員工自建 Vibe Coding 應用成影子 AI 新風險，逾 2,000 工具暴露敏感資料

資安業者 Red Access 在最新研究報告中揭露，企業內部已出現超過 2,000 個由員工以 Vibe Coding 方式自建的 AI 應用程式，這些應用普遍缺乏身分驗證、權限控管等基本安全措施，導致企業敏感資料暴露於公開網路。影子 AI 風險已從員工把敏感資料輸入 AI 聊天工具，擴大至員工自行建立 AI 應用、匯入內部資料的新階段。

Vibe Coding 是近期蓬勃發展的開發模式，員工不需具備傳統程式設計能力，只要透過自然語言與 AI 編程助理對話，即可快速產出可運行的網頁應用、自動化腳本、資料分析工具。這種「人人都是開發者」的趨勢大幅提升企業內部生產力，但也帶來新型資安風險：許多自建應用未經 IT 部門審核、未建立基本安全機制、可能直接連接企業內部資料庫或上傳敏感檔案。

Red Access 的研究指出，這些影子 AI 應用呈現幾個共同的高風險特徵。第一，缺乏身分驗證機制，任何人取得 URL 即可存取；第二，缺乏存取日誌與監控，敏感操作無法追蹤；第三，將企業內部資料（員工資料、客戶清單、財務報表、產品規格等）儲存於不安全的雲端服務或公開可存取的儲存空間；第四，使用無加密的 API 呼叫傳輸資料。

從企業治理角度看，影子 AI 已成為僅次於影子 IT 的新一代風險源頭。傳統影子 IT 主要是員工使用未授權的工具（Dropbox、Google Drive 等），但影子 AI 進一步涉及員工「自建工具」並將敏感資料導入這些工具，風險面與後果都更為複雜。企業 CISO 必須建立新的監控、審核、教育機制因應。

未來幾年，AI 治理（AI Governance）將成為企業資安戰略的核心議題。如何在不扼殺員工生產力的前提下，建立有效的影子 AI 風險管理機制，將決定企業在 AI 時代的風險可控性。