提供身份管理服务的Okta, Inc.(总部位于美国旧金山,以下简称Okta)的日本子公司Okta Japan发布了最新的全球研究报告《AI Agents at Work 2026》。该调查针对全球七个国家的管理层与基层员工进行,揭示了包括深入企业系统的自主型AI代理在内的AI工具治理,正陷入结构性功能失调的现状,并指出管理层认知与基层员工实际情况之间存在明显落差。 如今,AI代理不仅限于大型语言模型(LLM),它们能连接多个应用程序与数据系统,自主运行复杂业务,并已渗透至企业内部。这些代理往往拥有访问公司关键系统的强大权限,且多数情况下是在现有以人为本的安全管理框架之外运作。 全球主要调查结果:影子AI与隐形的数据泄漏风险 管理层的自信与基层的落差:尽管90%的全球管理层确信「已掌握公司AI工具的使用情况」,但实际上52%的基层员工正在使用「未经授权的AI工具(影子AI)」。 管理层的过度自信与个人帐号滥用:95%的管理层相信「员工负责任地使用AI工具」,但实际上,80%的未授权工具用户是通过「个人帐号」作为漏洞,完全规避了企业的安全管理。 根本原因在于「优先级的偏差」:员工在使用AI工具时,最优先考虑的是「效率与节省时间」(30%),而「合规性」则排在最后(15%)。即便存在严格政策,员工仍优先考虑生产力而非合规。 机密信息泄漏风险与系统访问:在使用未授权AI工具的员工中,超过半数(54%)分享了内部消息或邮件,45%分享了人事相关信息,39%分享了高度机密的内部文档。此外,超过20%分享了登录凭证或密码,28%分享了银行与支付信息。整体数据显示,26%的员工已将CRM或客户数据库的访问权限赋予AI代理,37%则赋予了协作工具的访问权。 已发生的实际损害:过去12个月内,全球有58%的企业经历过与AI相关的安全事件或险情。 AI使用政策的认知落差:65%的管理层认为「公司AI使用政策非常明确」,但仅有43%的员工有此感受,两者之间存在22个百分点的巨大认知落差。 日本特有的挑战:隐形的规则与合规困境 日本受访者(占总数约11%)凸显了高合规意识背后隐藏的独特问题。 日本同样存在的「控制错觉」:84.6%的日本管理层确信「已掌握AI工具使用情况」,但现实中有47.5%的员工使用「未经授权的AI工具」。 全球最「难以捉摸」的AI使用政策:仅有22%的日本员工认为公司AI政策明确,此数据为受访国中最低,显示规则未落实于基层。 安全担忧与「遵守政策」的矛盾:64.4%的日本员工对AI安全感到担忧,比例为全球最高。与欧美员工倾向于因政策不明而优先使用未授权AI不同,日本员工即便「找不到官方AI使用政策(78%)」,仍有过半数(53%)倾向于克制,仅使用「已批准的AI工具」。 全球最多的「险情」报告:过去12个月内,65.4%的日本企业经历过与AI相关的安全事件,其中大部分(46.2%)属于未造成实际数据泄漏的「险情」,此比例为受访国中最高。 身份安全即AI安全 AI代理现已拥有访问组织关键系统的权限。虽然96%的管理层对保护非人类身份(NHI)的访问管理充满信心,但仅有34%的企业对AI代理实施了与人类员工「同等」强度的安全管理。 企业填补AI代理治理缺口的行动建议 1. 以存在影子AI为前提,优先发现AI代理:接受52%员工使用未授权工具的事实,利用「Okta for AI Agents」提供的「Shadow AI Agent Discovery」等功能,全面可视化环境内的所有AI代理。 2. 让安全路径成为「最简单的路径」:通过导入「Cross App Access」等标准协议,减少使用已批准AI代理的阻力,确保安全路径对员工而言最高效。 3. 立即定义AI代理治理策略:利用「安全代理型企业设计指南」,在危机发生前创建必要的访问控制标准。 4. 将AI代理视为「特权内部人员」:消除对AI代理实施较弱安全管理的双重标准,将所有AI代理视为独立的「一级身份」,并考虑导入专门的AI代理管理解决方案。 调查概要:本调查于2026年3月由第三方研究机构Apprize360以双盲在线调查方式进行,涵盖美、英、澳、加、日、法、德七国,共784名受访者。