Verizons rapport om utredningar av dataintrång från 2026 fann att skugga AI (anställda som använder obehöriga AI-verktyg på företagets enheter) tredubblades på tolv månader och ökade från 15 % till 45 % av arbetskraften. Det är nu den tredje vanligaste icke-skadliga åtgärden i företags DLP-datauppsättningar, en fyrfaldig ökning jämfört med föregående år. Två tredjedelar av den aktiviteten sker via personliga konton som företaget inte kan se. Och den vanligaste datatypen som flyttas in i dessa ostyrda verktyg är källkod.

Vad fann 2026 års DBIR egentligen om skugg-AI?

2026 års DBIR analyserade 858 440 DLP-händelser riktade mot generativa AI-verktyg, den största datamängden som rapporten har använt för att undersöka AI-relaterad insiderrisk. Huvudsiffran är en tredubbling: 45 % av företagsanställda använder nu regelbundet AI på företagets enheter, en ökning från 15 % året innan. På ett år gick skugg-AI från att vara ett nischproblem till ett beteende som finns hos nästan hälften av arbetsstyrkan.

Uppgifterna avslöjar också var styrningen brister. Av dessa anställda använder 67 % AI-tjänster via personliga konton utanför företaget. Det innebär att företaget inte har någon insyn i vilka data som delas, med vilka AI-system och för vems räkning. Verizons inramning är direkt: det här är oredovisade AI-system som innehåller företagsdata och som verkar utanför kontrollen av de organisationer vars anställda använder dem.

Att Shadow AI har nått den tredje vanligaste icke-skadliga DLP-utlösaren är betydelsefullt i sitt sammanhang. Den första och näst vanligaste utlösaren är beteenden som säkerhetsteam har ägnat år åt att bygga program kring. Shadow AI har nått den nivån på ett enda år, utan motsvarande styrningsåtgärder hos de flesta organisationer.

Varför är källkod den vanligaste datatypen som läcker in i ostyrda AI-verktyg?

Av de 858 440 DLP-händelser som DBIR analyserade var källkod den vanligaste datatypen som skickades till externa AI-modeller, före strukturerad data, bilder och forskningsdokumentation. I 3.2 % av överträdelserna laddade anställda upp forsknings- och teknisk dokumentation till obehöriga AI-system. Verizons egen kommentar uttryckte det tydligt: ​​immateriella rättigheter är på väg ut.

Anledningen till att källkodsförespråkare är strukturell. Ingenjörer är bland de mest använda AI-teknikerna i alla organisationer. LayerX Enterprise GenAI-säkerhetsrapporten 2025 fann att 39 % av GenAI-användare på företag arbetar inom forskning och utveckling samt mjukvaruutveckling. Felsökning, kodgranskning, dokumentationsgenerering och arkitekturarbete producerar alla prompter som innehåller proprietär kod. Till skillnad från kundens PII utlöser källkod sällan klassiska DLP-nyckelordsregler. Den rör sig nästan helt friktionsfritt.

Ocuco-landskapet risken är inte hypotetiskNär källkod kommer in i en offentlig LLM via ett personligt konto lämnar den organisationens kontroll permanent. Det finns ingen hämtningsmekanism, ingen rätt till borttagning och ingen revisionslogg för att rekonstruera vad som delades. Samsung-incidenten 2023, där ingenjörer klistrade in proprietär kod i ChatGPT över minst tre separata incidenter innan företaget blev medvetet, blev referensfallet just för att det illustrerade hur snabbt rutinmässigt ingenjörsbeteende blir en IP-exfiltreringshändelse.

DBIR-resultatet tyder på att Samsung inte var en undantagsfigur. Det var en förhandsvisning.

Varför använder 67 % av alla anställda AI via personliga konton på jobbet?

Kontoproblemet är inte primärt ett beteendefel. Det är ett policy- och åtkomstfel. När organisationer antingen förbjuder AI helt eller helt enkelt inte har etablerat AI-konton för företag, fyller anställda tomrummet med det som är tillgängligt: ​​sina personliga konton på samma verktyg. ChatGPT, Gemini, Claude och Perplexity är alla tillgängliga via konsumentuppgifter som anställda redan har.

Data om missbruk av privilegier från 2026 års DBIR förstärker mönstret. Sextio procent av skadliga insiderintrång i datamängden från 2026 motiverades av bekvämlighet: anställda prioriterade att få sitt arbete gjort framför efterlevnad av säkerhetspolicyer. Skugg-AI är ett direkt uttryck för samma dynamik, minus den skadliga avsikten. Den anställde som klistrar in ett kontrakt i en fritt lagrad LLM för att sammanfatta det före ett möte försöker inte strö data. De försöker slutföra sina förberedelser.

LayerXs egen forskning bekräftar skalan. Webbläsarsäkerhetsrapporten 2025 fann att 71.6 % av åtkomsten till GenAI-verktyg använder konton som inte tillhör företag, och endast 11.7 % av all åtkomst till AI-applikationer använder ett företagskonto som backas upp av SSO. DBIR- och LayerX-data beskriver samma styrningsgap från två olika perspektiv: företaget har byggt identitets- och åtkomstkontroller kring godkända system, och AI-verktyg har vuxit upp helt utanför den perimetern.

Generellt förbud löser inte detta. Det har aldrig löst motsvarigheten inom skugg-IT, och DBIR-data bekräftar att det inte har löst skugg-AI. Organisationer som förbjöd offentliga AI-verktyg 2023 finns fortfarande med i 45-procentssiffran för 2025. Beteendet överträffade policyn.

Varför kan inte traditionella DLP-, CASB- och endpoint-verktyg stoppa dataläckage från skugg-AI?

Det här är den fråga som de flesta kommentarerna om DBIR 2026 ignorerar. Att identifiera att skugg-AI är en viktig DLP-utlösare är inte samma sak som att förklara varför DLP-verktyg upptäcker det i efterhand snarare än att förhindra det. Svaret är arkitektoniskt.

Nätverks-DLP inspekterar utgående trafikflöden. Den kan upptäcka en stor filuppladdning eller ett igenkännbart datamönster i ett känt protokoll. Den kan inte inspektera vad som skrivs in i ett webbläsarfält. En ChatGPT-prompt som innehåller 300 rader källkod flyttas som en HTTPS POST-begäran, oskiljbar från någon annan webbläsarinteraktion på nätverkslagret. Innehållet krypteras under överföring, och även med SSL-inspektion har DLP-motorn ingen kontext om vilket fält informationen kom från, vilket verktyg som tar emot den eller om destinationskontot är företags- eller privatkonto.

CASB-verktyg fungerar via leverantörsbaserade API:er för godkända SaaS-applikationer. ChatGPT, Gemini och de flesta AI-verktyg som används i skugg-AI-scenarier är inte godkända SaaS. De har ingen API-integration med företagets CASB. CASB är, avsiktligt, blind för dem. Att lägga till ett nytt AI-verktyg till den godkända listan åtgärdar inte de 67 % av användningen som sker via personliga konton på samma plattformar.

Endpoint DLP- och EDR-verktyg ser webbläsaren som en enda process. De kan fånga upp filskrivningar, urklippshändelser i vissa konfigurationer och utgående nätverksanslutningar. Vad de inte kan göra är att skilja mellan en flik som laddar en intern wiki och en flik där en anställd aktivt klistrar in källkod i en Claude-prompt. Webbläsarens processgräns är ogenomskinlig för endpoint-verktyg. De vet att Chrome körs. De vet inte vad Chrome gör.

Resultatet är att de flesta organisationer upptäckte sin skuggexponering för AI genom samma DLP-telemetri som DBIR analyserade: efterhandsdetektering av uppladdningar och dataförflyttningar, utan möjlighet att kontextualisera vad som hamnade var eller genomdriva policyer i åtgärdsögonblicket. Detektering och genomdrivning är två olika arkitekturkrav, och traditionella verktyg byggdes för det förra.

Hur ser skugg-AI-tillämpning egentligen ut i webbläsarsessionen?

Tillämpning som hanterar skugg-AI måste fungera där skugg-AI sker: inuti webbläsarsessionen, i det ögonblick då den anställde interagerar med AI-verktyget. Det är en annan tillämpningspunkt än nätverkstrafik, filsystem eller slutpunktsprocesser.

