Okta最新調查揭示：AI工具治理陷入結構性功能失調

提供身份管理服務的Okta, Inc.（總部位於美國舊金山，以下簡稱Okta）的日本子公司Okta Japan發布了最新的全球研究報告《AI Agents at Work 2026》。該調查針對全球七個國家的管理層與基層員工進行，揭示了包括深入企業系統的自主型AI代理在內的AI工具治理，正陷入結構性功能失調的現狀，並指出管理層認知與基層員工實際情況之間存在明顯落差。

如今，AI代理不僅限於大型語言模型（LLM），它們能連接多個應用程式與數據系統，自主執行複雜業務，並已滲透至企業內部。這些代理往往擁有存取公司關鍵系統的強大權限，且多數情況下是在現有以人為本的安全管理框架之外運作。

全球主要調查結果：影子AI與隱形的數據洩漏風險

管理層的自信與基層的落差：儘管90%的全球管理層確信「已掌握公司AI工具的使用情況」，但實際上52%的基層員工正在使用「未經授權的AI工具（影子AI）」。

管理層的過度自信與個人帳號濫用：95%的管理層相信「員工負責任地使用AI工具」，但實際上，80%的未授權工具使用者是透過「個人帳號」作為漏洞，完全規避了企業的安全管理。

根本原因在於「優先順序的偏差」：員工在使用AI工具時，最優先考慮的是「效率與節省時間」（30%），而「合規性」則排在最後（15%）。即便存在嚴格政策，員工仍優先考慮生產力而非合規。

機密資訊洩漏風險與系統存取：在使用未授權AI工具的員工中，超過半數（54%）分享了內部訊息或郵件，45%分享了人事相關資訊，39%分享了高度機密的內部文件。此外，超過20%分享了登入憑證或密碼，28%分享了銀行與支付資訊。整體數據顯示，26%的員工已將CRM或客戶資料庫的存取權限賦予AI代理，37%則賦予了協作工具的存取權。

已發生的實際損害：過去12個月內，全球有58%的企業經歷過與AI相關的安全事件或險情。

AI使用政策的認知落差：65%的管理層認為「公司AI使用政策非常明確」，但僅有43%的員工有此感受，兩者之間存在22個百分點的巨大認知落差。

日本特有的挑戰：隱形的規則與合規困境

日本受訪者（佔總數約11%）凸顯了高合規意識背後隱藏的獨特問題。

日本同樣存在的「控制錯覺」：84.6%的日本管理層確信「已掌握AI工具使用情況」，但現實中有47.5%的員工使用「未經授權的AI工具」。

全球最「難以捉摸」的AI使用政策：僅有22%的日本員工認為公司AI政策明確，此數據為受訪國中最低，顯示規則未落實於基層。

安全擔憂與「遵守政策」的矛盾：64.4%的日本員工對AI安全感到擔憂，比例為全球最高。與歐美員工傾向於因政策不明而優先使用未授權AI不同，日本員工即便「找不到官方AI使用政策（78%）」，仍有過半數（53%）傾向於克制，僅使用「已批准的AI工具」。

全球最多的「險情」報告：過去12個月內，65.4%的日本企業經歷過與AI相關的安全事件，其中大部分（46.2%）屬於未造成實際數據洩漏的「險情」，此比例為受訪國中最高。

身份安全即AI安全

AI代理現已擁有存取組織關鍵系統的權限。雖然96%的管理層對保護非人類身份（NHI）的存取管理充滿信心，但僅有34%的企業對AI代理實施了與人類員工「同等」強度的安全管理。

企業填補AI代理治理缺口的行動建議

1. 以存在影子AI為前提，優先發現AI代理：接受52%員工使用未授權工具的事實，利用「Okta for AI Agents」提供的「Shadow AI Agent Discovery」等功能，全面可視化環境內的所有AI代理。
2. 讓安全路徑成為「最簡單的路徑」：透過導入「Cross App Access」等標準協議，減少使用已批准AI代理的阻力，確保安全路徑對員工而言最高效。
3. 立即定義AI代理治理策略：利用「安全代理型企業設計指南」，在危機發生前建立必要的存取控制標準。
4. 將AI代理視為「特權內部人員」：消除對AI代理實施較弱安全管理的雙重標準，將所有AI代理視為獨立的「一級身份」，並考慮導入專門的AI代理管理解決方案。

調查概要：本調查於2026年3月由第三方研究機構Apprize360以雙盲線上調查方式進行，涵蓋美、英、澳、加、日、法、德七國，共784名受訪者。