署往往會停滯不前或被繞過。買家很快就會意識到,成功的架構是能夠無縫融入現有工作流程並在 AI 互動的實際點上強制執行策略的架構。

技術考量:理性主導,但易用性才是關鍵

雖然技術契合度至關重要,但非技術因素往往決定人工智慧安全解決方案的成敗:

  1. 營運成本-能否在數小時內完成部署,還是需要數週的終端配置?
  2. 使用者體驗-控制措施是否透明且幹擾最小,還是會產生變通方法?
  3. 面向未來-供應商是否有適應新興人工智慧工具、智慧體人工智慧、自主工作流程和合規制度的路線圖,還是您在動態領域購買的是靜態產品?

這些考慮與其說是“檢查清單”,不如說是可持續性,確保解決方案能夠隨著組織採用和更廣泛的人工智慧領域的發展而擴展。

未來:以互動為中心的治理是新的安全前沿

人工智慧不會消失,安全團隊需要從邊界控制轉向以互動為中心的治理。《人工智慧使用控制採購指南》提供了一個實用且與供應商無關的框架,用於評估這一新興領域。它為首席資訊安全長 (CISO)、安全架構師和技術從業人員闡述了以下內容:

  1. 哪些能力真正重要?
  2. 如何區分行銷與實質內容
  3. 為什麼即時、情境化控制是唯一可擴展的發展路徑
人工智慧使用控制不僅是一個新的類別,更是安全應用人工智慧的下一個階段。它將問題從資料遺失防護重新定義為使用治理,使安全性與業務生產力和企業風險框架保持一致。掌握人工智慧使用治理的企業將更有信心地釋放人工智慧的全部潛力。

資料來源:https://thehackernews.com/2026/02/the-buyers-guide-to-ai-usage-control.html
 
探討 2026 年企業佈署生成式 AI 時面臨的治理真空,解析為何傳統 DLP 與 CASB 無法有效管控 AI 交互。