近 90% 的安全專業人員在工作中使用未經批准的 AI 工具。 最清楚風險的人反而是那些承擔風險的人。這並非因為他們魯莽，而是因為已批准的技術堆疊無法跟上。 查詢被傳送到第三方模型，回應被貼到文件中，而公司的基礎設施卻對此一無所知。沒有日誌，沒有訪問記錄，沒有任何追蹤。 當合規部門詢問「員工向這些模型輸入了什麼資料」時，卻無從作答。這並非因為有人隱瞞，而是因為根本沒有建立相應的系統來記錄這些數據。 政策無法彌補基礎設施的不足。 @sofia_numbers 一直以來都強調：治理需要一個溯源層，在審計提出問題之前，就需要記錄正在使用的工具以及它們訪問的內容。 更好的政策無法解決問題，更好的基礎建設才能。