LayerX：2025年企业级AI与SaaS数据安全报告

生成式AI正在以前所未有的速度嵌入企业核心工作流。报告数据显示，尽管AI真正进入企业环境仅有两到三年时间，但已有45%的企业员工在日常工作中使用生成式AI工具，其相关流量已占全部企业应用访问的11%。在所有AI工具中，ChatGPT几乎形成垄断，占据92%的AI使用量，整体渗透率达到43%，其扩散速度已可与电子邮件、在线会议等传统基础型SaaS应用相提并论，标志着AI已从“新技术”跃迁为“基础设施”。

高速普及的另一面，是敏感数据暴露风险的同步放大。报告指出，40%的文件上传至生成式AI工具的内容包含PII或PCI数据，文件存储平台中的这一比例为41%。换言之，几乎每两次上传，就有一次涉及高度敏感信息。这些上传行为中，约四成发生在非企业账号之下，使得大量关键数据在未经审计和留痕的情况下进入外部平台，合规与泄露风险被系统性放大。

身份治理的失效进一步加剧了这一风险。数据显示，67%的生成式AI访问、64%的在线会议登录以及77%的CRM访问，均通过个人或非托管账号完成。即便使用企业账号，SSO的覆盖率仍然极低，ERP系统中83%的登录未启用SSO，CRM也高达71%。这意味着大量“企业系统”的访问行为，在安全强度上与个人账号并无本质差异，企业对核心业务数据的可视性和控制力被严重削弱。

在数据流动方式上，传统DLP最难覆盖的复制粘贴行为，已成为最主要的外泄通道。77%的员工会将数据直接粘贴到生成式AI提示框中，其中82%的操作来自非企业账号。生成式AI已占企业数据从公司环境流向个人环境的32%，位列所有外泄路径之首。平均来看，每名员工每天通过非企业账号进行约14次粘贴操作，其中至少3次涉及敏感信息。

即时通信工具构成了另一处高风险盲区。87%的聊天应用使用发生在非企业账号环境下，而62%的企业用户曾在聊天中粘贴包含PII或PCI的数据。相较于文件上传，这类行为频次更高、痕迹更少，使得敏感信息以“碎片化、持续性”的方式流出企业边界，显著提升了长期合规和内部威胁风险。