企業環境的數位領域一直是效率與安全性之間的戰場。多年來,這種情況以「影子 IT」的形式出現 — 員工使用未經批准的筆記型電腦或雲端服務來更快地完成工作。安全性團隊成為搜捕這些流氓系統的高手,透過設定防火牆和原則將混亂回歸秩序。
但新的前沿有所不同,可以說更加微妙且危險。
想像一個工程師團隊,正在深入開發一項具有突破性的新產品。他們面臨緊迫的期限,一位初級工程師為了最佳化其工作流程,將一段專有演算法的程式碼片段貼到一個熱門的公共 AI 聊天機器人中,要求其重構程式碼以提升效能。工具迅速傳回修改後的程式碼,工程師對結果感到滿意,將其簽入。他們沒有意識到,他們的查詢和程式碼片段現在已成為 AI 服務訓練資料的一部分,或者可能被提供者記錄和儲存。在沒有人注意的情況下,公司智慧財產權的關鍵部分已經在組織控制之外被傳送,這是一個未受監控的靜默資料洩漏。
這並非假設的情況。而是新的現實。在這些功能強大的 AI 工具的支援下,員工現在用它們來完成所有事情,從總結機密文件、產生行銷文案,甚至撰寫程式碼。在這些互動中離開公司的資料,對於傳統安全性工具來說通常是不可見的,因為這些工具從未被設計用來理解瀏覽器標籤與大型語言模型互動的細微差別。這種靜默的未受管使用就是「影子 AI」,其代表了一個新的、高風險性安全盲點。
為了解決此問題,我們需要一種新方法 — 能夠提供對這一全新應用程式類別的可見度,並為安全性團隊提供所需的控制權,同時又不會妨礙讓這些工具極具價值的創新。
Cloudflare《影子 AI 報告》因此應運而生。該報告不是要封鎖的威脅清單,而是一種可見度和分析工具,旨在協助您瞭解問題,以免演變為危機。Cloudflare One 的客戶不再依賴猜測或嘗試手動尋找每一個未經批准的應用程式,而是可以利用流量深入解析,獲得清晰且資料驅動的組織應用程式使用情況全貌。
該報告提供應用程式活動的詳細分類檢視,並且可輕鬆地縮減到 AI 活動。我們善用自己的網路和威脅情報能力來識別和分類 AI 服務,以識別一般用途模型(例如 ChatGPT)、程式碼生成助理(例如 GitHub Copilot),以及用於行銷、資料分析或其他內容建立的專用工具(例如 Leonardo.ai)。藉助此精細化檢視,安全性團隊不僅可以看到員工正在使用 AI 應用程式,還可以看到具體是哪個 AI 應用程式,以及哪些使用者正在存取。
眼尖的使用者可能已經注意到我們提供影子 IT功能已經有一段時間了 — 那麼有哪些改變?雖然我們的安全性 Web 閘道 (SWG) Cloudflare Gateway 記錄部分此類資料已經有一段時間,但使用者希望更深入地瞭解並報告其組織的應用程式使用情況。Cloudflare Gateway 每天為我們最大型的使用者處理數億行應用程式使用資料,而這種規模導致在查詢較大時間範圍時出現問題。此外,原始實作缺乏篩選和自訂功能,無法正確調查 AI 應用程式的使用情況。我們知道這是客戶喜愛的資訊,但我們在展示給他們時做得不夠好。
解決此問題需要跨團隊協作,要求我們的分析和報告工程師進行全面的革新。您最近可能在 2025 年 7 月的部落格文章中瞭解了我們的工作成果,其中詳細介紹了我們如何採用 TimescaleDB 來支援我們的分析平台、解鎖我們的分析功能,從而讓我們能夠彙整和壓縮長期資料,進而顯著改善查詢效能。這解決了我們最初面臨的規模問題,讓我們最大型的客戶能夠長時間查詢其資料。我們的網路爬蟲從 Gateway 收集原始 HTTP 流量資料,然後將其儲存到 Timescale 資料庫中。
資料進入我們的資料庫後,我們便在資料庫中針對影子 IT 和 AI 使用案例建立特定的具體化檢視,以支援對此功能進行分析。我們建置的現有 HTTP 分析圍繞帳戶的 HTTP 請求,而這些特定檢視則專注於應用程式相關資訊,例如:哪些使用者正在使用未經核准的應用程式?他們正在消耗多少頻寬?是否有終端使用者在非預期地理位置與未經審查的應用程式互動?哪些裝置使用的頻寬最多?
