超六成AI供应商未告知客户，偷偷将甲方数据发给未授权模型

前情回顾·AI网络威胁态势

• 上市银行将大量客户隐私数据上传给了未授权AI

• AI编程默认不安全：知名AI公司发生重大数据泄露

• AI提效供应商被黑，至少十余家客户遭数据泄露及勒索攻击

• AI失控时刻：智能体协同入侵公司内部系统，窃取机密数据

安全内参5月28日消息，美国数据隐私管理公司DataGrail日前发布《2026年隐私与AI趋势报告》。报告提出了一条最令人担忧的核心结论：数据处理协议（DPA）作为企业评估供应商如何处理个人数据的基础合同，如今已无法仅凭字面内容获得信任。

这家总部位于旧金山的隐私平台分析了2400家热门商业软件供应商，发现63.6%以AI为核心卖点的供应商，并未在法律文件中披露第三方AI分包处理方。这意味着，大多数采购了AI增强型软件的企业，可能正在毫不知情的情况下，将客户数据暴露给一些AI模型，而这些模型他们从未审查、批准，甚至根本不知道其存在。

DataGrail联合创始人兼首席执行官Daniel Barber表示：“所有软件供应商都在努力转型为AI供应商，这很合理。但技术发展的速度，已经超过了AI治理机制能够跟上的速度。DPA本应是团队评估AI风险时可以信赖的文件，但从这些数据来看，到2026年，仅靠它已经不够了。”

这一发现离不开当前的企业环境。根据IBM《2025年数据泄露成本报告》，存在大量“影子AI”的组织，其平均数据泄露成本已达到463万美元，比几乎没有或完全没有“影子AI”的组织高出67万美元。此外，美国各州在2025年共开出了34.25亿美元与隐私相关的罚款，超过此前5年的总和。Gartner预计，这一趋势将在2028年前变得更为明显。

AI供应商合同与现实之间

不断扩大的鸿沟

DataGrail得出63.6%这一数字的方法，并不只是阅读合同。该公司的研究团队交叉比对了其追踪范围内2400家供应商的DPA披露内容，以及产品文档、GitHub环境、API连接和营销材料。

Barber向外媒VentureBeat详细介绍了这一过程：“我们将DPA视为基准，但同时还查看了GitHub环境、供应商拥有的API连接、产品文档以及营销资料，并对这些信息进行交叉验证。比如，DPA文件上写着使用OpenAI，但实际上，你会发现它在产品文档中还列出了另外3个AI分包处理方及其功能特性，而这些内容并未反映在DPA中。”

当被直接问及，他是否确信这些差距代表真实存在的“影子AI”风险，而不是供应商使用自研技术时，Barber的回答非常明确：“非常确信。因为我们查看了2400个系统样本，并投入了大量时间研究产品文档、GitHub环境以及实际的API连接。由于我们也与这些系统进行集成，因此我们知道它们如何处理个人信息。这是基于一手研究得出的结论。”

这一披露缺口之所以重要，是因为它破坏了隐私项目赖以建立的整条信任链。Barber举了一个例子：一家企业投资了一款AI招聘工具。该工具的DPA中列出的基础模型是Claude，于是企业认真完成了对Anthropic AI的安全审查。但实际上，这款招聘工具还在后台悄悄使用OpenAI和Gemini，而企业从未评估过这些模型。

这些未披露的模型随后处理了数千份简历，并执行自动化招聘决策。企业在毫不知情的情况下，将家庭住址、财务数据，甚至可能包括社会保障号码在内的敏感个人信息暴露给了未经审查的AI系统。这种做法可能违反美国联邦贸易委员会（FTC）关于就业自动化决策的监管规定。Barber表示：“这些供应商如何评估并执行自动化决策，可能会给企业带来灾难性的后果。”

图：近三分之一的AI系统在披露文件中承认至少存在一种高级隐私风险。但由于大多数供应商尚未更新其数据处理协议，真实数字几乎肯定更高

三分之一的AI系统正在处理敏感数据，

而真实数字可能更高

仅仅是披露缺口本身，就已经足够令人担忧。但DataGrail报告还提出了另一个进一步加剧问题的发现：在披露了AI能力的系统中，有32.8%同时披露了至少一种其他高风险活动，例如处理敏感个人信息或支持自动化决策。在自我报告存在风险因素的AI系统中：47.1%处理个人数据；20.7%可能用于自动化决策；16.5%处理健康信息或财务信息等敏感数据类别；7.5%处理生物识别数据。

报告认为，这些数字几乎肯定低估了真实的暴露程度，因为它们仅反映供应商正式披露的内容。供应商可能低报其对个人数据的访问权限，而AI本身的高度灵活性意味着，即便是出于善意的供应商，也未必能够预见用户会以更高风险的方式使用其工具。

这已经带来了直接的监管影响。加州消费者隐私法（CCPA）新的风险评估要求将于2026年1月1日生效，要求企业对存在重大隐私风险的数据处理活动进行风险评估并形成文档，而且必须在2028年4月前提交给CalPrivacy，同时需要高管在承担伪证责任的前提下签署确认。

使用AI处理敏感个人信息，或利用AI进行自动化决策，正是触发这一义务的典型活动。报告援引标普全球（S&P Global）的研究发现，42%的企业在2025年放弃了AI项目，而数据隐私问题是主要障碍之一。Barber认为，如果隐私团队能够尽早参与AI项目，就可以在项目上线前确保保护措施到位，从而避免资源浪费，而AI风险评估则是正确的起点。

