安全厂商Grip Security近日发布一份报告,对2.3万个SaaS应用环境展开分析,并就企业管控范围之外“影子AI”带来的安全风险发出警告。
报告显示,样本企业已全部使用集成AI功能的SaaS应用,平均每家企业使用数量达到140款。
与此同时,SaaS相关攻击同比激增490%。在已记录的安全事件中,80%涉及个人可识别信息(PII)或客户数据。
Grip Security产品营销顾问Chad Holmes表示,最出人意料的发现之一,是企业正在大规模使用集成AI功能的SaaS应用。
该公司指出,一旦某个集成AI功能的SaaS应用被攻破,风险可能迅速扩散至企业内部其他相关应用,甚至波及其他组织。
Grip Security认为,问题加速恶化的一个重要原因在于SaaS厂商正竞相将Agent AI快速集成到产品之中。随着相关功能加速上线,企业在缺乏充分认知的情况下接入“影子AI”的可能性也随之上升。
报告还指出,用于身份认证的OAuth令牌,往往会按照SaaS应用的请求被直接授予,缺乏必要的审查和控制。
Grip Security在报告中表示,AI带来的风险并非未来问题,也不只是单纯的IT议题,对其实施治理已不是可选项。该公司警告称,2026年可能成为SaaS安全事件最严峻的一年。
在应对方向上,Grip Security建议提升对“影子AI”的可视性,并引入动态治理机制。报告称,管理成效较高的企业,正以持续监测和基于风险的控制取代静态审批,并以管理核心供应商的同等标准来管理AI。
记者信息
Chi-gyu Hwang
delight@d-today.co.kr