一位香港營運總監發現團隊正在使用影子 AI 的那一刻
中環一家中型專業服務公司的營運總監在星期一早上拉出網絡使用報告。她預期看到幾個已獲批准的 AI 工具,結果報告顯示有 43 個不同的 AI 服務正在被存取,其中 27 個她從未聽聞。多數是用個人電郵帳號登入,部分查詢內容更夾帶了客戶文件。
這就是影子 AI。到 2026 年中,這已不再是香港企業內的例外狀況,而是 AI 環境的預設狀態,遠在正式 AI 策略追上之前就已存在。問題不再是「有沒有影子 AI」,而是「在下一次季度稽核、下一封盡職調查問卷、下一封監管機構來信之前,要怎樣處理」。
本文定義影子 AI、解釋它為何成長得這麼快、評估 2026 年的風險規模、對照香港個人資料條例與歐盟 AI 法案,並提供香港企業領袖可在 30 天內展開的五步治理框架。
什麼是影子 AI?
影子 AI 是指員工在組織內未經 IT、保安、法律或合規正式批准,就使用 AI 工具、助理、模型、瀏覽器擴充功能或個人 AI 帳號的行為。範圍包括員工用免費 ChatGPT、Claude、Gemini 或任何第三方 AI 服務處理公司工作,並且愈來愈多包括自主代理代為操作。
Vectra AI 2026 年的解釋把它定位為「AI 版的影子 IT」,但有兩個重要差異。第一,影子 AI 更難被察覺,因為它通常在一個普通的瀏覽器分頁中執行。第二,流出的資料可能涉及組織最敏感的內容:客戶紀錄、原始碼、合約草本、財務模型、內部策略。
影子 AI 並不等同於員工下班後私下使用 AI。它特指員工正在做公司的工作,但組織從未批准使用該工具。這個分別很重要,因為造成監管與保安曝險的,是「正在做的工作」,而不是工具本身。
2026 年影子 AI 有多普及?
2026 年的影子 AI 已不再是少數行為。根據 Unseen Security 2026 年《影子 AI 現狀》報告,接近 98% 的受訪組織內,有員工正在使用未經批准的 AI 工具,超過 80% 的員工親口承認自己在工作中如此使用。只有約 37% 的組織擁有書面 AI 治理政策。
SQ Magazine 2026 年數據集補充背景:約 47% 的 GenAI 使用者透過個人帳號存取這些工具,完全繞過企業單一登入。約 38% 的員工承認曾在未獲批准下,與 AI 工具分享公司敏感資料;約 33% 曾把客戶資料上傳到 AI 平台。
香港並不例外。私隱專員 2026 年發表的代理式 AI 指引明確指出,本地企業內未經授權的 AI 使用正在上升,並把它列為主要監督關注。生產力局 2026 年初圓桌會議中受訪的本地 CIO,普遍估計自家清單只能涵蓋組織內不到一半的 AI 活動。
影子 AI 為什麼成長得這麼快?
影子 AI 成長得快,是因為生產力回報立即且個人化,而正式的企業推行則緩慢而充滿政治。個別員工把合約貼進免費 AI 工具,15 秒內就能拿到可用摘要;同樣流程若要走 IT 認可環境,採購、配置、培訓可能要幾個星期。
缺口是結構性的。企業 IT 以季度採購與年度規劃運作,AI 能力卻在每週發版週期前進。每當缺口拉開,員工就會用公開網絡上能找到的工具填補。這不是道德問題,是供應問題。
EPAM 2026 年研究指出:當已批准工具不存在或比免費替代品更弱,員工就會繞過政策;當已批准工具至少與免費選項一樣好用,未經授權使用會下跌約 89%。沒有可用替代品的純禁令,是大多數企業重複的失敗模式。
影子 AI 製造哪些具體風險?
影子 AI 製造四類具體風險:資料外洩到第三方模型供應商、PDPO 與歐盟 AI 法案下的監管曝險、面向企業客戶的稽核與合約曝險、以及自主代理在無人批准的權限下持續行動的「能力潛行」。這些風險不再是理論,而是已經出現在 2026 年的事故資料中。
風險一,資料外洩:Cloud Security Alliance 2026 年報告指出,影子 AI 是接近五分之一企業資料外洩事故的成因之一。IBM 數據顯示,每一宗與影子 AI 相關的外洩,平均事故成本增加約 520 萬港元,遏制時間額外延長十天。
風險二,監管曝險:自 2026 年 8 月 2 日起,歐盟 AI 法案高風險條款生效。任何香港企業若服務歐盟客戶、處理歐盟個人資料、或其 AI 系統觸及歐盟使用者,均屬適用範圍,最高罰款達全球年度營業額的 3%。在香港個人資料條例下,把個人資料轉移到境外 AI 服務而沒有正當依據,本身就構成保障資料原則的違反。
風險三,合約曝險:企業客戶現在已經常要求供應商提供書面聲明:供應商員工不會使用未經授權的 AI 來處理客戶資料。否認則直接被淘汰;謊報則一旦被揭發,須承擔合約責任。
風險四,能力潛行:Cloud Security Alliance 2026 年 4 月警告:影子 AI 已不再局限於對話工具。透過瀏覽器擴充或個人帳號安裝的自主代理,可以用無人批准的憑證對企業系統行動,並且常在員工調職或離職後繼續存在。
影子 AI 與香港個人資料條例如何交疊?
