Netskope Cloud and Threat Report 2025

Der vierte Netskope Cloud and Threat Report 2025 widmet der sich dem aufstrebenden Bereich der generativen KI. Er stellt Konzepte der Schatten-KI, der indirekten Gen-KI-Nutzung und der lokalen KI vor. In dieser neuesten Folge werden aufkommende Trends im Bereich der Schatten-KI und der agentischen KI in Unternehmen untersucht, bei denen einige Benutzer bei der Entwicklung benutzerdefinierter Apps und autonomer Agenten auf genAI-Plattformen und On-Premises-Lösungen umsteigen, was eine Reihe neuer Herausforderungen für die Cybersicherheit mit sich bringt.

Dieser Bericht konzentriert sich auf Schatten-KI und agentische KI und untersucht, wie Unternehmen Licht in die Schatten bringen können. Wir beginnen mit der Untersuchung von SaaS-GenAI-Apps, bei denen wir immer noch eine beträchtliche Menge an Schatten-KI sehen. Es zeichnet sich ein klarer Trend zur Zentralisierung ab, wobei sich Unternehmen zu einigen wichtigen unternehmensgesteuerten Ökosystemen hingezogen fühlen, insbesondere Gemini und Copilot. Die Mehrheit der Nutzer (60 %) verwendet jedoch immer noch persönliche, nicht verwaltete Apps, was eine erhebliche Menge an Schatten-KI darstellt, die sich weiterhin auf neue Apps ausweitet, sobald diese veröffentlicht werden.

Das Ausführen einer lokalen KI-Infrastruktur ist ebenfalls ein wachsender Trend, bei dem Benutzer Tools wie Ollama installieren, um eine Schnittstelle zu einer Vielzahl von Modellen bereitzustellen, oder Frameworks wie LangChain verwenden, um benutzerdefinierte Agenten zu erstellen und so eine neue lokale Schatten-KI-Infrastruktur zu schaffen. On-Premises-KI wächst langsamer als genAI-Plattformen, da letztere leichter zugänglich sind und eine bessere Sicherheit von der Stange bieten, wie wir später in diesem Bericht untersuchen werden.

Schatten-KI stellt den Großteil der KI-Nutzung in Unternehmen dar, angetrieben durch die individuelle Einführung von SaaS-KI-Apps, KI-Plattformen, lokalen KI-Bereitstellungen und jetzt auch benutzerdefinierten KI-Agenten.

Die Nutzung von SaaS-KI nimmt in einem durchschnittlichen Unternehmen weiterhin rasant zu: In den letzten drei Monaten haben 50 % mehr Menschen mit KI-Apps interagiert und 6,5 % mehr Daten wurden in SaaS-KI-Apps hochgeladen, was einem Durchschnitt von 8,2 GB pro Unternehmen und Monat entspricht.

ChatGPT erlebte seinen ersten Rückgang der Popularität in Unternehmen, seit wir im Jahr 2023 mit der Verfolgung begonnen haben, da sich die Nutzung von SaaS-KI um speziell entwickelte Lösungen wie Gemini und Copilot konzentriert, die gut in bestehende Unternehmensworkflows integriert sind.

KI-Plattformen (z. B. Amazon Bedrock, Azure OpenAI und Google Vertex AI) gewinnen immer mehr an Popularität und ermöglichen es Benutzern, benutzerdefinierte Apps und Agenten zu erstellen, die direkt mit Unternehmensdatenspeichern interagieren, was Unternehmen vor neue Herausforderungen für die Schatten-KI stellt.

KI-Agenten werden vor Ort mithilfe von Agenten-Frameworks wie LangChain entwickelt, getestet und bereitgestellt, wodurch eine besonders herausfordernde neue Art von Schatten-KI entsteht, da lokale Bereitstellungen in der Regel am schwierigsten zu entdecken und zu sichern sind.

Definitionen

Agenten-Frameworks sind Softwarebibliotheken und -tools, die die Erstellung autonomer KI-Agenten vereinfachen, indem sie vorgefertigte Komponenten für die Planung, den Speicher und die Tool-Integration bereitstellen (z. B. LangChain, OpenAI Agent Framework).