图：博彩和消费科技公司面临最繁重的隐私评估工作量，其年度审查次数约为娱乐行业的4倍

美国各州去年开出34亿美元隐私罚款，

国会希望继续加码

上述所有趋势背后的监管环境已经从“教育引导”根本性转向“处罚执法”。目前，美国接近一半的州已经实施全面隐私法，此外还出台了160多项AI专项法律。仅在2025年，各州立法机构就通过了145项与AI相关的法律，另有1000多项法案被提出或重新修订。根据Gartner的数据，目前已有超过50%的美国人口受到州级综合隐私法保护，预计未来5年还将有24个州通过相关法律。各州也开始整合资源。去年，10个州成立了“隐私监管联盟”，并承诺跨州协调调查行动。

Barber认为，隐私执法本质上是一个两党共识议题，因此不会受到当前政治风向变化的太大影响。他说：“整体而言，隐私是一个高度两党化的议题。隐私监管很容易获得支持，因为选民普遍认为，日常生活本就应当拥有隐私。比如你坐飞机时，如果航空公司告诉你：‘如果你想要隐私，需要额外支付6美元。’你肯定会说：‘那我换一家航空公司。’在当前阶段，隐私已经成为交易中理所当然的一部分。”

他预测，其他州也会复制加州的执法模式。“加州拥有自己的执法部门CalPrivacy。这个机构只有一个任务，就是确保企业落实隐私合规。未来其他州是否也会获得资金和支持来建立类似机构？可能性非常高。执法罚款，也就是真实收取的资金，最终会回流给我们这些纳税人。你可以想象，这种模式会在全国范围内非常受欢迎。”

AI治理需求出现爆炸式增长，

隐私团队却失去了三分之一员工

报告中或许最矛盾的发现是：去年隐私团队人数最多减少了33%，而与此同时，其工作负载却在报告追踪的每一个指标上持续增长。报告援引思科的数据称，由于AI的发展，90%的隐私项目在2025年出现扩张，而只有12%的AI治理项目被认为已经成熟。与此同时，根据国际信息系统审计协会（ISACA）《2026年隐私现状调查》，74%的隐私团队计划在2026年将AI应用于隐私相关任务。

Barber认为，这反映的是一种更广泛的宏观经济趋势，而不是企业不再重视隐私。“这其实是一个非常有意思的宏观趋势，而且你可能已经在所有职能部门中看到类似现象。企业正在推动各部门提升效率。5年前，我们会说：‘监管变多了，删除请求增长了500%，我们需要更多人手。’但现在已经很明显，AI能够提供能力，替代很多隐私从业者的工作。”他举例说：“5年前，他们可能有一个20人的设计团队。现在由于Claude Design、Gamma等工具的出现，他们只剩下5人的设计团队。我认为隐私领域也正在发生同样的事情。”

DataGrail将其自身的AI智能体Vera（于2026年3月发布）定位为解决方案的一部分。Vera被嵌入DataGrail现有平台中，目标是实现跨多个司法辖区的隐私工作流程自动化。该公司还被称为首个达到生产就绪状态的隐私领域Model Context Protocol服务器，利用Anthropic创建的这一标准，使客户能够直接从Slack、电子邮件或Claude等正在使用的应用中启动DataGrail工具。

下一个前沿：

智能体自主传播未经审查的企业数据

当被问及报告中尚未涵盖、但最值得关注的趋势时，Barber提到了一个可能将“影子AI”问题推向更危险层面的新一代风险：AI智能体工作流。Gartner预测，到2026年底，40%的企业应用将配备针对特定任务的AI智能体，而这一比例在2025年还不到5%。这种采用速度，可能会迅速超过企业当前才刚开始建立的治理机制所能承受的范围。

Barber表示：“我们下一步研究的方向是智能体处理。智能体将如何利用这些信息？因为其下游影响对企业而言会更加令人担忧。某个系统正在使用影子AI，企业对此毫不知情，而随后某个智能体又将这些信息传播到大量其他地方。与过去相比，在智能体工作流中，由用户人工检查系统防护栏的能力将会更弱。”

他用人的行为来解释其中差异：“智能体的行为方式与人类不同。人类会思考：我即将使用的是什么？这些信息来自哪里？它是如何收集的？而在智能体工作流中，这些问题可能根本不会被以同样的方式考虑。我们需要解决问题的根源，也就是这些企业究竟如何使用AI分包处理方。但这个问题很快就会演变成一个智能体问题，而且可能更加令人担忧。”

对于今天阅读这份报告的企业隐私与安全负责人而言，一个令人不安的现实正在浮现：他们多年来赖以管理供应商风险的基础文件与流程，正在实时崩塌。DPA正在失去作为可靠工具的作用。各州的执法正在以两党共识的方式不断加速。隐私团队在缩减，而职责却在扩大。下一波AI智能体系统，则可能在几乎没有人工监督的情况下，通过自主智能体网络传播未经审查的数据处理行为。

5年前，当DataGrail发布第一份趋势报告时，数据删除请求量远低于今天；当时只有少数州拥有隐私法；“影子AI”这一说法甚至尚未出现。此后的每一年，报告都在警告问题正在恶化。而每一年，数据都证明它是对的。能够在下一阶段生存下来的企业，不会是那些拥有最大合规团队或最厚政策手册的公司，而会是那些能够接受这一令人困惑的新常态的公司：在2026年，你签署的合同可能并未描述已经在处理客户数据的AI；而到2027年，自主智能体甚至可能正在决定如何处理这些数据。

参考资料：https://venturebeat.com/security/datagrail-report-finds-your-vendor-may-be-sending-data-to-ai-models-you-never-approved

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。