商傳媒|林昭衡/綜合外電報導
近日,美國一家社區銀行因員工將客戶資料輸入未經核准的人工智慧(AI)工具,導致資料外洩,被迫依規揭露重大網路安全事件。此事件凸顯了企業內部「影子AI」(Shadow AI)所潛藏的巨大風險,即使沒有駭客入侵,僅是員工的無心之失,也可能引發嚴重的合規與安全問題。
根據《American Banker》報導,CB Financial Services(CB Financial Services Inc.)旗下 Community Bank(Community Bank, N.A.)的一名員工,在製作簡報時,將包含客戶姓名、社會安全碼和出生日期等非公開資料,輸入至未經銀行批准的AI應用程式。儘管銀行營運未受影響,也無證據顯示資料遭濫用,但這項行為已觸發多項監管義務,包括向美國證券交易委員會(U.S. Securities and Exchange Commission)提交 Form 8-K 報告、在36小時內通知審慎監管機構,並依據《金融服務法現代化法案》(Gramm-Leach-Bliley Act)規定通知受影響客戶。
CB Financial 的總裁兼執行長 John Harold Montgomery 對《American Banker》表示,該名員工是透過個人裝置,經完全認證的管道上傳資料,且誤以為檔案中的敏感資訊已移除。所幸銀行及早發現,並及時與AI工具供應商聯繫,成功阻止客戶資料被用於訓練AI模型。CB Financial 的高級執行副總裁兼營運長 Jennifer George 強調,這是一起單一員工的個人行為,透過已認證的入口網站存取資料,而該檔案和所有相關指令在確認上傳後已立即刪除。
「影子AI」指的是員工在未經企業批准下使用的AI工具,類似於過去的「影子IT」問題(如未經授權使用雲端儲存或個人裝置處理公務)。《Fast Company》報導指出,近半數(46%)的美國員工已在使用AI工具,而顧問公司 Gartner 的調查發現,高達69%的網路安全主管懷疑員工正在使用未經核准的AI工具。與影子IT相比,影子AI更難以察覺,且可能導致更嚴重的後果,例如機密資料和智慧財產權的外洩。
此次事件揭露了企業面臨的內部威脅,員工往往基於提升工作效率的良好動機,卻可能在不知情的情況下,將敏感資料暴露於不受管制的風險中。WSGR律師事務所(Wilson Sonsini Goodrich & Rosati)的警示更指出,敏感資料正持續被輸入未經授權的AI工具中,且不在既定安全控制範圍內。為此,Community Bank 已封鎖未經核准AI工具的網域,並收緊員工存取客戶資料的權限,擴大資料安全政策。專家建議,企業應採行AI工具的使用政策、資料遺失預防軟體,並建立經審查的供應商清單,以應對日益嚴峻的影子AI挑戰。