Agentische KI bezieht sich auf Systeme, bei denen ein Agent autonom eine Reihe von Aktionen planen und ausführen kann, um ein übergeordnetes Ziel zu erreichen, und komplexe Aufgaben ohne Schritt-für-Schritt-Anleitung von Menschen erledigen kann.

GenAI-Plattformen sind verwaltete Cloud-Dienste, die die grundlegenden Modelle, Tools und Infrastrukturen zum Erstellen, Anpassen, Trainieren und Bereitstellen von KI-Modellen, -Anwendungen und -Agenten bereitstellen (z. B. Amazon Bedrock, Azure OpenAI, Google Vertex AI).

LLM-Schnittstellen sind Front-End-Anwendungen, die es Benutzern ermöglichen, mit LLMs zu interagieren, und die in der Regel lokal verwendet werden (z. B. Ollama, LM Studio).

SaaS-genAI-Apps sind speziell entwickelte, in der Cloud gehostete Anwendungen, die genAI als primäre Funktion verwenden, um neue Inhalte zu erstellen oder vorhandene Inhalte zusammenzufassen (z. B. ChatGPT, Gemini, Copilot).

Anhaltendes Wachstum der SaaS-GenAI-App

Die Akzeptanz von SaaS-GenAI-Apps nimmt in Unternehmen weiter zu. Während der Prozentsatz der Unternehmen, die SaaS-genAI-Apps verwenden, stagniert hat und 89 % der Unternehmen mindestens eine SaaS-genAI-App aktiv nutzen, manifestiert sich die zunehmende Akzeptanz von SaaS genAI weiterhin auf vielfältige Weise innerhalb des Unternehmens. Erstens stieg die Zahl der Personen, die SaaS-genAI-Apps in jedem Unternehmen nutzten, um mehr als 50 %, wobei durchschnittlich 7,6 % der Personen in jedem Unternehmen im Mai SaaS-genAI-Apps verwendeten, verglichen mit 5 % im Februar.

Zweitens wächst die Zahl der verwendeten genAI-Apps weiter und erreicht durchschnittlich 7 pro Unternehmen, gegenüber 5,6 im Februar. Ein ähnliches Wachstum verzeichneten wir im dritten Quartal, wo die Unternehmen jetzt 15,4 Apps verwenden, gegenüber 13,3 im Februar.

Die dritte Möglichkeit, wie sich das Wachstum von SaaS-GenAI-Apps im Unternehmen manifestiert, ist die Datenmenge, die in diese Apps fließt. In einem durchschnittlichen Unternehmen ist die Menge der monatlich hochgeladenen Daten in den letzten drei Monaten um 6,5 % von 7,7 GB auf 8,2 GB gestiegen. Selbst in Unternehmen, in denen bereits eine beträchtliche Menge an Daten in SaaS-GenAI-Apps hochgeladen wird, setzt sich das schnelle Wachstum fort, ohne dass es Anzeichen einer Verlangsamung gibt. Wie in unserem vorherigen Bericht zur generativen KI beschrieben, umfassen die Daten, die Benutzer in genAI-Apps hochladen, geistiges Eigentum, regulierte Daten, Quellcode und Geheimnisse, was unterstreicht, wie wichtig es ist, die Nutzung von Schatten-SaaS genAI zu identifizieren und Kontrollen zu implementieren, um unerwünschte Datenlecks zu verhindern.

Eine weitere bemerkenswerte Veränderung, die in den letzten vier Monaten stattgefunden hat, ist ein Rückgang der Zahl der Organisationen, die ChatGPT verwenden. Seit seiner Einführung im November 2022 ist der Prozentsatz der Organisationen, die ChatGPT verwenden, nie gesunken. Im Februar berichteten wir, dass fast 80 % der Unternehmen ChatGPT verwenden, dieser Anteil ist nun leicht auf 78 % gesunken.

