AI 將繼續存在,公司才剛開始弄清楚如何利用其力量來推動業務。每天,公司都爭先恐後地將 AI 整合到無數工作流程中:它被用於總結文件、自動化報告、建立預測分析以及透過聊天機器人提供支援。這些變化發生得很快,並為大大小小的企業打開了新的大門,但這些變化也可能使公司寶貴的專有資料面臨新的風險。

當企業讓 AI 可以存取其機密資訊時,並不總是清楚這些資訊是否會被大型語言模型 (LLM) 重複使用或索引為訓練資料。還有許多敏感資訊被 AI 工具無意中洩露的例子。這些不僅僅是隱私疑慮;它們是任何公司在對其儲存的檔案使用 AI 工具之前必須考慮的安全風險。

AI 如何在您不知情的情況下使您的檔案面臨風險

AI 以指數級速度發展和傳播。雖然大多數人最熟悉的是像 ChatGPT 或 Claude 這樣的聊天機器人,但大型科技公司一直在整合生成式 AI 系統,這些系統可以將內容攝取、索引和總結到試算表、文件和電子郵件服務中。這種整合帶來了強大的功能,但它帶來了很少人意識到的重大風險。

根據一項 2025 AI 安全調查(新視窗),嵌入 Excel、Word 和 SharePoint 等工具的 Microsoft Copilot 僅在今年上半年就存取了每個組織近 300 萬條敏感記錄。它還發現,組織平均與 Copilot 進行了 3,000 多次互動,其中敏感的商業資訊可能已經暴露。Google 的一項 研究稱 90% 的科技業工人(新視窗) 使用 AI 來編寫或修改程式碼。即使這些數字被誇大了,組織也需要將 AI 工具納入其威脅模式中。

這是一種新型的安全風險。這些檔案沒有在外部共享。事實上,它們可能根本沒有被共享。但因為它們儲存在 Copilot 可以存取的檔案中,它們包含的資訊可能在使用者沒有意識到的情況下被收集。

這可能會產生嚴重的後果。瑞士(新視窗)(法語來源)警方和 美國 FBI(新視窗) 已經被發現使用 ChatGPT 日誌作為調查的一部分。如果大型科技公司是一個例子,您可以預期 AI 公司很快就會收到成百上千個 來自美國和歐盟政府的資料請求,如果他們還沒有收到的話。

當 AI 工具如此深入地嵌入到您每天使用的應用程式中時,安全的資料儲存非常困難。儲存在企業磁碟中的檔案變得可搜尋、可總結,最終變得脆弱,模糊了存取、權限和監督的傳統安全概念。

Google Workspace 和 Gemini 呢?

這些風險不限於 Microsoft Copilot。Google Workspace 同樣將其 AI 工具 Gemini 直接整合到雲端硬碟 (Drive)、試算表 (Sheets) 和文件 (Docs) 中。

許多企業可能會將整合了 Gemini 的 Google Workspace 視為強大的預設選項。根據 Google 自己的網站(新視窗):「未經許可,人類不會審查您的資料,也不會將其用於您的網域之外的生成式 AI 模型訓練。」

然而,Google 用來獲取資訊以訓練其 AI 系統的規則概述方式創造了一個灰色地帶並引發了問題:

  • Google 現在確實預設使用消費者聊天和檔案上傳來訓練 Gemini,除非選擇退出。
  • Google Gemini(新視窗) 的支援頁面警告說,與其 Gemini 應用程式分享的資訊將由人類審查,並可能被用作訓練 AI 的資料集。
  • 在其 Gemini 隱私解釋中,Google 警告使用者(新視窗)不要分享機密資訊。
  • 企業文件留下了諸如「未經許可」之類片語的解釋空間。
  • 安全供應商已標記了商業資料可能成為訓練輸入的條件,特別是隨著 AI 功能越來越緊密地整合到檔案儲存、搜尋和工作流程工具中。

當 Gemini 整合到雲端硬碟、文件和試算表中時,這種缺乏清晰度的情況令人擔憂。這不僅僅是錯誤分享檔案的問題,而是關於這些檔案如何無意中成為 AI 工作流程的一部分。AI 將如何攝取、索引、分析和儲存提示或輸出,以及這些日誌是否仍受您組織的控制?