在香港個人資料條例下,即使員工自願把個人資料上傳到第三方 AI 工具,組織仍然是「資料使用者」,必須對該資料的收集目的、保存與跨境轉移負法律責任。涉及客戶或員工個人資料的影子 AI 使用,實質上就是一宗等待發生的個人資料條例合規事件。
私隱專員 2026 年代理式 AI 指引強化這個立場:要求正式 AI 治理、任何接觸個人資料的代理採最低權限、設立中央批准代理登記冊、主動掃描未經授權的代理、以及員工接受提示注入與憑證外洩訓練。組織在影子 AI 未被量度之前,無法達到這條門檻。
實務含義很直接。當監管機構或受影響資料當事人追問「個人資料如何流入境外 AI 服務」,組織需要拿得出辯護的答案。「不知道」並非保障資料原則四下的免責理由。影子 AI 令組織失去給出任何其他答案的能力。
治理影子 AI 的五步框架是什麼?
Cloud Security Alliance 2026 年框架界定五個步驟:發現、分類、評估風險、實施控制、持續監察。框架的重點是在監管機構、稽核師或事故替你做之前,把無形問題轉成有管理的清單。順序很重要:你無法治理你還沒發現的東西。
步驟一,發現:結合網絡與端點遙測,加上匿名員工問卷。網絡遙測能抓取透過 DNS 或 HTTP 存取的工具,端點掃描能抓取瀏覽器擴充與桌面應用,問卷則能補足個人手機或非公司網絡上的使用。
步驟二,分類:就每個被發現的工具,記錄它能接觸什麼資料、是否使用個人帳號、模型供應商位於何地、適用什麼資料保存條款。每項工具一行紀錄即可,不是完整評估。
步驟三,評估風險:把每個分類後工具對照三個問題:是否接觸個人資料、是否接觸機密客戶資料、是否可在企業系統上自主行動。三個「否」屬低風險;任何一個「是」就需要對應的控制組合。
步驟四,實施控制:把最常用的高風險工具換成已批准對等方案、配置 DLP 規則阻擋敏感資料貼到 AI、對已批准的 AI 工具強制 SSO、公布一份明確允許用途清單。那個 89% 的下降,只有在已批准工具真的好用時才會出現。
步驟五,持續監察:每季重新發現一次。每當新模型或新功能上線就更新清單。事故、險情或外部稽核出現漂移訊號時,重新檢視控制。沒有持續監察,清單會在 90 天內失效。
香港企業首 30 天影子 AI 治理應該長什麼樣?
首 30 天應產出三份交付物:一份目前實際使用中的 AI 工具發現清單、每個工具的風險分類、以及前十名的書面補救計劃。這不是六個月轉型,而是聚焦演練,把空氣中的焦慮轉成結構化基線。其餘工作可以排在後面。
發現階段通常用首十天。網絡與端點掃描在背景進行;同時間派出一份五題匿名員工問卷。香港企業反覆發現,問卷揭示的工具數量約為單靠網絡掃描的兩倍。
接下來十天是分類與風險評估。風險團隊與每個業務職能的代表一起檢視清單。這正是影子 AI 從「IT 問題」變成「領導層問題」的時刻,也是它變得可治理的時刻。
最後十天是補救規劃。揀出十個最高風險工具,逐一決定:替換為已批准方案、用 DLP 限制、附條件正式允許、或封鎖。寫下名義負責人與日期。計劃不需要完美,但必須存在。
企業領袖對影子 AI 最常見的錯誤是什麼?
最常見的錯誤是用一紙禁令回應影子 AI。在沒有可用替代品的情況下封禁影子 AI,並不會減少使用,只會令使用轉到 IT 完全看不到的個人裝置與個人帳號。2026 年的企業資料在這一點上非常一致。
EPAM 2026 年分析與 Cloud Security Alliance 強調同一個發現:聚焦提供已批准 AI 工具加上輕度控制的企業,未經授權使用平均下跌約 89%。只聚焦政策文件的企業,數字幾乎沒動。
務實的視角是「供應」,不是「政策」。員工並不想違規,他們想要生產力。如果企業提供一條快速、整合、至少與免費替代品同樣強的合規路徑,影子 AI 問題會自然萎縮;如果企業只提供政策文件,影子 AI 問題會原地保留。
給香港企業領袖的策略總結
2026 年的影子 AI 不是任何單一員工的安全失誤,而是 AI 能力速度與企業採購速度之間的結構性落差。把它當成紀律問題,會抓錯重點;把它當成供應、清單與治理問題,才是香港企業把它帶回防線之內的方式。
2026 年率先動手的企業,不會是政策最嚴的那一批,而是清單最完整、合規工具最好用、業務與風險部門對話最誠實的那一批。這正是 PDPO、歐盟 AI 法案、以及其他受監管行業客戶盡職調查下,AI 就緒運營的基礎。
UD 同行 28 年,陪伴香港企業走過每一次科技風險轉變。我們知道:框架只有在有人協助你套進你的環境時,才會真正落地。懂AI的冷,更懂你的難 — UD 同行28年,讓科技成為有溫度的陪伴。
與 UD 邁出下一步
你已經掌握框架。下一步是執行發現掃描、分類環境內現有工具、並建立你的團隊真正會用的合規替代方案。UD 的 AI Ready Check 團隊手把手帶你完成每一步,背後是 28 年香港企業服務經驗,以及把影子 AI 帶回治理防線的實戰紀錄。
