Grip Securityは、2万3000件のSaaS利用環境を分析したレポートを公表し、企業の管理外で広がる「シャドーAI」のリスクに警鐘を鳴らした。調査では、対象企業のすべてがAI機能を備えたSaaSを利用しており、関連する攻撃件数は前年比490%増に達したという。

レポートによると、調査対象企業の100%がAI機能搭載SaaSアプリを導入していた。

SaaSを標的とした攻撃件数は前年比で490%増加した。確認されたインシデントの80%は、個人識別情報（PII）や顧客データに関連していたとしている。

Grip Securityのプロダクトマーケティング・コンサルタント、チャド・ホームズ氏は、「企業が平均140本のAI機能搭載SaaSアプリを利用している点が最も驚きだった」と述べた。

同社は、AI機能搭載アプリの1つで侵害が起きると、組織内の他のAI機能搭載環境にも被害が波及する可能性があると指摘した。さらに、影響が別の組織にまで広がる恐れもあるとしている。

リスクを押し上げる要因としては、開発競争の激化を挙げた。SaaSベンダー各社がエージェントAIを製品に急ピッチで組み込んでおり、利用企業が気付かないままシャドーAIを導入してしまう可能性が高まっているという。

認証に使うOAuthトークンについても、SaaSアプリの要求に応じて、十分に検討しないまま付与されるケースが多いとした。

Grip Securityはレポートの中で、「AIは将来のリスクでも、単なるITの問題でもない。これを統制することは選択肢ではない」と強調した。そのうえで、2026年は過去最悪のSaaS侵害の年になる可能性があると警告し、対策としてシャドーAIの可視化と動的ガバナンスの導入を挙げた。

レポートは、「成功するリーダーは、一度きりの承認を継続的な監視とリスクベースの統制へ置き換えている」としたうえで、「AIは中核サプライヤーと同じ水準で管理すべきだ」と明記している。