Inuti webbläsarsessionen är hela kontexten synlig: vilken webbplats den anställda befinner sig på, om det är ett AI-verktyg, vilket konto de är autentiserade med (företags- eller personligt), vilken text som matas in i vilket inmatningsfält, om en fil bifogas och vilka dataklassificeringar som gäller för innehållet i rörelse. På nätverks- eller slutpunktslagret är inget av den kontexten tillgänglig. På webbläsarsessionslagret är allt tillgängligt.

Effektiv tillämpning på detta lager ser ut som graderade kontroller som tillämpas i realtid. Ett säkerhetsteam kan välja att övervaka all användning av AI-verktyg utan begränsningar, vilket bygger insyn innan de fattar policybeslut. De kan varna anställda när de försöker klistra in innehåll som klassificeras som källkod i en personlig ChatGPT-session, vilket ger dem chansen att byta till ett godkänt konto. De kan förhindra att specifika datakategorier helt och hållet kommer in i skugg-AI-verktyg, samtidigt som de tillåter anställda att använda sanktionerade plattformar. De kan redigera känsliga fält från prompter innan de lämnar sessionen.

Denna graderade metod (övervaka, varna, förhindra, redigera) återspeglar hur mogna säkerhetsprogram fungerar inom de flesta riskkategorier. Webbläsarsessionen är där skuggversionen av ramverket för AI behöver finnas. De 858 440 DLP-händelserna i 2026 års DBIR representerar hur verkställighet ser ut när den körs nedströms webbläsaren. Att flytta kontrollpunkten till sessionen omvandlar upptäckt till förebyggande.

Säkerhetsdata baserade på webbläsartillägg validerar oberoende av omfattningen av kontrollunderskottet. LayerX Enterprise Browser Extension-säkerhetsrapporten 2026 fann att 20.63 % av företagsanvändare har minst ett AI-aktiverat webbläsartillägg installerat, och 73 % av AI-tilläggen har hög eller kritisk behörighet. Ett AI-tillägg med åtkomst till fullständigt sidinnehåll kräver inte att en anställd aktivt klistrar in något: det samlar in data medan de surfar. Den passiva insamlingsvektorn är osynlig för alla verktyg som används utanför webbläsarsessionen.

Hur står sig DBIR 2026 skugg-AI-data i jämförelse med vad företagssäkerhetsteam ser på fältet?

DBIR:s resultat stämmer väl överens med oberoende data från företagsimplementeringar av webbläsarsäkerhet. LayerX:s webbläsarsäkerhetsrapport 2025, hämtad från telemetri i företagsmiljöer, fann att 77 % av de anställda klistrar in data i GenAI-prompter, och 82 % av den kopierings- och klistringsaktiviteten i GenAI-verktyg sker via personliga, ohanterade konton. Enterprise GenAI-säkerhetsrapporten 2025 fann att organisationer inte har någon insyn i 89 % av AI-användningen i sina miljöer.

Konvergensen mellan DBIR-datasetet och LayerX distributionsdata är inte en slump. Båda mäter samma beteende från olika utgångspunkter. DBIR mäter vad DLP-telemetri fångar upp i efterhand. LayerX data kommer från webbläsarsessionssynlighet som fungerar före och under interaktionen. Gapet mellan vad DLP fångar upp och vad webbläsarsessionsövervakningen ser är den tillämpningsgap som DBIR-data beskriver men inte löser.

Det säkerhetsteam i praktiken upptäcker är att bilden av skugg-AI är sämre än vad deras DLP-instrumentpaneler antyder. DLP fångar upp filuppladdningar och vissa kopierings- och klistra-händelser när den konfigureras för kända AI-destinationer. Den fångar inte upp prompter som matas in direkt i webbläsarens inmatningsfält, registrerar inte kontotypen som används för sessionen och ser inte aktivitet från AI-webbläsartillägg. Data från webbläsarsessioner visar vanligtvis två till tre gånger så mycket skugg-AI-volym som DLP-telemetri visar.

DBIR:s källkodsfynd resonerar särskilt starkt med säkerhetsteam inom teknik- och finanssektorerna. Att ingenjörer behandlar offentliga juridikexperter som felsökningsassistenter är ett rutinmässigt beteende som föregår all formell AI-policy i de flesta organisationer. DBIR-data bekräftar att det är det dominerande exfiltreringsmönstret. Säkerhetsteam som har implementerat övervakning på webbläsarnivå rapporterar konsekvent källkod som den ledande datatypen i AI-relaterade DLP-aviseringar, vilket exakt matchar DBIR-resultaten.

