隨著生成式 AI 與 AI Agent 普及，設計產業的數位資產已延伸至 Prompt、AI 工作流程與組織知識。然而，在提升競爭力的同時，企業也面臨影子 AI（Shadow AI）、資安漏洞與違反客戶保密協議（NDA）的高額賠償風險。

本文借鏡 NIST AI RMF 1.0 框架、IBM 《2025資料外洩成本報告》與 2026 年麥肯錫 AI Agent 攻擊案例，為資源有限的設計業者提供三大核心治理建議：

撰稿人/ 設計研發組研究員 郭瑀琁


設計工作整合市場、技術與商業等跨領域知識，其成果涉及智慧財產、技術知識與創新概念等無形資產：包括研究報告、訪談資料、設計草圖、規格文件與 CAD 圖檔等。隨著生成式 AI 普及，設計資產更延伸至 Prompt、AI 生成內容、AI Agent 工作流程與組織知識。這些數位資產已成為企業競爭力的重要基礎，但也面臨影子 AI（Shadow AI）、社交工程及惡意軟體等風險。因此，建立資料治理、權限管理與可信賴的設計資產管理機制，已成為設計產業導入 AI 的重要課題。



依據美國國家標準與技術研究院（National Institute of Standards and Technology, NIST）於 2023 年發布之《人工智慧風險管理框架》（Artificial Intelligence Risk Management Framework, AI RMF 1.0），其提出幾個評估面向，包括治理（Govern）、映射（Map）、量測（Measure）與管理（Manage）四項核心功能，建議組織發展可歸責性、透明度、可追溯資料來源與應用範圍、具隱私保護及公平性等面向之 AI 應用風險控制機制。設計產業經手許多資料由客戶提供，並不完全由設計業者自行生產製作，因此合作廠商常會要求公司簽署保密協議（NDA），不能對第三方透漏相關資料。此類資料若混合使用 AI 服務進行翻譯、視覺化作業，則極有可能直接違反保密協議，必須支付高額的賠償金。因此哪些資料可公開用於行銷推廣？哪些資料屬於內部機密？哪些涉及 NDA 而不得輸入外部 AI 工具屬於高風險資料？都需要有管理機制運作與維護。

由於設計專案經常運用如 Figma、Adobe、Notion、GitHub 及生成式 AI 平台等不同工具，版本管理與成果交付亦多透過電子郵件或雲端協作平台進行。對資源有限的設計業者而言，建議從建立公司內部「最小權限（Least Privilege）」與「可追溯性（Traceability）」原則開始：例如建立應用程式白名單機制、限制未授權軟體安裝與執行、規範資料傳遞流程，以及保留完整的系統日誌（Log）與數位鑑識紀錄（Digital Forensics），以支援事件追蹤與責任歸屬。



根據 IBM《2025資料外洩成本報告》指出，AI 與自動化技術雖有助於降低部分資安事件處理成本，但網路釣魚、供應鏈漏洞與企業內部未經授權且缺乏管理的影子 AI 應用逐漸增加，仍造成許多產業承受金融詐騙或訴訟等高額損失；2026年，資安公司 CodeWall 利用自主攻擊型 AI Agent 測試麥肯錫內部 AI 平台 Lilli，僅於兩小時內便發現 SQL Injection 與未授權存取（IDOR）等漏洞，並取得系統讀寫權限，初步判斷造成系統中包含約4650萬筆員工聊天紀錄、72.8萬份文件以及5.7萬個帳號資料的風險。由此一事件可得之，儘管 AI 的興起讓企業有了更多的工具可用於自動或半自動進行風險掃描，但 AI Agent 也讓攻擊方式更多元，組合並放大多個微小漏洞，使攻擊速度與規模大幅提升。建議企業在導入 AI 工具前應建立機敏資料分級（Data Classification）制度，明確規範不同等級資料的使用範圍，以免不同層級的團隊成員誤用而導致客戶利益損失與衍生賠償問題。



未來企業的競爭優勢將不再僅來自產品本身，而在於是否能有效累積、管理與再利用設計資產生命週期（Design Asset Lifecycle）所產生的知識與經驗。當設計資產能透過 AI 工具進行組織化、結構化與再利用時，將逐步形成企業專屬的知識資本，成為推動創新與維持競爭力的重要基礎。因此，在發展符合設計工作需求的 AI 應用流程之餘，建議應同步建立企業內部的 AI 治理制度、持續監測機制與自主防禦能力，以因應 AI 時代所帶來的新興資安挑戰。




文獻參考：

*此文章首圖使用 AI 創新情境生成工具 生成。