即使是像 Google Workspace 這樣管理良好的系統也是非私有且封閉原始碼的。這樣的系統可能會減輕許多風險,但對於持有高度敏感資料的企業來說,所需的信任程度可能仍然太高。

如何為您的企業尋找私有 AI

您上傳到或與 AI 啟用系統分享的每個檔案都會擴大您的攻擊面。只需將檔案上傳到雲端儲存就可能會將這些檔案暴露給 AI 訓練,具體取決於您的服務和方案。如果這些上傳以您不知道或無法控制的方式被保留、索引或存取,您的專有價值就會面臨風險。

在您的企業選擇 AI 工具之前,您應該詢問是否可以保證它或其檔案儲存系統不會保留或暴露關鍵資料。

以下是您應該對任何商業 AI 工具提出的兩個具體要求:

  • 零資料保留:AI 系統不應記錄或儲存提示、回應或檔案上傳超出業務工作階段的範圍,除非明確要求——並且這些日誌應在您企業的完全控制之下。
  • 無外部訓練:您企業的資料(包括儲存的檔案)不得用於訓練業務網域之外的其他模型或跨租戶分享。

您現在可以做什麼

在您選擇正確的工具之前,您需要評估您的情況並確保您還沒有無意中暴露敏感資料:

  • 進行 AI 檔案儲存風險稽核:識別 AI 工具連線的所有共享磁碟機、團隊資料夾和雲端儲存,然後繪製哪些工具攝取或索引這些檔案。
  • 定義清晰的檔案攝入 AI 治理政策:指定批准哪些 AI 工具、允許哪些檔案類型、是否關閉存放庫檔案的索引等。
  • 要求提供具有嚴格控制的私有 AI 的供應商/解決方案:選擇一個提供「無日誌、無訓練、無分享」作為基準的 AI 助理。
  • 監控並限制「影子 AI」,即您團隊中的個別成員在您安全團隊的架構之外使用 AI,以及未經授權將檔案上傳到 AI 工具中。透過資料遺失防護、身分和存取管理實務以及稽核日誌記錄來強制執行。
  • 選擇商業模式不依賴出售或提取資料的供應商。這確保了其動機始終與保持您的資料安全保持一致。

Proton 提供 AI 的生產力而沒有風險

沒有企業願意不知不覺地交出其敏感資訊。這就是為什麼 Proton for Business 工具建立在強大的加密之上,讓您可以控制誰可以存取您的資訊。

Proton Drive 對您的所有檔案使用端對端加密,因此除非您分享它們,否則沒有人(甚至 Proton)可以存取它們。這可以防止您的檔案被暴露或用於訓練 AI。Proton Drive 還讓您能夠用密碼保護分享連結或一鍵關閉存取權,這意味著您保留控制權。

我們還建立了 Lumo for Business,這是一個只為您工作的私有 AI 助理,而不是反過來。由於不保留日誌,並且您上傳的每個聊天和檔案都已加密,Lumo 對您的對話保密,並使您的資料完全在您的控制之下——從不分享、出售或被盜。

在 Proton,我們以隱私設計構建所有產品。企業應該能夠充滿信心地儲存檔案和使用 AI,因為知道他們最敏感的資訊仍然受到保護。

與大型科技公司不同,Proton 不會透過販售您的資料來獲利。我們完全由社群支持,而非廣告商,且我們位於重視隱私的歐洲,這給予我們法律保障,確保我們能履行承諾。最重要的是,我們由非營利組織 Proton Foundation 擁有,其唯一使命是推動隱私和自由。

透過使用 Lumo for Business(新視窗),您可以享受進階 AI 助理的好處,而沒有資料被濫用的風險。