啟用 Copilot 前必讀:AI時代的資料安全大考驗
- Prateek Temkar
- 6月6日
- 讀畢需時 4 分鐘
在啟用 Copilot 等工具前,如何守護你的資料安全
部分 AI 工具可能加劇傳統資料安全風險——而多達一半的辦公室員工,還因使用未經授權的 AI 平台而讓風險進一步放大。未標記或誤分類的內容,是重大的潛在風險。AI 讓使用者更容易分享過多資訊,但其實情況並非必然如此。只要有正確的策略,對於 prompt、應用程式及存取權限的可視性,是完全能夠實現的。
以 Microsoft Copilot 為代表的 AI 工具,正快速成為現代職場的標準配置——而這是有其原因的。2024 年有 75% 的受訪企業已經採用生成式 AI(genAI),領導者中最高能看到 1 元投資換來 10 元回報的驚人成效,甚至有 43% 的企業表示,最大投資報酬來自於生產力提升的應用場景。
然而,在這波生產力工具熱潮之下,「準備工作」也同樣重要。從 Shadow AI 風險到資料生命週期的盲區,如今的資安與 IT 團隊必須快速跟上腳步,卻往往缺乏可視性、標記紀律或政策執行力,難以確保敏感資料的安全。
資訊太多難以消化?為了讓你快速掌握重點,Broadcom 資訊與電子郵件安全團隊近期舉辦了一場主題為「開啟 Copilot 前,如何聰明管理你的資料?」的線上研討會。核心訊息很明確:只有先管理好資料,你才能安全釋放 AI 的潛能。
以下是這場專家對談的重點摘要:
快速導入 AI 的真正風險
現今各行各業的企業都在加速導入 AI。「我們要用 AI!」已成為董事會級別的集體口號,背後驅動力是追求競爭優勢以及不被淘汰的恐懼。同時,現場部門也歡迎這些新工具,像 Copilot 已經自動化工作流程、簡化任務並提升生產力。
但在高層推動與基層熱情的夾擊下,不少組織在資料還沒準備好的情況下就匆忙上線 AI——沒有明確的標記、政策或可視性,無法掌控工具如何存取敏感資訊。究竟會有哪些風險?讓我們細看細節。
透過 Prompt 外洩資料
一旦資料上傳到像 ChatGPT 或 Notebook LM 這類公開模型,企業就失去了對其流向與用途的掌控。即便工具部署在 Office 365 等信任平台,也不代表每個檔案都應該授權存取。
而且 AI 回應用戶 prompt 的內容通常不會自動刪除,這意味著 AI 之後可能會將來自主管、HR 或法務部門的敏感文件推薦給錯誤的內外部使用者。此外,就算檔案已被刪除,工具的記憶體可能依然保留其中內容。
權限誤導風險
如果 Copilot 回傳內容,是否代表這些資料一定安全可用?答案是不一定。AI 工具能調用使用者「技術上有權限」但實際上可能本不該接觸的資料。Copilot 回傳資訊的過程,會讓使用者誤以為這些資料可以隨意處理,忽略了授權來源可能只是權限設置錯誤或疏忽。
未標記或誤分類內容
許多企業在 Office 365 這類平台上的資料從未被正確標記或分類。當 AI 工具導入時,未標記的內容常被預設視為「可用」,而手動標記又經常出錯或被遺忘。
即使文件本身一開始無害,後續若被加入敏感內容,卻未即時更新標記,依然會留下資安漏洞。更不用說 AI 產生的會議記錄、協作文件,若無 DLP 系統介入,大多完全沒有安全標記。
Shadow AI 及第三方暴露
如今不少員工自行摸索、啟用未經批准的 AI 工具。一項研究發現,有 50% 員工會使用未授權 AI,而且大多數人即使被禁止也不會停止。這些第三方應用可能儲存資料於未知地區,也無法配合企業的刪除需求。甚至有將近 21% ChatGPT 輸入流量來自於免費帳號,這些 prompt 有很高機率被用於訓練模型。只要用個人信箱發一個 prompt,敏感資料就可能永遠流向不可控的黑盒。
啟動 AI 前你該做什麼?
不論你的組織正準備導入 Copilot,還是已在試行中,都該暫停腳步檢視你的資料準備度。這些 AI 工具的確帶來效益,只要策略正確,也能兼顧信心與掌控權。
1. 取得敏感資料可視性
在啟用 AI 工具前,先清點你的敏感資料存放位置,建立一致的分類與標記流程,同時制定 DLP 政策,防止資料不慎流向或流出 AI 工具。
建議先對 Office 365 內容進行掃描,修正標記錯誤、確保新產生(如會議記錄、協作文件)的內容也會被審查與正確標記。部分控管已內建於 Microsoft 365,例如「Block Content Analysis」屬性可避免 Copilot 用於推論,但前提是文件已正確標記。
2. 檢查 prompt 並發現 AI 活動
僅保護文件已經不夠,現在還需要檢查 prompt 內容與發現各類 AI 應用活動。企業應掌握員工使用了哪些 AI 工具、輸入了什麼資訊,並確保這些應用已獲核准或限制。高效的 DLP 解決方案可以不僅保護檔案,更能檢查 prompt、監控應用行為、用戶操作與流量——真正做到實時洞察。
3. 選對 DLP 解決方案
再完善的策略,沒有合適工具也無法落地。Symantec DLP 提供必要的可視性、控管與自動化,守護 AI 時代下敏感資料安全。你可以即時掃描及分類 Office 365 內容,迅速標示錯誤或遺漏檔案,並以政策驅動進行修正。
Symantec 也支援 Microsoft 的「Block Content Analysis」屬性,阻止敏感文件被 Copilot 用於 AI 推論或訓練,並確保標記準確後再執行設定。同時,Symantec DLP 能偵測員工輸入至第三方 AI(如 ChatGPT 或 Notebook LM)的內容,並監控全公司使用中的 AI 應用,即便這些工具尚未被正式核可也能發現並阻擋其存取。
別放棄對資料的主控權
AI 已經正在重新定義工作與商業模式。未來真正成功的企業,不是最早導入 AI 的那一批,而是那些懂得「有控管」地導入 AI、不讓資料誤流他處的企業。
原文出處 Symatnec Enterprise Blogs
留言