下午三點的會議前,香港一家物流公司的財務經理把一份客戶合約貼進免費的公開聊天機械人,讓它草擬一份摘要。沒有人批准過這個工具,也沒有人記錄過這些數據去了哪裡。現在,把這一個動作乘以三百名員工,每一個工作天。
這就是影子 AI。無論你是否批准過,它已經在你的公司內部運作。
什麼是影子 AI?
影子 AI 指員工在 IT 或資訊保安部門不知情、未批准、無監督的情況下,自行使用人工智能工具。它涵蓋公開聊天機械人、瀏覽器 AI 外掛,以及各種未經審核、悄悄把公司數據傳送到第三方模型的軟件功能。
這個名稱源自「影子 IT」,即員工私自採用未授權軟件的舊有問題。影子 AI 更危險,因為離開公司的數據往往會被用來訓練外部模型,而且這些工具免費、即時,完全不需要採購審批。
影子 AI 在企業中有多普遍?
影子 AI 已經是常態,而非例外。2026 年多項行業調查顯示,約 98% 的機構有員工在使用未經批准的 AI 工具,約 70% 的企業 AI 活動在正式 IT 監管之外進行。治理的步伐,已經遠遠落後於採用的速度。
根據橫跨 2024 至 2026 年的影子 AI 研究,只有約 37% 的機構設有任何政策去管理或偵測未授權的 AI 使用,約 25% 的機構完全沒有生效的 AI 政策。
最危險的是認知落差。同一批研究指出,58% 的管理層相信自己的治理措施跟得上採用速度,但實際上只有 18% 對大部分已識別的 AI 風險設有生效的緩解措施。
對一家二百人的香港中型企業而言,合理的假設不是「我團隊中可能有些人這樣做」,而是「我團隊中大部分人已經在這樣做」。
員工為什麼會使用未經批准的 AI 工具?
員工轉向影子 AI,是因為它消除了阻力。當缺乏一個經批准、又好用的工具時,員工就會抓住任何最快的方法去趕死線。背後的驅動力是生產力壓力,而非惡意,這正是單靠禁令甚少奏效的原因。
速度是最主要的動機。在多項行業調查中,大部分行政及知識型員工都把「更快完成工作」列為使用 AI 的首要理由,無論該工具是否獲批。
第二個驅動力是能力真空。當機構沒有提供企業級工具,或提供的工具緩慢又難以存取時,員工會在幾分鐘內自行填補這個缺口。
這一點在策略上非常重要。影子 AI 是真實需求的訊號。正在使用它的團隊,其實正清楚告訴你:只要能安全地提供,AI 會在哪裡創造價值。
影子 AI 為香港企業帶來哪些真實風險?
核心風險是數據外洩、《個人資料(私隱)條例》下的監管風險,以及未經核實的 AI 輸出流入業務決策。對處理客戶及財務資料的香港企業而言,一個沒有記錄的提示,可能演變成一宗無人能追查的合規事故。
第一項風險是機密性。貼進消費級工具的客戶記錄、合約與原始碼,可能被保留並用於訓練外部模型,從此永久脫離你的掌控。
第二項是監管。2025 年 3 月 31 日,香港個人資料私隱專員公署發布了《僱員使用生成式 AI 的檢查清單》,須與其 2024 年 6 月的《人工智能:個人資料保障示範框架》一併參閱。兩份文件都清楚指出,機構須為員工輸入 AI 工具的個人資料承擔問責。
第三項是延伸至香港以外的監管。服務歐洲客戶的公司須面對《歐盟人工智能法案》,其高風險系統的義務將於 2026 年 8 月 2 日起執行,業界分析指其罰則可高達全球營業額的相當比例。
第四項是決策質素。當缺乏人手覆核流程時,未經核實的 AI 輸出,連同它自信滿滿的錯誤,可以直接流入董事會文件、客戶建議與財務報告。
應該如何治理影子 AI?一個四步框架
有效的影子 AI 治理,建基於四個動作:發現現時已在使用的工具、提供安全的獲批替代方案、訂立清晰的使用規則,以及持續監察。次序很重要。你無法治理一件你尚未讓它可見的事。
一、發現。透過訪談團隊與檢視網絡及瀏覽器活動,掌握實際上有哪些 AI 工具正被使用、用於甚麼任務。把這視為一張需求地圖,而非一次紀律行動。
二、提供。提供一個企業級、有存取權限管控、而且比消費級方案更快好用的 AI 工具。安全工具只有在贏過捷徑時,才會被真正採用。
三、訂規則。依照私隱專員公署的檢查清單,界定獲批工具、許可用途、哪些數據絕不可輸入、必須人手覆核輸出,以及為 AI 生成內容加上標示。
四、監察。指定明確的負責人、記錄使用情況、每季檢討。Gartner 預測企業 AI 治理開支將於 2026 年達到約 4.92 億美元,並於 2030 年突破 10 億美元,顯示這正成為長期的營運職能,而非一次性項目。
一刀切禁止 AI 時,會出甚麼問題?
一刀切禁令只會把影子 AI 推向更深的地下,同時放棄它的價值。需要 AI 才能跟上節奏的員工,會轉用個人裝置,而機構對此毫無可見度。正確的回應是提供安全替代方案,而非禁止。
證據很直接。影子 AI 研究發現,當機構提供獲批工具後,未授權的 AI 使用會下降約 89%。真正降低風險的是「提供」,而非「禁止」。
第二個常見失誤,是把治理當成一份備忘錄。一份無人受訓、無人負責的政策,改變不了任何行為。治理是一項有問責負責人的持續職能。
第三個失誤是忽視需求訊號。一家在不問「員工為何需要」的情況下就關掉影子 AI 的企業,會白白失去競爭對手已在攫取的生產力。
給香港領袖的策略啟示
影子 AI 不是一個需要被撲滅的技術問題,而是一個需要被領導的治理與賦能問題。2026 年勝出的機構,會是那些讓 AI 變得安全可用的企業,而非那些假裝員工沒有在用 AI 的企業。
一個令人不安的事實是:你的競爭對手正在適當管控下,把同樣的需求轉化為可量度的生產力;而不受管理的影子 AI,正靜靜地在你的資產負債表上累積風險。
這正是本地夥伴的價值所在。懂AI的冷,更懂你的難,UD 同行28年,讓科技成為有溫度的陪伴。二十八年服務香港企業的經驗,意味著我們陪不同機構走過每一次技術週期,也深知關鍵不是懼怕工具,而是把它治理得好。
把影子 AI 轉化為受管治的優勢
掌握框架只是起點,下一步是弄清楚你的機構實際處於甚麼位置。UD 手把手帶你完成每一步,由 AI 準備度評估、政策設計、安全工具落地,到持續治理,28 年企業經驗全程陪你走。