影子 AI 审计清单：发现组织中每个未授权 AI 工具

你无法保护你看不见的东西。在编写策略、部署监控工具或推出经批准的 AI 替代方案之前，你需要准确了解组织中当前使用了哪些 AI 工具、由谁使用、使用了什么数据。

这就是影子 AI 审计。200-1,000 名员工的组织平均每月与 45 个不同的 AI 网站交互。在更大的组织中，这个数字攀升至 72。

开始前：设定范围

定义三件事：时间窗口（审计过去 90 天）、组织范围（全公司或先从部门开始）、期望成果（AI 工具清单、风险分类、优先补救行动列表）。

第 1 阶段：网络流量分析

监控到已知 AI 服务域的出站连接：OpenAI、Anthropic、Google Gemini、Perplexity、Mistral、GitHub Copilot、Cursor AI 等。

通过防火墙日志、DNS 查询日志、代理日志或 SIEM 聚合提取此数据。

第 2 阶段：浏览器扩展审计

具有"读取和更改所有网站数据"权限的 AI 浏览器扩展可以从内部 Web 应用捕获数据并发送到外部服务器。

第 3 阶段：SaaS 支出分析

在费用报告和公司信用卡账单中搜索 AI 工具订阅。

第 4 阶段：员工调查

匿名调查揭示工具被使用的原因和处理的数据类型。

第 5 阶段：DLP 策略审查

检查你的 DLP 策略是否覆盖浏览器上传到 AI 工具域和剪贴板操作。

第 6 阶段：API 密钥审计

搜索代码仓库、.env 文件、CI/CD 密钥中的 AI 服务 API 密钥。

主清单

审计后：构建补救计划

针对每个高风险使用模式，确定什么经批准的工具或内部部署将替代它。目标不是消除 AI 使用——而是将 AI 使用转移到你控制的基础设施上。

每季度运行完整审计。有关影子 AI 为何是 $19.5M 风险的更广泛背景，请参阅 Shadow AI: The $19.5M Enterprise Risk。