Dieser Rückgang ist darauf zurückzuführen, dass Gemini und Copilot (Microsoft Copilot, Microsoft 365 Copilot, GitHub Copilot) dank ihrer nahtlosen Integration in die Produktökosysteme von Google und Microsoft, die im Unternehmen bereits allgegenwärtig sind, weiter an Bedeutung gewinnen. ChatGPT war die einzige der Top-10-Apps, die seit Februar einen Rückgang verzeichnete, wie in der folgenden Abbildung zu sehen ist. Andere Top-10-Apps, darunter Anthropic Claude, Perplexity AI, Grammarly und Gamma, verzeichneten alle Zuwächse bei der Akzeptanz in Unternehmen.

Grok gewinnt schnell an Popularität und im Mai zum ersten Mal in die Top 10 einsteigt. Im Vergleich zum Februar blockieren weniger Unternehmen Grok und erlauben es stattdessen für bestimmte (in der Regel persönliche) Anwendungsfälle. Die Zahl der Organisationen, die Grok blockieren, erreichte im April ihren Höhepunkt und ist tendenziell rückläufig , da die Zahl der Grok-Nutzer weiter steigt.

Dies ist darauf zurückzuführen, dass sich Unternehmen für detailliertere Kontrollen entscheiden und DLP und Echtzeit-Benutzercoaching verwenden, um zu verhindern, dass sensible Daten an Grok gesendet werden. Allerdings übersteigen die Blöcke immer noch die Erlaubten: 25 % der Unternehmen blockierten im Mai alle Versuche, Grok zu verwenden, während nur 8,5 % der Unternehmen eine gewisse Nutzung von Grok feststellen. Dies ist kein ungewöhnlicher Trend, da Unternehmen dazu neigen, neue Apps zunächst zu blockieren, während sie Sicherheitsüberprüfungen durchführen und Kontrollen implementieren, um ihre Nutzung einzuschränken. Auf der anderen Seite gibt es einige SaaS-GenAI-Apps, wie z. B. DeepSeek, die nach wie vor stark blockiert sind und daher keinen nennenswerten Einsatz im Unternehmen finden.

Schatten-KI ist ein relativ neuer Begriff, der den Einsatz von KI-Lösungen ohne das Wissen oder die Zustimmung zentraler IT- und Cybersicherheitsabteilungen beschreibt. In den Anfängen war fast 100 % der SaaS-GenAI-Nutzung Schatten-KI. Im Laufe der Zeit begannen Unternehmen, bestimmte Unternehmenslösungen (in der Regel ChatGPT, Gemini oder Copilot) zu überprüfen und zu genehmigen, und die Benutzer wechselten zu diesen genehmigten Lösungen. Echtzeit-Coaching-Richtlinien, die Benutzer, die eine nicht genehmigte Lösung verwenden, daran erinnern, zu einer genehmigten Lösung zu wechseln, waren bei diesem Übergang von entscheidender Bedeutung. Diese Kontrollen sind nach wie vor wirksam: Im Mai nutzten nur 60 % der Unternehmensbevölkerung persönliche SaaS-GenAI-Apps, was einem Rückgang von 12 Prozentpunkten seit Februar entspricht. Dieser Trend wird sich in den kommenden Monaten fortsetzen und die Rate bis Ende des Jahres unter 40 % sinken. Gleichzeitig sind neue Schatten-KI-Herausforderungen (genAI-Plattformen, On-Premises-genAI und KI-Agenten) entstanden.

Netskope verfolgt mehr als 1.550 verschiedene generative KI-SaaS-Anwendungen. Netskope-Kunden können Schatten-KI identifizieren, indem sie nach App-Aktivitäten suchen, die als „generative KI“ kategorisiert sind, und sich auf nicht genehmigte Apps und persönliche Anmeldungen konzentrieren. Während das Blockieren nicht genehmigter Apps eine effektive Strategie sein kann, sind Benutzercoaching-Richtlinien eine nuanciertere Methode, um Benutzer von nicht genehmigten Lösungen weg und hin zu solchen, die vom Unternehmen verwaltet und genehmigt werden, zu führen. Solche Richtlinien sind oft mit DLP-Richtlinien gekoppelt, um das Risiko zu mindern, dass vertrauliche Daten an nicht genehmigte SaaS-GenAI-Apps weitergegeben werden, wie in unserem vorherigen Cloud- und Bedrohungsbericht beschrieben.

