員工偷偷用 AI 怎麼辦？老闆先補的不是工具，是一套管得住的 AI 治理規則

很多老闆以為公司還沒導入 AI，但你的同仁可能早就在用了。

• 業務拿 ChatGPT 幫客戶信件潤稿
• 行銷用 Claude 改廣告文案
• 行政把會議紀錄丟給 AI 摘要
• 客服請 AI 幫忙想回覆話術

表面上看是大家在拚效率，實際上也可能把客戶名單、合約內容、內部報價，悄悄送進你完全不知道的系統。這就是 Shadow AI：公司沒正式批准、但員工已經私下在用的 AI。

風險不在 AI 本身，而在「沒有規則」。本文把治理這件事拆成一套可落地的做法，並用我們的招牌方法 RACAE 優化循環，讓你不是靠感覺管，而是靠流程管。

看到員工偷用 AI，第一步該禁止嗎？

不該。一看到 Shadow AI 就全面禁止，通常沒用，只會逼同仁改成更隱密地使用。

換個角度想：員工會自己去找 AI，代表團隊有主動改善效率的意願。真正危險的不是「有人在用」，而是大家都在用、卻沒有人管。

老闆該做的不是「禁止 AI」，而是建立能落地的治理規則，把四件事講清楚：

• 誰能用
• 用在哪裡
• 哪些資料不能丟
• 產出由誰負責

為什麼 Shadow AI 在中小企業特別快發生？

因為 AI 太好用、門檻又太低。員工只要打開瀏覽器就能用 ChatGPT、Claude、Gemini，公司還在開會討論要不要導入，第一線同仁已經拿去解手邊的問題了。

而中小企業之所以「更需要」簡單明確的治理規則，有三個結構性原因：

• 權限常常太寬：業務看得到客戶資料、行銷拿得到活動價格、客服看得到訂單。只要一個人把敏感內容貼錯地方，公司就可能外洩關鍵資訊。
• 缺少稽核紀錄：大公司有 IT、資安、法務；中小企業常常是各用各的帳號、各的瀏覽器、各的外掛。出了事才發現查不到誰貼了什麼。
• 產出很容易被誤信：AI 最麻煩的不是亂講，而是用很順的語氣講半對半錯的東西。沒有審核規則，錯誤反而被包裝得更專業。

用 RACAE 把「治理」變成一個會轉的循環

治理規則最怕變成貼在牆上沒人讀的政策。要讓它持續有效，關鍵是把它做成一個會循環的流程。

我們長期用的 RACAE 優化循環＝Record 紀錄 → Analysis 分析 → Conclusion 結論 → Assumption 假設 → Experiment 驗證，剛好可以套在 Shadow AI 治理上：

• Record（紀錄）：每月盤點團隊正在用哪些 AI、碰到哪些資料、哪些任務真的有省到時間。先把「現在到底發生什麼事」記下來，這就是後面所有判斷的底。
• Analysis（分析）：把盤點到的任務做紅黃綠分級，分析每個用法的風險高低與價值高低。
• Conclusion（結論）：根據分析，訂出明確規則——哪些可用、哪些只能輔助、哪些禁止。讓判斷變成全公司一致的標準。
• Assumption（假設）：你的規則背後有一個假設——「只要標記來源＋指定審核人，就能管住風險」。把這個假設明確寫下來，才知道之後要驗證什麼。
• Experiment（驗證）：每月實際檢查一次，看假設成不成立。把驗證有效的 Shadow AI 用法，正式收編成公司標準；把出過錯的用法收緊或下架。

