随着技术的发展并向非技术用户普及，企业面临着一些虽不明显但真实存在的现象：过去是影子 IT，如今是影子 AI。这是同一现象的两个方面：在监管之前追求敏捷性导致创新被滥用，用户与自身信息系统的控制之间的脱节日益严重。

影子 IT：一切的开端
十多年前，Dropbox、Gmail 等消费级工具因员工为简化或优化工作而被引入专业使用，导致数据离开受控系统，合规性受影响，网络安全更复杂。据 Gartner 统计，高达 40%的企业 IT 预算被影子 IT 消耗，而 IT 部门甚至不知情。

影子 AI：相同模式，新规模
2022 年末生成式 AI 热潮以来，“人人可用 AI”成为员工日常现实，如用 ChatGPT 写邮件等，BYOAI（自带 AI）趋势出现，工具跟随用户而非相反。但风险显著，如敏感数据泄露、违反隐私法规等，50%的员工会在公司明确禁止的情况下使用这些工具。以三星为例，工程师用 ChatGPT 导致敏感数据泄露，三星立即采取措施禁止在公司设备上使用生成式 AI 工具。

真实风险
影子 AI 的危险包括敏感数据泄露、违反法规（如 GDPR、AI Act 等）、失去对运营流程的控制、依赖有偏见或不道德的模型等。很多用户并非故意绕过内部规则，而是对工具存在错误信任，导致个人便利与企业风险的界限模糊，如 Stable Diffusion 模型产生的结果存在偏见。

应禁止还是监管？
一些公司选择禁止，但效果不佳，如同美国禁酒令，应拥抱并治理这一现象，制定清晰政策，提供验证过的替代方案，培训员工并审计实际使用情况。

迈向清醒、务实和负责任的治理形式
治理需引导而非禁止，避免培养虚幻的控制感，制定清晰且有区别的使用政策，与业务团队共同设计灵活框架，结合有意义的文化入职培训，以清晰的方式应对，而非强制控制。

结论
企业 AI 采用无监督并非坏事，而是信号，影子 IT 和影子 AI 表明用户不再等待，这是对话、适应和进化的机会，成功的组织将是理解创新需引导而非强制的那些。