员工用AI工具引发企业数据泄露风波 - 保密网

随着生成式AI工具在企业中的普及，员工将工作数据输入AI工具引发的泄密事件正在快速增加。2025年至2026年间，全球范围内已报告多起与此相关的重大数据泄露事件。

全球AI泄密事件激增

据安全研究机构2026年初发布的报告，2025年全球因员工使用生成式AI工具导致的企业数据泄露事件超过1200起，同比增幅超过200%。报告的案例涵盖金融、科技、医疗和法律等多个行业，涉及客户数据、源代码、财务数据和法律文件等各类敏感信息。

韩国案例：工程师用AI编程工具上传核心代码

据公开报道，2025年韩国某大型科技公司发生了一起引人关注的泄密事件。该公司一名研发工程师为提升工作效率，将一段包含核心算法逻辑的源代码输入至海外AI编程工具中，请求AI工具帮助优化代码结构。该段代码包含了公司尚未申请专利的核心技术参数。数周后，该公司在竞争对手的产品中发现了类似的技术实现方式。经内部调查发现，这名工程师的行为已导致核心技术实质性地暴露给AI服务提供商及可能通过该平台访问数据的第三方。该工程师因此被解雇，公司启动了法律程序。

欧洲案例：咨询公司员工用AI处理客户机密文件

据媒体报道，2026年初欧洲某咨询公司的员工将包含客户商业秘密的合同草案、财务分析和市场策略报告输入至公开AI对话工具，用于生成项目汇报材料的摘要和翻译。这些信息中包括了客户尚未公开的并购计划和产品路线图。事后审计发现，超过数十名员工在过去一年内均有类似行为，暴露的敏感文件数量超过300份。该事件导致咨询公司失去了两个重要客户的信任，面临合同违约索赔。

多国监管机构发布AI安全指南

在此背景下，多个国家的网络安全监管机构发布了针对AI工具使用的安全指南。英国国家网络安全中心于2025年底发布了《AI Agent安全指南》，明确要求企业评估员工使用AI工具处理工作数据的安全风险。新加坡网络安全局和澳大利亚信号局网络安全中心也相继发布了类似指导性文件。

AI使用中的核心风险

输入即共享的风险被低估。很多员工使用AI工具时不清楚数据流向。当员工将公司数据输入公开AI对话工具时，这些数据很可能被用于模型训练、存储于境外服务器或被其他用户查询到。许多AI服务协议明确声明，用户输入的内容可能会被用于服务优化和模型训练。

数据出境风险不可忽视。大量AI工具由境外企业运营，服务器部署在境外。员工将数据输入AI工具的行为，可能构成未经批准的数据跨境传输。

影子AI成为新的安全盲区。员工未经IT部门批准私自注册和使用AI工具的现象，使企业的安全管控出现重大漏洞。

取证和追责困难。数据一旦输入AI平台，企业很难从第三方系统中彻底清除，也难以追踪数据的具体流向。

企业防范建议

制定明确的AI工具使用政策。企业应出台涵盖AI使用管理制度，明确禁止将敏感数据输入未经企业批准的公开AI工具，规定员工使用AI工具前须获得审批，建立AI工具白名单制度。

部署AI使用监控与审计系统。企业应在终端和网络层面部署对AI工具使用的监控能力，对员工访问AI工具网站、上传文件等行为进行记录和告警。

企业内部部署私有化AI服务。对于有较高安全需求的企业，建议将主流大模型部署在自有或可信的私有云环境中，所有数据始终留在企业可控范围内。

开展员工AI安全专项培训。将AI工具使用安全纳入年度信息安全培训体系，通过真实泄密案例进行警示教育，培训后应进行考核。

北京企密安信息安全技术有限公司专注于商业秘密保护领域，可为企业提供AI使用安全政策制定、私有化AI部署咨询和员工安全培训等专业服务。