三个工程团队,三个事件,一个月
在2023年4月,三星半导体披露了三起员工在一个月内将专有数据传输到ChatGPT的独立事件。
这些事件彼此无关。它们涉及不同角色的不同员工,在不同的日子追求不同的任务。它们仅有两个共同特征:每位员工都使用ChatGPT来完成合法的工作目标,并且每次都无意中传输了三星未打算与OpenAI的基础设施共享的数据。
事件1:一名软件工程师正在调试与半导体设备相关的代码。调试复杂系统是AI工具的常见用例——将代码提供给AI模型,并要求其识别意外行为的来源。工程师将三星专有半导体设备系统的源代码粘贴到ChatGPT中。该代码包含与三星制造流程相关的知识产权。
事件2:一名员工正在准备会议摘要。AI辅助的笔记记录和会议总结已成为各行业的标准工作流程工具。该员工将会议记录提交给ChatGPT进行总结。这些会议记录包含机密的内部讨论——商业战略、技术路线图以及三星认为非公开的其他信息。
事件3:第三名员工寻求数据库查询的优化建议。数据库优化是一项技术要求高的任务,AI的帮助提供了真正的价值。该员工向ChatGPT提供了数据库结构和查询逻辑。查询逻辑包含对专有数据结构和业务逻辑的引用。
员工为何这样做
这三名三星员工在各自的专业标准下并没有不负责任的行为。他们使用AI工具来完成AI工具设计用来协助的任务:代码调试、文本总结、技术优化。
每种情况下缺失的元素是技术摩擦。没有系统在提交到达OpenAI的服务器之前拦截该提交。没有控制在数据离开企业网络之前标记专有代码标识符。没有架构层位于员工的合法工作需求和AI提供者的基础设施之间。
员工的行为是理性的。AI工具在合法的工作任务中提供了真正的帮助。政策警告存在,但没有施加技术障碍。违反合规的后果——因意外行为可能导致的纪律处分——与该工具的即时生产力收益相比是抽象和遥远的。
结果:一个月内发生三起事件,三次专有信息的披露,以及引发全球企业AI禁令潮的企业危机。
行业反应
三星的内部反应迅速:对企业设备限制了ChatGPT的访问。该披露引发了更广泛的行业反应,揭示了潜在问题的普遍性。
在三星披露后宣布AI工具禁令或限制的组织包括美国银行、花旗集团、高盛、摩根大通、苹果和威瑞森。金融行业的反应尤其全面——多个主要机构同时得出结论,缺乏技术控制的AI工具的风险特征与其合规义务不相容。
每个组织得出的结论是:员工不是问题,政策警告不足以作为控制。数据离开他们的网络是因为没有技术障碍阻止它,而仅靠政策无法创建技术障碍。
71.6%的绕过率
禁令方法有一个记录的失败率。2025年的LayerX研究发现,71.6%的受企业AI禁令影响的员工通过个人账户或设备继续使用AI工具。
绕过率反映了基本行为:当工具提供真正的生产力价值时,用户会寻找变通办法,而不是永久放弃该工具。发现AI帮助显著加快工作输出的员工不会因为企业政策禁止在企业设备上使用这些工具而停止使用它们。他们会通过安全团队无法看到的渠道在个人设备上使用个人账户。
71.6%的绕过率的实际后果是,AI禁令达到了最糟糕的结果:企业数据通过完全没有安全控制的渠道到达AI提供者。至少企业设备的访问在理论上可以被监控。个人账户的使用对安全团队完全不可见。
三星的三起事件发生在企业设备上,通过企业访问。绕过禁令的员工正在做同样的事情——通过没有企业监督的渠道向AI模型提供与工作相关的数据。
解决根本原因的技术控制
三星事件并不是由于员工的粗心大意造成的。它们是由于缺乏在员工使用AI和外部AI基础设施之间的拦截层的架构造成的。
模型上下文协议(MCP)架构在AI客户端和AI模型API之间提供了一个透明的代理。对于使用Claude Desktop或Cursor IDE的开发者——这些是导致三星第一次事件的代码调试类型的主要工具——MCP服务器位于协议路径中。
在任何文本到达AI模型之前,MCP服务器通过匿名化引擎处理它。源代码会分析专有标识符:函数名称、变量名称、内部API端点、数据库模式细节、配置值。这些在代码到达AI模型之前会被替换为结构化令牌。
通过配备匿名化的MCP服务器请求Claude调试专有三星半导体代码的开发者将传输已用令牌替换专有标识符的代码。AI模型使用匿名化的代码协助调试任务——这对于代码分析是足够的。专有细节从未到达AI提供者的服务器。
事件1变得在技术上不可能。源代码以匿名形式离开网络。AI提供了工程师所需的调试帮助。三星的知识产权保持在三星的控制之中。
同样的架构适用于事件2(通过基于浏览器的AI进行会议记录总结,由Chrome扩展处理)和事件3(通过任何AI编码接口进行数据库查询优化,由MCP匿名化处理)。
三星事件是系统性问题的预览。现在存在解决根本原因的技术控制。问题是企业是否会部署它们,还是继续依赖71.6%的员工已经绕过的禁令。
来源: