SailPoint 推出 Shadow AI 整治方案 即時監控未授權 AI 工具使用行為

身分安全廠商 SailPoint 宣布推出 Shadow AI 整治（Shadow AI Remediation）功能，作為其即時 AI 治理與安全框架的最新組件。該方案旨在協助企業探索、監控及保護未經授權使用的 AI 工具，降低因生成式 AI 快速普及所帶來的安全與合規風險。

未授權 AI 使用成企業資安盲點

隨著 ChatGPT、Claude、Gemini 等大型語言模型（Large Language Model, LLM）日益普及，愈來愈多員工在未經 IT 部門核准的情況下使用這些工具提升工作效率。這類被稱為「影子 AI」（Shadow AI）的行為，正為企業帶來嚴峻挑戰。資安主管難以掌握員工如何與這些平台互動，導致關鍵的可視性盲點，使企業在不知情的情況下暴露於資料外洩風險中。

根據 SailPoint 近期發布的報告顯示，80% 的企業表示其 AI 代理曾出現非預期行為，例如存取或分享不當資料。這項數據凸顯企業對於 AI 工具使用行為進行有效管控的迫切需求。

三大核心功能解析

SailPoint Shadow AI 整治方案提供三項核心能力：

第一，即時掌握 Shadow AI 使用狀況。企業可即時了解員工如何使用未受監管的 AI 工具，包括監測文件上傳與互動頻率。透過提升可視性，協助企業識別關鍵風險，避免員工在不知情下將機密文件上傳至未經批准的 AI 模型，導致敏感資料外洩。

第二，主動補救及集中化管理。資安團隊可主動防止誤用行為，例如封鎖未經授權的上傳動作、將用戶重新導向至內部允許使用的 AI 工具，或要求提供業務使用的正當理由。此類集中化管理機制有助降低資安風險，並在 AI 應用日益深化的環境中強化合規性。

第三，簡化部署且對用戶影響低。該方案可透過瀏覽器擴充功能進行部署，並支援 Intune 或 JAMF 等標準裝置管理工具，無需更新網路或基礎設施，讓企業能在不影響使用體驗的情況下落實安全控管。

以身分識別為核心的平台化策略

SailPoint 產品執行副總裁暨首席技術長 Chandra Gnanasambandam 表示，許多供應商嘗試以獨立的瀏覽器或端點工具解決 Shadow AI 問題，卻忽略了整體關鍵挑戰在於如何有效進行身分識別。他指出，要有效管控 AI 的使用，最佳方法是採用以平台為核心、即時統一身分、資料與安全智慧的方式。

Gnanasambandam 進一步說明，SailPoint 即時 AI 治理及安全框架正是奠基於此理念，透過連接個人及非人類身分（Non-Human Identity），提供企業所需的背景脈絡，不僅能看見 Shadow AI，更能有效進行治理。

整合至 Identity Security Cloud 平台

Shadow AI 整治功能的推出，是 SailPoint 全面即時 AI 治理及安全框架的重要里程碑。該框架將代理身分安全（Agentic Identity Security）、機器身分安全（Machine Identity Security）、資料存取安全（Data Access Security）以及 Shadow AI 整治進行統一整合，提供企業全面且統一的解決方案。

透過將 AI 工具使用行為整合至 SailPoint Identity Security Cloud，企業可進一步豐富其 Identity Graph，補足關鍵背景脈絡，進而作出更精準的存取及風險決策。SailPoint 強調，以平台為核心串聯人類與非人類身分、資料以及安全智慧的策略，能為企業在面對日益複雜的 AI 安全挑戰時，提供具備差異化優勢的解決方案。