隨著 AI 驅動的應用程序和基于云的 SaaS 工具的快速普及，工作效率得到了顯著提升，但同時也帶來了一個新的、尚未被廣泛認識到的安全危機。當組織將注意力集中在外部網絡威脅時，一個無聲的漏洞正在其內部滋長：隱形身份。這些用戶賬戶存在于企業身份認證框架之外，游離在傳統安全控制的盲區。

LayerX 發布的"2025 身份安全報告"針對 SaaS 身份趨勢進行了研究，揭示了 80% 的企業 SaaS 登錄對 IT 和安全團隊來說是不可見的，這是由于員工使用個人憑證或非 SSO 支持的企業賬戶所致。這意味著在大多數組織中，員工與云應用程序的絕大多數交互都在沒有安全監督的情況下進行，使公司面臨潛在的數據泄露、合規違規和憑證盜用風險。

隱形數字身份的崛起

當員工繞過企業身份認證協議時(通常是無意識的)，使用個人賬戶或未經管理的憑證登錄 SaaS 應用程序時，就會產生隱形身份。在許多情況下，這種現象的出現是因為組織未能嚴格執行單點登錄政策，或者用戶將便利性置于安全性之上。

這個問題在 AI 驅動的工具中尤為普遍，因為需求往往超過了安全治理的步伐。以快速普及的生成式 AI 應用程序 DeepSeek 為例，與 ChatGPT 或 Microsoft Copilot 等平臺不同，DeepSeek 要求用戶登錄，但僅支持 Google SSO，這使得依賴 Microsoft 或 Okta 的企業無法監控員工如何使用該工具。

LayerX 的 CEO 兼聯合創始人 Or Eshed 解釋說："雖然大多數討論都集中在 AI 工具存儲數據的位置，但更大的擔憂是它們如何被訪問以及處理什么數據。"這種疏忽的安全影響是深遠的。當員工使用非企業憑證訪問 AI 應用程序時，組織無法監控共享的數據內容、專有信息是否面臨風險，或者訪問是否被不法分子利用。

為什么隱形身份構成日益增長的風險

在 AI 和云應用程序日益深入日常工作流程的當下，組織面臨著身份安全悖論： - SaaS 平臺提供了無與倫比的靈活性和生產力提升 - 同時這些平臺越來越多地通過安全團隊無法追蹤或控制的未管理身份進行訪問

這種風險在混合工作環境中被放大，員工經常在同一設備上在個人賬戶和企業賬戶之間切換。LayerX 的研究表明，近 40% 的企業 SaaS 訪問通過個人憑證進行，67% 的登錄完全繞過企業 SSO，使身份治理幾乎不可能實現。

Similarweb 的 CISO Tomer Maman 表示："可見性至關重要;然而，從瀏覽器之外的工具收集見解可能既耗時又具有挑戰性。"

如果無法清晰地了解員工如何與 SaaS 應用程序交互(特別是處理和分析敏感數據的 AI 工具)，組織就缺乏執行關鍵安全策略、檢測內部威脅或防止意外數據泄露的能力。

身份作為第一道防線

傳統安全模型專注于網絡層防御、終端保護和防火墻，這些在現代威脅面前都在迅速失效。隨著云應用程序取代傳統企業軟件，身份本身已成為新的安全邊界。

組織必須從過時的安全模型轉向以身份為先的方法，優先考慮用戶訪問數字資源的可見性和治理。這意味著： - 在所有企業 SaaS 應用程序中嚴格執行 SSO 政策 - 禁止使用非企業賬戶執行工作相關任務 - 實施 SaaS 登錄實時監控，以檢測未授權訪問 - 通過強制多因素認證和主動釣魚檢測來防止憑證盜用

沒有這些控制措施，隱形身份將繼續擴散，增加數據外泄、違反監管和不受控制的 AI 驅動安全風險的可能性。

AI、身份與網絡安全的未來

AI 驅動的 SaaS 平臺的發展既帶來機遇也帶來風險。一方面，AI 提高了效率和自動化水平，但另一方面，它通過增加對傳統安全監督范圍之外運行的應用程序的依賴，創造了新的漏洞。

組織面臨的挑戰不僅是確保 AI 工具的安全，還要確保訪問這些工具的身份是合法的且受到完全管控。安全邊界已經發生轉移，未能適應這一新現實的組織可能會失去對其最寶貴資產的控制：數據。

隨著 AI 持續重塑商業格局，安全領導者必須重新思考其身份治理方法，確保企業應用程序的訪問是透明的、負責任的和安全的。