跑完一輪，又回到下一次的 Record。AI 工具變化太快，這個循環就是讓你的治理規則「跟得上」的方法。

想更完整理解這套思路，可以看我們的〔RACAE 優化循環理論〕。

老闆要先訂的 5 條 AI 治理規則

中小企業不用一開始就寫 50 頁政策。有效的做法，是先用 5 條清楚規則，把最大的風險先管住。

規則一：哪些資料不能丟進公開 AI

先明確列出禁止輸入公開 AI 的資料：

• 客戶個資、訂單資料
• 合約報價、財務資料
• 薪資獎金
• 未公開商品
• 受保密條款限制的內容

但不是所有資料都不能用 AI，而是敏感資料要先去識別化。改成「某客戶」「A 商品」「某月份數據」，不要貼完整原文。

規則二：哪些任務可以用 AI、哪些只能輔助

AI 很適合做這些「起草型」工作：

• 會議紀錄摘要、報表重點整理
• 廣告文案初稿、商品描述
• FAQ 草稿、內部 SOP 草案、清單分類比對

但以下事項要明定「AI 只能輔助、不能定案」：

• 法規廣告宣稱、正式報價
• 客訴補償、合約條款解讀
• 財務與人事決策

核心原則一句話：AI 可以起草，但不能替公司負責。

規則三：AI 產出要標記來源與審核人

高風險或對外內容，至少保留三個紀錄：

• 用了哪個 AI 工具
• 產出的版本日期
• 最後審核與批准的人

工具不必複雜，一個 Google Sheet、一欄備註、一個任務管理欄位就夠。重點是日後出問題時，查得到內容怎麼來、誰看過、誰決定上線。

規則四：建立人工接管標準

客服、業務跟進、社群回覆這類場景，AI 不能一路自動到底。要先定義哪些情況必須轉人工：

• 客戶明顯不滿
• 涉及退款補償
• 客製報價或合約
• AI 信心不足
• 對話金額超過設定門檻

原則是：AI 處理標準問題，一碰到責任、金額、情緒、法規，就讓人接手。

規則五：每月檢查一次 AI 使用清單

AI 工具變化太快，不能一年才盤點一次。每月固定檢查：

• 團隊正在用哪些 AI 工具？
• 用在哪些任務？
• 有沒有碰到客戶資料？
• 哪些流程真的有省到時間？
• 哪些產出曾經出錯？

這不只是資安檢查，更是效率檢查——很多 Shadow AI 裡，其實藏著流程改善的機會。

AI 治理怎麼開始？先做一張紅黃綠清單

如果不知道從哪推，建議先做一張最簡單的紅黃綠清單，把規則一和規則二落到一頁紙上。

• 綠燈（可自由使用）：公開資料摘要、內部腦力激盪、非敏感文案初稿、教學資料整理。風險低，鼓勵同仁多用。
• 黃燈（可用，但要人工審核）：廣告文案、商品頁、客服回覆、業務提案、報表分析。可用 AI 生初稿，但上線前要有人確認品牌語氣、事實、價格、法規與承諾。
• 紅燈（禁止放進公開 AI）：個資、合約、財務、薪資、客戶名單、未公開策略、保密專案。真要用 AI 處理，就改用企業版權限控管、私有化部署，或先去識別化。

一張貼在公司內部、大家看得懂的紅黃綠表，比一份沒人讀的 AI 政策有效得多。

治理之後，下一步是把好用法「自動化收編」

治理的終點不是「管住」，而是把驗證有效的用法，變成省時間的標準流程。這也是我們陪老闆做最多的一段。

舉幾個我們實際做過、把人工流程一段段換成工具的例子：

• 一間塑膠擠出工廠（依約不具名）：生產日報原本是紙本手寫工單號碼、工序與起訖時間，我們陪老闆與員工一起改成手機 Web App，選員工、輸入工單工序、計時開工，預估一年省下 200 小時以上。
• 里洋烘焙：運輸管制表原本紙本手寫車號、司機簽名、車廂溫度，改成出發前用手機 Web App 填寫、確認出發，同樣是帶著老闆和員工一起做出來的。
• Meta Toy 玩具電商（狼大自己的事業）：進銷存原本用 Google 試算表，員工嫌麻煩、記錄不實，改成 LINE 自動推播下單記錄＋手機庫存盤點 Web App，可掃 SKU、語音輸入，每天約省 30 分鐘、員工落實率也提升。這套是狼大自己刻的。

這三個例子的共同點：先把流程盤清楚（Record）、判斷風險與價值（Analysis）、訂出做法（Conclusion）、再小步驗證（Experiment）。Shadow AI 治理走的是同一條路，只是換成 AI 工具當主角。

重點整理：AI 管不好，比不用更危險

中小企業現在面對的不是「要不要用 AI」，而是「公司其實已經在用，但老闆知不知道、管不管得住」。

沒有治理，工具用得越多、風險越分散：資料外洩、錯誤承諾、品牌語氣失控、法規踩線、責任不清。這些問題不會因為公司小就消失，反而常因流程鬆散而更容易發生。

但 Shadow AI 不是敵人，它代表團隊在找更有效率的做法。老闆要做的，是把零散用法收回來，變成可管理、可審核、可擴大的工作流程。先別急著買下一個工具，先問自己四個問題：

• 哪些資料不能丟？
• 哪些內容要審？
• 出了錯誰負責？
• 哪些用法能變成標準流程？

這一整套盤點、訂規則、再把流程逐步自動化的事，正是我們在〔企業 AI 陪跑〕裡帶老闆和團隊一起做的。

AI 治理規則 8 問：老闆最想知道的事