Vad bör CISO:er göra detta kvartal som svar på DBIR:s skugg-AI-resultat?

DBIR 2026 ger den affärsmodell som skugg-AI-styrningsprogram har saknat. Källkod lämnar organisationen. Volymen har tredubblats på ett år. Två tredjedelar av detta sker genom konton som företaget inte kan se. Detta är mätbara, granskningsbara fakta från den mest trovärdiga tredjepartskällan inom företagssäkerhet. Det är den diskussionen man ska ha med styrelsen.

Det praktiska svaret börjar med synlighet. Innan de utformar en verkställighetspolicy måste de flesta organisationer besvara tre frågor som deras nuvarande verktyg inte kan besvara: Vilka AI-verktyg använder de anställda faktiskt? Använder de personliga konton eller företagskonton? Vilka datakategorier flyttas till dessa verktyg? En implementering av Shadow AI Discovery på webbläsarnivå besvarar alla tre inom några dagar efter utrullningen, utan att kräva ändringar i nätverksinfrastrukturen eller implementering av slutpunktsagenter.

Det andra steget är kontostyrning. Siffran 67 % för personliga konton är den mest användbara statistiken i DBIR för de flesta organisationer. Att minska klyftan mellan personlig AI-åtkomst och företags AI-åtkomst kräver inte att AI blockeras. Det kräver att anställda dirigeras till sanktionerade företagskonton på granskade plattformar och att AI-åtkomstkontroll tillämpas på webbläsarsessionsnivå för att flagga eller förhindra användning av AI-verktyg för personliga konton för företagsarbete.

Det tredje steget är tillämpning av dataklassificering på webbläsarlagret. Källkod, forskningsdokumentation och strukturerad affärsdata behöver klassificeringsregler som gäller i webbläsarsessionen, inte bara på filsystemet eller e-postlagret. Det innebär policykontroller som kan inspektera innehållet i en prompt innan den lämnar sessionen, klassificera den mot organisationens datataxonomi och tillämpa lämpligt graderat svar.

Det fjärde steget är styrning av webbläsartillägg med AI. DBIR dokumenterar passiv insamling via webbläsartillägg som en andra, tystare utgångskanal. En tilläggsgranskning (inventering av vad som är installerat, poängsättning av varje tilläggs behörighetsomfång och uppdateringshistorik, och tillämpning av policy för att blockera högrisktillägg) åtgärdar den vektor som de flesta DLP-program inte mäter alls.

Inget av dessa steg kräver att den befintliga säkerhetsstacken ersätts. De kräver att man lägger till tillämpning på det lager som den befintliga stacken inte kan nå: själva webbläsarsessionen.

Hur LayerX löser detta

När säkerhetsteamen efter att ha läst DBIR-resultaten når frågan om verkställighet, finner de konsekvent samma arkitekturlucka: deras befintliga verktyg byggdes för ett annat problem. DLP inspekterar filöverföringar och utgående nätverkstrafik. CASB täcker godkända SaaS-applikationer via leverantörs-API:er. Endpoint-verktyg ser webbläsaren som en enda process och kan inte skilja mellan en dokumentredigeringsflik och en ChatGPT-prompt som innehåller proprietär källkod. Ingen av dem fungerar på webbläsarsessionslagret där skugg-AI-aktivitet faktiskt sker.

LayerXs Shadow AI Discovery och AI DLP Funktionerna fungerar på det sista mile-lagret, inuti själva webbläsarsessionen. Shadow AI Discovery identifierar alla AI-verktyg som används i organisationen, godkända och icke-godkända, kartlägger vilka anställda som har åtkomst till varje verktyg och flaggar när de använder personliga kontra företagskonton. Den upptäcktsbilden, som är tillgänglig inom några dagar efter driftsättning, är vanligtvis första gången ett säkerhetsteam ser den faktiska omfattningen av sin exponering för skugg-AI snarare än den andel som deras DLP fångar upp.

AI DLP utökar samma insyn i webbläsarsessionen till verkställighet. Den klassificerar data som matas in i AI-verktyg i realtid, identifierar när källkod, kundregister, forskningsdokumentation eller andra känsliga kategorier flyttas till ostyrda destinationer och tillämpar gradvisa kontroller: övervaka interaktionen, varna den anställde, förhindra inlämningen eller redigera det känsliga innehållet innan det lämnar sessionen. Verkställighetspunkten är prompten, inte nätverkspaketet, vilket är den enda platsen där verkställighet är meningsfull för denna risk.