Zunehmende Akzeptanz von genAI-Plattformen

Während SaaS-GenAI-Apps aufgrund ihrer Benutzerfreundlichkeit an Popularität gewonnen haben, gewinnen genAI-Plattformen aufgrund ihrer Flexibilität und ihrer Vorteile für den Datenschutz immer mehr an Popularität. Ihre Flexibilität beruht auf der Tatsache, dass Sie die Modelle Ihrer Wahl schnell und einfach über eine einzige Schnittstelle bereitstellen können. Ihre Vorteile für die Privatsphäre ergeben sich aus der Tatsache, dass Sie die Modelle selbst hosten und keine Ihrer Daten an Dritte weitergeben. Gleichzeitig verlagert das Modell der geteilten Verantwortung in einer genAI-Plattform im Vergleich zu einer SaaS-Lösung mehr Sicherheitsverantwortung auf den Benutzer.

Der Einsatz von genAI-Plattformen steigt sprunghaft an. Wir haben in den letzten drei Monaten einen Anstieg der Nutzerzahlen um 50 % und einen Anstieg des Netzwerkverkehrs um 73 % auf diesen Plattformen festgestellt. Im Mai nutzten 41 % der Unternehmen mindestens eine genAI-Plattform, während 14 % mindestens zwei und 2,7 % mindestens drei verwenden. Einer der Gründe für die Verbreitung mehrerer Lösungen ist, dass die Einführung von genAI-Plattformen ein weiteres Schatten-KI-Problem ist; Der Einzelne wählt die Frameworks, mit denen er am besten vertraut ist oder die für seine spezifischen Anwendungsfälle am besten geeignet erscheinen. Die Nutzung einer genAI-Plattform ist auch fast so zugänglich wie die Verwendung einer SaaS-genAI-App, da die großen Cloud-Service-Anbieter alle ihre eigenen Angebote haben. Die beliebteste genAI-Plattform ist Microsoft Azure OpenAI, die von 29 % der Unternehmen verwendet wird. Amazon Bedrock folgt mit 22 % dicht dahinter, gefolgt von Google Vertex AI mit 7,2 % auf dem dritten Platz. Alle drei Plattformen werden immer beliebter, da sich immer mehr Nutzer mit ihnen vertraut machen und die Möglichkeiten erkunden, die sie bieten.

Das rasante Wachstum von Schatten-KI legt dem Unternehmen die Verantwortung auf, herauszufinden, wer mit genAI-Plattformen eine Cloud-genAI-Infrastruktur erstellt, wo sie aufgebaut wird und ob sie Best Practices für die KI-Sicherheit befolgt. Eines der leistungsstarken Merkmale dieser genAI-Plattformen besteht darin, dass sie die direkte Verbindung von Unternehmensdatenspeichern mit KI-Anwendungen ermöglichen, was zusätzliche Überprüfungen und Überwachungen erfordert, um sicherzustellen, dass diese Anwendungen die Datensicherheit des Unternehmens nicht beeinträchtigen. Netskope-Kunden können Einblicke in die Verwendung dieser Tools und deren Verwendung erhalten, indem sie ihre Protokolle für eine dieser genAI-Plattformen namentlich überprüfen. Zu wissen, wer sie verwendet und wie sie verwendet werden, ist der erste Schritt, um ihre sichere Nutzung zu gewährleisten.

