随着 AI 驱动的应用程序和基于云的 SaaS 工具的快速普及,工作效率得到了显著提升,但同时也带来了一个新的、尚未被广泛认识到的安全危机。当组织将注意力集中在外部网络威胁时,一个无声的漏洞正在其内部滋长:隐形身份。这些用户账户存在于企业身份认证框架之外,游离在传统安全控制的盲区。
LayerX 发布的"2025 身份安全报告"针对 SaaS 身份趋势进行了研究,揭示了 80% 的企业 SaaS 登录对 IT 和安全团队来说是不可见的,这是由于员工使用个人凭证或非 SSO 支持的企业账户所致。这意味着在大多数组织中,员工与云应用程序的绝大多数交互都在没有安全监督的情况下进行,使公司面临潜在的数据泄露、合规违规和凭证盗用风险。
隐形数字身份的崛起
当员工绕过企业身份认证协议时(通常是无意识的),使用个人账户或未经管理的凭证登录 SaaS 应用程序时,就会产生隐形身份。在许多情况下,这种现象的出现是因为组织未能严格执行单点登录政策,或者用户将便利性置于安全性之上。
这个问题在 AI 驱动的工具中尤为普遍,因为需求往往超过了安全治理的步伐。以快速普及的生成式 AI 应用程序 DeepSeek 为例,与 ChatGPT 或 Microsoft Copilot 等平台不同,DeepSeek 要求用户登录,但仅支持 Google SSO,这使得依赖 Microsoft 或 Okta 的企业无法监控员工如何使用该工具。
LayerX 的 CEO 兼联合创始人 Or Eshed 解释说:"虽然大多数讨论都集中在 AI 工具存储数据的位置,但更大的担忧是它们如何被访问以及处理什么数据。"这种疏忽的安全影响是深远的。当员工使用非企业凭证访问 AI 应用程序时,组织无法监控共享的数据内容、专有信息是否面临风险,或者访问是否被不法分子利用。
为什么隐形身份构成日益增长的风险
在 AI 和云应用程序日益深入日常工作流程的当下,组织面临着身份安全悖论: - SaaS 平台提供了无与伦比的灵活性和生产力提升 - 同时这些平台越来越多地通过安全团队无法追踪或控制的未管理身份进行访问
这种风险在混合工作环境中被放大,员工经常在同一设备上在个人账户和企业账户之间切换。LayerX 的研究表明,近 40% 的企业 SaaS 访问通过个人凭证进行,67% 的登录完全绕过企业 SSO,使身份治理几乎不可能实现。
Similarweb 的 CISO Tomer Maman 表示:"可见性至关重要;然而,从浏览器之外的工具收集见解可能既耗时又具有挑战性。"
如果无法清晰地了解员工如何与 SaaS 应用程序交互(特别是处理和分析敏感数据的 AI 工具),组织就缺乏执行关键安全策略、检测内部威胁或防止意外数据泄露的能力。
身份作为第一道防线
传统安全模型专注于网络层防御、终端保护和防火墙,这些在现代威胁面前都在迅速失效。随着云应用程序取代传统企业软件,身份本身已成为新的安全边界。
组织必须从过时的安全模型转向以身份为先的方法,优先考虑用户访问数字资源的可见性和治理。这意味着: - 在所有企业 SaaS 应用程序中严格执行 SSO 政策 - 禁止使用非企业账户执行工作相关任务 - 实施 SaaS 登录实时监控,以检测未授权访问 - 通过强制多因素认证和主动钓鱼检测来防止凭证盗用
没有这些控制措施,隐形身份将继续扩散,增加数据外泄、违反监管和不受控制的 AI 驱动安全风险的可能性。
AI、身份与网络安全的未来
AI 驱动的 SaaS 平台的发展既带来机遇也带来风险。一方面,AI 提高了效率和自动化水平,但另一方面,它通过增加对传统安全监督范围之外运行的应用程序的依赖,创造了新的漏洞。
组织面临的挑战不仅是确保 AI 工具的安全,还要确保访问这些工具的身份是合法的且受到完全管控。安全边界已经发生转移,未能适应这一新现实的组织可能会失去对其最宝贵资产的控制:数据。
随着 AI 持续重塑商业格局,安全领导者必须重新思考其身份治理方法,确保企业应用程序的访问是透明的、负责任的和安全的。