LayerX levererar AI-användningskontroll funktioner som fungerar i alla webbläsare som anställda redan använder, på hanterade och ohanterade enheter, utan att påverka användarupplevelsen och utan ändringar i nätverksinfrastrukturen. Implementeringen tar timmar, inte kvartal. Synlighets- och verkställighetsprogrammet som 2026 års DBIR argumenterar för är i drift före nästa styrelseuppdatering.

Börja här

Se hur LayerX visar skuggaktivitet inom AI och tillämpar policyer på webbläsarsessionslagret, i din befintliga miljö, utan att ersätta din nuvarande stack.

Vanliga frågor om partihandel med mat och dryck

Vad fann 2026 års DBIR specifikt om skugg-AI?

I rapporten om utredningar om dataintrång från Verizon 2026 analyserades 858 440 DLP-händelser riktade mot generativa AI-verktyg och fann att 45 % av företagsanställda nu regelbundet använder AI på företagsenheter, en ökning från 15 % föregående år. Skugg-AI är nu den tredje vanligaste icke-skadliga insiderhändelsen i företags-DLP-dataset, vilket motsvarar en fyrfaldig ökning jämfört med föregående år. Två tredjedelar av den aktiviteten använder personliga konton utanför företaget som företaget inte kan se eller styra.

Varför är källkod den vanligaste datatypen som läcker till AI-verktyg?

Ingenjörer och FoU-experter är bland de största AI-användarna i alla organisationer och representerar 39 % av företagens GenAI-användare enligt LayerX:s. Enterprise GenAI Security Report 2025Felsökning, kodgranskning, arkitekturarbete och dokumentationsgenerering producerar alla prompter som innehåller proprietär kod. Till skillnad från kundens PII utlöser källkod sällan klassiska DLP-nyckelordsregler, så den rör sig genom AI-verktyg nästan utan friktion. DBIR analyserade 858 440 DLP-händelser och fann att källkodsleads med stor marginal var den vanligaste datatypen som skickades in till externa AI-modeller.

Stöder 2026 års DBIR-data ett förbud mot offentliga AI-verktyg?

Nej. DBIR:s data om missbruk av privilegier visar att 60 % av skadliga insiderintrång drivs av bekvämlighet: anställda prioriterar sitt arbete framför policyefterlevnad. En AI-förbud skapar en skuggversion av samma dynamik som företaget hade och tar bort all insyn. Siffran 45 % inkluderar organisationer som försökte förbjuda. Uppgifterna argumenterar för reglerad åtkomst genom sanktionerade AI-vägar, inte ett generellt förbud som anställda kommer att arbeta runt.

Varför kan inte CASB eller nätverks-DLP stoppa dataläckage från skugg-AI?

CASB-verktyg förlitar sig på leverantörslevererade API:er för godkända SaaS-applikationer. Skugg-AI-verktyg, obehöriga per definition, har ingen API-integration med företagets CASB, och användning av personliga konton på även godkända plattformar är osynlig för API-baserade kontroller. Nätverks-DLP inspekterar utgående trafik men kan inte se inuti en krypterad webbläsarsession eller skilja en ChatGPT-prompt från någon annan HTTPS-förfrågan. Gapet i tillämpningen är arkitektoniskt: båda verktygen fungerar utanför webbläsarsessionen där skugg-AI-aktivitet sker.

Vilket är det mest brådskande första steget för en CISO att reagera på resultaten från DBIR:s skugg-AI?

Skapa insyn innan du utformar en policy för verkställighet. De flesta organisationer kan för närvarande inte svara på vilka AI-verktyg anställda använder, om de använder personliga konton eller företagskonton, eller vilka datakategorier som flyttas till icke-styrda verktyg. En implementering av Shadow AI Discovery på webbläsarnivå dyker upp den bilden inom några dagar, utan att det krävs nätverksändringar eller nya slutpunktsagenter. Synlighetsdata genererar vanligtvis ett eget affärsplan för det efterföljande verkställighetsprogrammet, och det ger de revisionsfärdiga bevis som tillsynsmyndigheter och styrelser börjar efterfråga.