Zunehmende Akzeptanz von On-Premises-GenAI

Eine weitere Praxis, die immer beliebter wird, ist die Verwendung von genAI On-Premises. Die Nutzung von genAI vor Ort nimmt mehrere Formen an, von der Verwendung lokaler GPU-Ressourcen zum Trainieren oder Hosten von Modellen bis hin zur Entwicklung lokaler Tools, die mit SaaS-genAI-Anwendungen oder genAI-Plattformen interagieren. Die lokale Verwendung von genAI ist eine gute Möglichkeit für Unternehmen, ihre vorhandenen GPU-Ressourceninvestitionen zu nutzen oder Tools zu erstellen, die mit lokalen Systemen und Datasets interagieren. Die Bereitstellung vor Ort bedeutet jedoch auch, dass das Unternehmen allein für die Sicherheit seiner genAI-Infrastruktur verantwortlich ist. Darüber hinaus ist das Verständnis und die Anwendung von Frameworks wie den OWASP Top 10 for Large Language Model Applications oder Mitre Atlas jetzt unerlässlich.

Eine der beliebtesten Möglichkeiten, genAI lokal zu nutzen, ist die Bereitstellung einer LLM-Schnittstelle. Ähnlich wie genAI-Plattformen ermöglichen LLM-Schnittstellen die Interaktion mit verschiedenen Modellen über eine einzige Schnittstelle. LLM-Schnittstellen sind nicht so weit verbreitet wie genAI-Plattformen: Nur 34 % der Unternehmen verwenden LLM-Schnittstellen, verglichen mit 41 % der genAI-Plattformen. Ollama ist mit Abstand das beliebteste Framework und dient auch als hervorragendes Beispiel für einen der wichtigsten Sicherheitsunterschiede zwischen der Arbeit vor Ort und in einer genAI-Plattform: Ollama enthält keine integrierte Authentifizierung. Wenn Sie also Ollama verwenden, müssen Sie es hinter einem Reverse-Proxy oder einer Private-Access-Lösung mit geeigneten Authentifizierungsmechanismen zum Schutz vor unbefugter Nutzung bereitstellen. Während die genAI-Plattformen in der Regel einen KI-Schutz zum Schutz vor dem Missbrauch der Modelle selbst bieten, müssen diejenigen, die Frameworks wie Ollama verwenden, zusätzliche Schritte unternehmen, um Missbrauch und Missbrauch zu verhindern. Im Vergleich zu Ollama haben andere LLM-Schnittstellen, einschließlich LM Studio und Ramalama, eine viel kleinere Benutzerbasis in Unternehmen.

Eine weitere Möglichkeit, herauszufinden, wer mit KI-Tools experimentiert, besteht darin, den Zugriff auf KI-Marktplätze wie Hugging Face zu überwachen. Hugging Face ist eine sehr beliebte Community für den Austausch von KI-Tools, KI-Modellen und Datensätzen. In 67 % der Unternehmen laden Benutzer Ressourcen von Hugging Face herunter. Obwohl die Population der Benutzer, die dies tun, klein ist (durchschnittlich nur 0,3 %), ist die Identifizierung dieser Benutzer entscheidend für die Aufdeckung von Schatten-KI, da sie möglicherweise eine KI-Infrastruktur vor Ort oder in der Cloud bereitstellen.

Da es sich bei Hugging Face um eine Community-Plattform handelt, die den Austausch erleichtern soll, müssen sich Unternehmen außerdem der Risiken in der Lieferkette bewusst sein, die mit Ressourcen verbunden sind, die von dieser Plattform heruntergeladen werden. Zusätzlich zu den offensichtlichen Risiken, die von bösartigem Code ausgehen, der in Tools eingebettet ist, werden bestimmte Dateiformate mit hohem Risiko (z. B. Python Pickles, die anfällig für gefährliche Angriffe auf die Ausführung willkürlichen Codes sind) häufig auf Hugging Face geteilt. Netskope-Kunden können Hugging Face-Benutzer identifizieren, indem sie in ihren Protokollen nach der App „Hugging Face“ suchen. Sie sollten sicherstellen, dass die von Hugging Face heruntergeladenen Ressourcen durch ihre Richtlinien zum Schutz vor Bedrohungen abgedeckt sind.

KI-Agenten

Während sich die Nutzung von SaaS-GenAI-Apps auf speziell entwickelte Apps konzentriert, die gut in bestehende Unternehmensworkflows integriert sind (z. B. Gemini und Copilot), zeichnet sich ein weiterer Trend ab, der SaaS-KI-Apps, genAI-Plattformen und die Nutzung von On-Premises-KI umfasst: KI-Agenten. Ein KI-Agent ist ein System, das mit einem bestimmten Ziel beauftragt ist und eine begrenzte Autonomie erhält, um dieses Ziel zu erreichen, ohne dass eine Benutzerinteraktion erforderlich ist. Vor allem dank der Fortschritte bei den Basismodellen sehen wir jetzt eine kritische Masse von Benutzern in mehreren Organisationen, die KI-Agenten erstellen und agentische Funktionen von SaaS-Lösungen nutzen. GitHub Copilot (das in 39 % der Organisationen verwendet wird) bietet beispielsweise einen Agent-Modus, in dem Sie eine Codierungsaufgabe bereitstellen können, und es ändert Ihren Code iterativ und testet ihn, bis er glaubt, das Ziel erreicht zu haben (oder ein anderes Stoppkriterium erreicht zu haben). Es gibt zwei bemerkenswerte Merkmale eines KI-Agenten:

Er hat Zugriff auf einige Daten, die zur Organisation gehören.

Es kann einige Aktionen autonom ausführen.

Im Fall von GitHub Copilot hat es Zugriff auf Ihren Quellcode und kann die erforderlichen Befehle ausführen, um diesen Code in Ihrer Infrastruktur zu kompilieren und auszuführen. Diese beiden Merkmale von KI-Agenten unterstreichen, wie wichtig es ist, sicherzustellen, dass ihr Einsatz angemessen gesichert ist, um sensible Daten und Infrastrukturen zu schützen.

Eine Möglichkeit zum Erstellen von KI-Agenten besteht darin, eines der vielen verfügbaren Agenten-Frameworks zu verwenden. Insgesamt haben 5,5 % der Unternehmen Benutzer, die Agenten ausführen, die mit beliebten KI-Agent-Frameworks vor Ort erstellt wurden. Unter diesen Frameworks ist LangChain mit Abstand das beliebteste (es gibt es seit Oktober 2022), während das OpenAI Agent Framework schnell an Popularität gewinnt (es wurde erst im März 2025 veröffentlicht). Es gibt zwar viele andere Frameworks, aber keines von ihnen hat bisher eine nennenswerte Akzeptanz in Unternehmen erfahren. Pydantic-ai, an dritter Stelle, wird in 3 von 1000 Organisationen eingesetzt. Lokale KI-Agents stellen ein erhebliches Schatten-KI-Risiko dar, da sie leicht zugänglich sind (einfach zu erstellen und auszuführen), oft Zugriff auf vertrauliche Daten haben und Code autonom ausführen können. Organisationen sollten proaktiv daran arbeiten, Benutzer zu identifizieren, die KI-Agents lokal erstellen und verwenden.

Eine weitere Möglichkeit zum Erstellen von KI-Agenten ist die Verwendung einer der genAI-Plattformen. Amazon Bedrock bietet unterschiedliche Service-Endpunkte für die Verwaltung von Modellen, die Verwaltung von Agenten, das Senden von Rückschlussanforderungen an Modelle und das Aufrufen von Agenten. 22 % der Unternehmen nutzen Amazon Bedrock. Wenn wir diese Zahl weiter aufschlüsseln, stellen wir fest, dass alle 22 % es zum Verwalten von Modellen und zum Ausführen von Rückschlüssen für Modelle verwenden, während 14 % es zum Entwickeln, Bereitstellen oder Aufrufen von Agenten verwenden. Wir haben auch weiter oben in diesem Abschnitt erwähnt, dass 5,5 % der Unternehmen KI-Agenten lokal ausführen, was bedeutet, dass 2,5-mal mehr Organisationen Amazon Bedrock für KI-Agenten im Vergleich zu lokalen Agenten verwenden.

