員工自建Vibe Coding應用成影子AI新風險，有兩千個企業用途工具暴露敏感資料

Red Access在多個主流AI驅動的開發平臺上，發現約5,000個可公開存取、且看似用於企業用途的AI生成應用與相關網站。研究人員進一步分析這些企業用途工具後發現，其中約40%、數量多達2,000個應用系統，含有企業營運、個人或敏感資料，卻未設置基本身分驗證與存取控管機制；有些應用甚至預設讓任何能開啟這些頁面的人獲得管理者權限。

Red Access指出，這類AI工具多由各部門員工自行建立，常在未經IT或資安團隊審查的情況下公開上線。該公司建議，企業應建立AI應用資產盤點機制，並導入申請、審查與持續治理流程，明確規範可使用的AI開發平臺、可處理的資料類型，以及最低資安標準。