過去一年來,團隊已經針對我們呈現的分析定義了一個框架。我們的時間序列圖和 top-n 圖都能按持續時間進行篩選,並顯示相關的資料點,讓使用者能夠向下切入特定資料點,以及查看其企業流量的詳細資料。我們透過審查現有資料,以及研究 AI 應用程式如何為客戶帶來可見度挑戰,對影子 IT 進行徹底改造。我們不僅在此善用現有的架構,還建置影子 IT 儀表板。這提供了應用程式層級可見度,我們深知這正是客戶所需要的。
系統的核心是 Cloudflare Gateway,這是一個內聯篩選器和代理,可處理您組織的所有網際網路流量,無論您的使用者位於何處。當員工嘗試存取 AI 應用程式時,其流量會流經 Cloudflare 的全球網路。Cloudflare 可檢查流量(包括主機名稱),並將流量映射至我們的應用程式定義。TLS 檢查對於 Gateway 客戶來說可選用,但對於 ShadowIT 分析則必不可少。
互動會被記錄,並與使用者身分、裝置狀態、消耗的頻寬甚至是地理位置相關聯。這種豐富的關聯內容對於瞭解誰在何時何地使用哪些 AI 工具至關重要。
所有這些精細化資料隨後會在您的 Cloudflare One 儀表板中的《影子 IT 報告》中呈現。只需篩選 AI 應用程式,您就可以看到:
ShadowIT 分析儀表板
我們瞭解,並非所有建立的 AI 工具都是相同的,且您組織的滿意度會有所差異。《影子 AI 報告》針對應用程式核准狀態引入了一個靈活的框架,讓您可以對偵測到的每個 AI 應用程式進行正式分類:
已核准:這些是指已通過內部安全性審查、符合原則並獲得正式批准使用的 AI 應用程式。
未核准:這些是阻止的應用程式。也許是因為其資料隱私權原則令人擔憂,有漏洞歷程記錄,或者只是與您的業務目標不一致。
審查中:對於那些灰色區域的應用程式,或新發現的工具,此狀態可讓您的團隊在進行徹底盡職調查的同時確認其使用情況。它會為您爭取時間,以便在不立即中斷的情況下做出明智的決策。
在儀表板中檢閱並標記應用程式狀態
在與 Cloudflare Gateway 原則整合時,這些核准狀態會啟用。這樣一來,您就能夠在 Cloudflare 網路的邊緣自動執行 AI 決策,確保無論員工在哪裡工作,都能提供一致的安全性。
下面將說明如何將您的決策轉化為內聯保護:
封鎖未經核准的 AI:最簡單直接的動作。建立 Gateway HTTP 原則,封鎖所有流向標示為「未核准」AI 應用程式的流量。這會立即關閉有風險的資料外流。
限制「審查中」暴露:針對仍在評估中的應用程式,您可能需要的不是硬性封鎖,而是對潛在風險的軟性限制:
資料丟失防護 (DLP):Cloudflare DLP 可檢查並分析流量中的敏感性資料指標(例如信用卡號、個人識別資訊、內部專案名稱、原始程式碼),然後可封鎖傳輸。藉由將 DLP 套用至「審核中」AI 應用程式,您可以阻止 AI 提示包含此專有資料,以及通知使用者為何封鎖該提示。這可讓我們可憐的初級工程師避免其善意的錯誤。
限制特定動作:僅封鎖允許基本互動,但阻止大量資料輸出的檔案上傳。
隔離有風險的工作階段:透過 Cloudflare 的瀏覽器隔離,路由「審查中」應用程式的流量。瀏覽器隔離在安全的遠端容器中執行瀏覽器工作階段,從而將所有資料互動與公司網路隔離開來。憑藉此功能,您可以控制檔案上傳、剪貼板動作、減少鍵盤輸入等,從而在檢閱時減少與應用程式的互動。
稽核「已核准」使用情況:即使是您信任的 AI 工具,您也可能需要記錄所有互動以進行合規性稽核,或套用特定的資料處理規則,以確保持續遵守內部原則。
此工作流程可讓您的團隊持續一致地稽核組織的 AI 使用情況,並輕鬆更新原則以快速降低安全性風險。
使用 Cloudflare Log Explorer 進行取證分析
雖然《影子 AI 報告》提供了絕佳的深入解析,但安全性團隊通常需要進行更深入的取證調查。針對這些進階情境,我們提供了 Cloudflare Log Explorer。
Log Explorer 可讓您直接在 Cloudflare 儀表板內,或透過 API 來儲存和查詢 Cloudflare 記錄,而無需針對每次調查將大量記錄傳送至第三方 SIEM。其提供完整關聯內容的原始未取樣記錄資料,從而實現快速且詳細的分析。
Log Explorer 客戶可透過 Cloudflare Analytics 預先填入 SQL 查詢,深入探究影子 AI 記錄,從而更深入地調查 AI 使用情況:
Log Search 的 SQL 查詢介面
如何使用 Log Explorer 調查影子 AI:
追蹤特定使用者活動:如果《影子 AI 報告》標示某使用者在「審核中」或「未核准」的 AI 應用程式上活動頻繁,您可以進入 Log Explorer,並依使用者、應用程式類別或特定 AI 服務進行查詢。
分析資料外流嘗試:如果您設定了 DLP 原則,則可結合 AI 應用程式類別來搜尋 DLP。這有助於識別試圖將敏感性資料上傳至 AI 應用程式的行為,並精確定位正在傳輸的資料。
識別異常的 AI 使用:《影子 AI 報告》可顯示特定 AI 應用程式的使用激增情況。在 Log Explorer 中,您可在特定時間範圍內依申請狀態(審核中或未核准)進行篩選。然後,尋找異常模式,例如,來自單一來源 IP 位址的大量請求,或非預期的地理來源,這可能表明帳戶遭到入侵或試圖規避原則。
如果 AI 可見度是您的組織面臨的挑戰,《影子 AI 報告》作為我們更廣泛的影子 IT 探索功能的一部分,現已提供給 Cloudflare One 客戶。登入儀表板,即可立即開始重新獲得可見度並制定 AI 治理策略。
準備好現代化 AI 應用程式的安全性存取方式了嗎?立即諮詢我們的 Cloudflare One 安全性專家,瞭解如何重新獲得可見度和控制。
或者,如果您尚未準備好與某人交談,Cloudflare One 幾乎每一項功能都可供多達 50 位使用者免費使用。我們許多最大型的企業客戶都會先探索我們免費方案中的產品,您可以從這裡開始。
如果您有意見回饋或想要協助塑造 Cloudflare 如何增強影子 AI 的可見度,請考慮加入我們的使用者研究計畫。