当政策遇上人类行为
一名政府承包商在处理FEMA洪水救助申请时面临时间压力,将灾难申请者的姓名、地址、联系方式和健康数据粘贴到ChatGPT中,以更快地处理信息。其意图并非恶意——这是在压力下做出的生产力决策。结果是政府调查、公开披露,以及一个记录事件,说明了仅依靠政策的AI治理的核心失败模式。
77%的企业员工每周至少与AI工具分享敏感工作信息,尽管政策禁止这样做(eSecurity Planet/Cyberhaven 2025)。77%的这一数据并不反映出一个违反政策的员工队伍,而是反映了AI工具被采用的现实:作为生产力工具,员工在面临时间压力、重复任务或复杂分析需求时本能地使用。
Cyberhaven的2025年第四季度分析发现,34.8%的所有ChatGPT输入包含机密商业数据。这一数据包括那些意识到AI使用政策且无意违反政策的员工——他们只是没有在粘贴的瞬间将数据归类为“机密”。
政策合规问题
AI使用政策面临固有的执行差距。与可以通过身份验证技术执行的访问控制政策或可以通过电子邮件/存储层的DLP执行的数据分类政策不同,AI使用政策依赖于数据输入时的人类判断。
员工决定将客户数据粘贴到ChatGPT中的那一瞬间是一个瞬间的行为决策。员工可能不记得政策,可能计算出效率提升超过了感知风险,或者可能真正没有意识到数据受政策保护。政策培训减少了这一决策的频率,但无法在规模上消除它。
FEMA事件展示了这一原型:一名承包商面临大量申请、截止日期,以及对强大摘要工具的访问。政策合规要求选择手动处理而非AI协助。在时间压力下,工具胜出。
应用层的技术控制
唯一解决这一失败模式的治理方法是在技术层面而非政策层面操作。Chrome扩展在剪贴板内容到达任何基于Web的AI接口(ChatGPT、Gemini、Claude.ai、Perplexity或其他)之前拦截剪贴板内容。拦截是自动的;它不依赖于用户记得应用政策。
当FEMA承包商从案件管理系统复制申请者的姓名和地址并粘贴到ChatGPT时,该扩展检测到剪贴板内容中的个人身份信息(PII),对其进行匿名化,并提交匿名版本。承包商在提交前会看到一个预览模态,显示将被替换的内容。AI接收到去标识化的数据,仍然可以执行摘要任务。申请者的姓名、地址和健康数据永远不会到达ChatGPT的服务器。
对于那些AI治理关注点集中在编码工具(Cursor、GitHub Copilot)的组织,MCP服务器提供了应用层的等效控制。粘贴到AI模型上下文中的代码会被拦截,凭证和专有标识符会被替换为令牌,AI接收到匿名版本。这两个渠道——基于浏览器的AI和基于IDE的AI——都可以通过独立于用户行为的技术控制进行保护。
如果在FEMA承包商场景中实施了技术控制,结果将会有所不同。承包商本可以高效处理申请;申请者数据永远不会到达ChatGPT;调查不会被触发。政策培训并没有防止事件的发生,而技术拦截层可以做到。
来源: