近日，迪士尼披露了2023年一场重大数据泄露事件的调查结果。在那场事件中，超过4400万条迪士尼内部消息被泄露，包括客户隐私信息、员工护照号码和主题公园及流媒体收入数据。令人意想不到的是，黑客的突破口居然是员工个人设备上安装的“AI工具”。

2023年7月，一名前迪士尼员工收到了令他毛骨悚然的Discord私信："我掌握了你私人生活和工作的敏感信息。"对方不仅复述了他几天前在Slack工作群中与同事的午餐对话，还陆续抛出了他的信用卡号、社保账号，甚至家中智能摄像头的登录凭证。这名员工意识到自己被黑客入侵，立即联系了迪士尼的网络安全团队。次日，某黑客团体在网上发布了被泄露的迪士尼内部数据。

经过调查，2023年2月，这名前迪士尼员工在家用电脑通过代码托管平台GitHub下载了一款"免费AI图像生成工具"。实际上，这是一款伪装成AI工具的恶意程序，黑客借此植入键盘记录木马，劫持了存储他所有密码（口令）的1Password管理器。更致命的是，他的1Password账户未启用双因素认证，黑客获取主密码后提取了密码管理器中数百个账号口令，直接登录其迪士尼内部账户，潜伏五个月后突然发难，导致迪士尼的财务数据、员工护照信息等核心资产也遭泄露。

无独有偶，今年2月，就在DeepSeek爆火出圈没多久，据央视播报，我国境内发现了仿冒DeepSeek官方App的安卓平台手机木马病毒。用户一旦点击运行仿冒App，该App会提示用户“需要应用程序更新”，并诱导用户点击“更新”按钮。用户点击后，会提示安装所谓的“新版”DeepSeek应用程序，实际上是包含恶意代码的子安装包，并会诱导用户授予其后台运行和使用无障碍服务的权限。同时，该恶意App还包含拦截用户短信、窃取通讯录、窃取手机应用程序列表等侵犯公民个人隐私信息的恶意功能和阻止用户卸载的恶意行为。经分析，该恶意App为金融盗窃类手机木马病毒的新变种。网络犯罪分子很可能将该恶意App用于电信网络诈骗活动，诱使用户从非官方渠道安装仿冒DeepSeek的手机木马，从而对用户的个人隐私和经济利益构成较大威胁。

谷歌Mandiant调查显示，2023年以牟利为目的的网络入侵中，近40%使用窃取凭证，较2022年翻倍。而未经审批就投入使用的外部工具正在成为黑客的新跳板。根据2024年Work Trend Index Annual Report，78%的用户在工作中使用自带的外部工具，52%不愿承认使用，显示出员工对外部工具的隐秘依赖。

在AI来临的时代，外部AI带来了额外的风险。Dell的研究显示，91%的受访员工曾尝试生成式AI，71%在工作中使用，显示出员工对AI的强烈需求。IBM的研究显示，超过三分之一（38%）的员工承认在未经雇主许可的情况下与AI工具共享敏感工作信息，这可能导致数据泄露、合规违规和声誉损害。

身份认证作为网络安全防护的“第一关”，在保障身份真实可信方面承担了至关重要的作用。特别是在多因素身份认证（MFA）的加持下，即使密码（口令）被盗，攻击者也无法轻易登录系统。在上文的数据泄露事件中，如果迪士尼部署了MFA，其内部信息泄露的风险将大大降低。

在AI技术蓬勃发展的今天，我们既要拥抱创新，也要筑牢安全防线。随着生成式AI和外部工具的广泛应用，网络安全的挑战愈发复杂，但这也为身份认证技术提供了新的机遇。多因素身份认证（MFA）作为数字安全的基石，不仅是抵御黑客攻击的有效手段，更是企业在数字化转型中不可或缺的安全保障。通过创新的MFA解决方案，飞天诚信为企业和个人提供全方位的身份保护，有效抵御外部威胁。飞天诚信作为身份认证领域的深耕者，已构建“云、端、芯”全链条自主知识产权的技术体系。公司身份认证产品不仅获得了网络安全专用产品安全检测证书，还获得了商用密码产品认证证书，并通过了第三方安全检测机构的检测。

飞天诚信始终致力于通过技术创新，为企业和个人提供更安全、更便捷的身份认证解决方案。我们相信，只有在技术进步与安全防护之间找到平衡，才能真正实现数字世界的可持续发展。让我们共同守护数字世界的每一扇安全之门，迎接一个更加安全、可信的未来。