随着 AI 驱动的应用程序和基于云的 SaaS 工具的快速普及,工作效率得到了显著提升,但同时也带来了一个新的、尚未被广泛认识到的安全危机。当组织将注意力集中在外部网络威胁时,一个无声的漏洞正在其内部滋长:隐形身份。这些用户账户存在于企业身份认证框架之外,游离在传统安全控制的盲区。
LayerX 发布的"2025 身份安全报告"针对 SaaS 身份趋势进行了研究,揭示了 80% 的企业 SaaS 登录对 IT 和安全团队来说是不可见的,这是由于员工使用个人凭证或非 SSO 支持的企业账户所致。这意味着在大多数组织中,员工与云应用程序的绝大多数交互都在没有安全监督的情况下进行,使公司面临潜在的数据泄露、合规违规和凭证盗用风险。
隐形数字身份的崛起
当员工绕过企业身份认证协议时(通常是无意识的),使用个人账户或未经管理的凭证登录 SaaS 应用程序时,就会产生隐形身份。在许多情况下,这种现象的出现是因为组织未能严格执行单点登录政策,或者用户将便利性置于安全性之上。
这个问题在 AI 驱动的工具中尤为普遍,因为需求往往超过了安全治理的步伐。以快速普及的生成式 AI 应用程序 DeepSeek 为例,与 ChatGPT 或 Microsoft Copilot 等平台不同,DeepSeek 要求用户登录,但仅支持 Google SSO,这使得依赖 Microsoft 或 Okta 的企业无法监控员工如何使用该工具。
LayerX 的 CEO 兼联合创始人 Or Eshed 解释说:"虽然大多数讨论都集中在 AI 工具存储数据的位置,但更大的担忧是它们如何被访问以及处理什么数据。"这种疏忽的安全影响是深远的。当员工使用非企业凭证访问 AI 应用程序时,组织无法监控共享的数据内容、专有信息是否面临风险,或者访问是否被不法分子利用。
为什么隐形身份构成日益增长的风险
在 AI 和云应用程序日益深入日常工作流程的当下,组织面临着身份安全悖论: - SaaS 平台提供了无与伦比的灵活性和生产力提升 - 同时这些平台越来越多地通过安全团队无法追踪或控制的未管理身份进行访问
这种风险在混合工作环境中被放大,员工经常在同一设备上在个人账户和企业账户之间切换。LayerX 的研究表明,近 40% 的企业 SaaS 访问通过个人凭证进行,67% 的登录完全绕过企业 SSO,使身份治理几乎不可能实现。
Similarweb 的 CISO Tomer Maman 表示:"可见性至关重要;然而,从浏览器之外的工具收集见解可能既耗时又具有挑战性。"
如果无法清晰地了解员工如何与 SaaS 应用程序交互(特别是处理和分析敏感数据的 AI 工具),组织就缺乏执行关键安全策略、检测内部威胁或防止意外数据泄露的能力。
身份作为第一道防线
传统安全模型专注于网络层防御、终端保护和防火墙,这些在现代威胁面前都在迅速失效。随着云应用程序取代传统企业软件,身份本身已成为新的安全边界。
组织必须从过时的安全模型转向以身份为先的方法,优先考虑用户访问数字资源的可见性和治理。这意味着: - 在所有企业 SaaS 应用程序中严格执行 SSO 政策 - 禁止使用非企业账户执行工作相关任务 - 实施 SaaS 登录实时监控,以检测未授权访问 - 通过强制多因素认证和主动钓鱼检测来防止凭证盗用
没有这些控制措施,隐形身份将继续扩散,增加数据外泄、违反监管和不受控制的 AI 驱动安全风险的可能性。
AI、身份与网络安全的未来
AI 驱动的 SaaS 平台的发展既带来机遇也带来风险。一方面,AI 提高了效率和自动化水平,但另一方面,它通过增加对传统安全监督范围之外运行的应用程序的依赖,创造了新的漏洞。
组织面临的挑战不仅是确保 AI 工具的安全,还要确保访问这些工具的身份是合法的且受到完全管控。安全边界已经发生转移,未能适应这一新现实的组织可能会失去对其最宝贵资产的控制:数据。
随着 AI 持续重塑商业格局,安全领导者必须重新思考其身份治理方法,确保企业应用程序的访问是透明的、负责任的和安全的。
好文章,需要你的鼓励
邻里社交应用Nextdoor推出重新设计版本,新增本地新闻、实时警报和名为"Faves"的AI功能,用于发现本地商户和地点。该应用与3500家本地出版商合作提供新闻内容,通过Samdesk和Weather.com提供天气、交通、停电等实时警报。Faves功能利用15年邻里对话数据训练的大语言模型,为用户提供本地化AI推荐服务,帮助用户找到最佳餐厅、徒步地点等本地信息。
Skywork AI推出的第二代多模态推理模型R1V2,通过创新的混合强化学习方法,成功解决了AI"慢思考"策略在视觉推理中的挑战。该模型在保持强大推理能力的同时有效控制视觉幻觉,在多项权威测试中超越同类开源模型,某些指标甚至媲美商业产品,为开源AI发展树立了新标杆。
英国生物银行完成了世界上最大规模的全身成像项目,收集了10万名志愿者的超过10亿次扫描数据,用于研究人体衰老和疾病过程。该项目历时11年,每次扫描耗时5小时,投资6200万英镑。目前已有8万人的成像数据供全球研究人员使用,剩余数据将于年底前发布。项目已开发出能预测38种常见疾病的AI工具,并在心脏病、痴呆症和癌症诊断方面取得突破。
这项由北京大学等多所高校联合完成的研究,首次对OpenAI GPT-4o的图像生成能力进行了全面评估。研究团队设计了名为GPT-ImgEval的综合测试体系,从文本转图像、图像编辑和知识驱动创作三个维度评估GPT-4o,发现其在所有测试中都显著超越现有方法。研究还通过技术分析推断GPT-4o采用了自回归与扩散相结合的混合架构,并发现其生成图像仍可被现有检测工具有效识别,为AI图像生成领域提供了重要的评估基准和技术洞察。