近 90% 的安全专业人员在工作中使用未经批准的 AI 工具。 最清楚风险的人反而是那些承担风险的人。这并非因为他们鲁莽，而是因为已批准的技术堆叠无法跟上。 查询被传送到第三方模型，回应被贴到文件中，而公司的基础设施却对此一无所知。没有日志，没有访问记录，没有任何追踪。 当合规部门询问「员工向这些模型输入了什么资料」时，却无从作答。这并非因为有人隐瞒，而是因为根本没有建立相应的系统来记录这些数据。 政策无法弥补基础设施的不足。 @sofia_numbers 一直以来都强调：治理需要一个溯源层，在审计提出问题之前，就需要记录正在使用的工具以及它们访问的内容。 更好的政策无法解决问题，更好的基础建设才能。