Nudge Security近日发布研究报告《实践中的人工智能采纳：企业使用数据揭示的风险与治理》，披露其在客户环境中观察到的员工人工智能使用与采纳趋势。报告指出，企业对人工智能的应用已不再局限于试验阶段或通用聊天工具，而是逐步嵌入日常工作流程，并与核心业务平台发生更深度的集成，部分工具还呈现出更强的自主行动能力，由此带来新的安全治理挑战。

Nudge Security首席执行官兼联合创始人Russell Spitler在报告中表示，人工智能采纳已进入“运营阶段”，这意味着治理方式不能仅停留在被动响应或依赖政策层面。他称，治理需要对正在使用的人工智能工具、其与关键系统的集成方式以及敏感数据流向形成实时可见性，并将人工智能治理视为持续、可适应的过程，而非一次性审计。

报告列出的主要发现包括：核心大型语言模型提供商在企业中的覆盖面较高，其中OpenAI出现在96.0%的组织中，Anthropic为77.8%。在工具类型方面，最常用的人工智能工具正从聊天场景扩展至更多业务环节，例如会议智能工具（Otter.ai占74.2%，Read.ai占62.5%）、演示工具（Gamma占52.8%）、编码工具（Cursor占48.4%）以及语音工具（ElevenLabs占45.2%）。

报告还提到，代理类工具开始出现早期影响力，Manus、Lindy和Agent.ai分别出现在22%、11%和8%的组织中。与此同时，集成使用呈现“普遍且多样”的特征，OpenAI与Anthropic常与组织的生产力套件、知识管理系统、代码仓库等工具进行集成。

从使用分布看，报告称在其观察到的最活跃聊天工具中，OpenAI占据了67%的提示量。数据风险方面，报告指出通过提示产生的数据外泄风险不容忽视：17%的提示包含复制/粘贴和/或文件上传活动。就敏感数据事件类型而言，检测到的事件以机密信息与凭证为主（47.9%），其次为财务信息（36.3%）和健康相关数据（15.8%）。

Nudge Security表示，该研究基于其客户环境中的匿名、汇总遥测数据，属于对企业环境中人工智能活动的直接观察，而非依赖调查或自我报告。报告所引用的百分比，除非另有说明，均指在观察中出现某种工具或行为的组织占比。

报告同时指出，尽管人工智能治理已成为安全与风险管理人员的优先事项，但不少治理项目仍集中在供应商审批、可接受使用政策或模型层面的风险控制。报告认为，这些措施虽有必要，但不足以覆盖关键风险点；更核心的风险来自员工在日常工作中如何实际使用人工智能工具、共享了哪些数据、人工智能连接了哪些系统，以及其在其他工具与运营流程中的嵌入程度。报告称，理解人员、权限与平台之间的交叉关系，是开展有效人工智能治理的基础。