Warum sind Frameworks wie Bedrock für agentische KI beliebter als On-Premises-Frameworks? Sie rationalisieren die Entwicklung, insbesondere für diejenigen, die bereits in das AWS-Ökosystem investiert haben. Sie reduzieren den Betriebsaufwand, indem sie ein verwalteter Dienst sind. Sie verfügen über die integrierte Skalierbarkeit einer ausgereiften IaaS-Plattform.

Mit anderen Worten: Eine stabile, verwaltete Umgebung mit integrierter Sicherheit und Support ist für Unternehmen attraktiver, als all diese Aspekte unabhängig voneinander bewältigen zu müssen. Basierend auf den aktuellen Trends gehen wir davon aus, dass sich diese Kluft noch vergrößern wird, da in den kommenden Monaten eine noch größere Anzahl von Unternehmen genAI-Plattformen gegenüber On-Premises-Lösungen bevorzugen wird. On-Premises-Lösungen sind für einige Organisationen nach wie vor sinnvoll, insbesondere für Unternehmen mit bestimmten hochvolumigen, vorhersehbaren, kontinuierlichen und langfristigen Anwendungsfällen, bei denen On-Premises-Lösungen möglicherweise kostengünstiger sind. Und natürlich kann jeder innerhalb des Unternehmens während der Entwicklung oder für den persönlichen Gebrauch damit beginnen, Agenten vor Ort zu entwickeln und zu verwenden, was die Notwendigkeit für Unternehmen unterstreicht, kontinuierlich auf Schatten-KI zu überwachen.

Eine CISO-Perspektive

Um die Datensicherheitsrisiken, die durch den zunehmenden Einsatz generativer KI-Technologien entstehen, effektiv zu bewältigen, sollten CISOs und Sicherheitsverantwortliche die folgenden umsetzbaren Leitlinien umsetzen:

Bewerten Sie Ihre genAI-Landschaft:

Identifizieren Sie die Nutzung: Ermitteln Sie, welche SaaS-genAI-Anwendungen, genAI-Plattformen und lokal gehosteten genAI-Tools in Ihrem Unternehmen verwendet werden.

Benutzerkennzeichen: Ermitteln Sie, wer diese Tools verwendet und wie sie in den verschiedenen Abteilungen und Arbeitsabläufen genutzt werden.

Verbessern Sie die GenAI-App-Steuerung:

Genehmigte Apps: Richten Sie eine Richtlinie ein und setzen Sie sie durch, die nur die Verwendung von vom Unternehmen genehmigten genAI-Anwendungen zulässt.

Nicht genehmigte Apps blockieren: Implementieren Sie robuste Blockierungsmechanismen, um die Verwendung nicht genehmigter genAI-Apps zu verhindern.

DLP für sensible Daten: Verwenden Sie DLP-Richtlinien (Data Loss Prevention, Data Loss Prevention, um zu verhindern, dass vertrauliche Daten für nicht autorisierte genAI-Anwendungen freigegeben werden.

Benutzer-Coaching in Echtzeit: Stellen Sie Echtzeit-Benutzer-Coaching bereit, um Benutzer zu genehmigten Lösungen zu führen und sie über sichere genAI-Praktiken zu schulen. Vergleichen Sie diese Kontrollen regelmäßig mit den Best Practices der Branche.

Inventarisierung der lokalen genAI-Infrastruktur:

Sicherheits-Frameworks: Wenn Ihr Unternehmen eine genAI-Infrastruktur lokal betreibt, überprüfen und wenden Sie relevante Sicherheits-Frameworks an, wie z. B. OWASP Top 10 für Anwendungen mit großen Sprachmodellen oder NIST-KI-Risikomanagement-Framework.

Schutzmaßnahmen: Stellen Sie sicher, dass ein angemessener Schutz für Daten, Benutzer und Netzwerke vorhanden ist, die mit der lokalen genAI-Infrastruktur interagieren.

Kontinuierliche Überwachung und Sensibilisierung:

Überwachen Sie die Nutzung von genAI: Implementieren Sie eine kontinuierliche Überwachung der genAI-Nutzung in Ihrem Unternehmen, um neue Schatten-KI-Instanzen zu erkennen, sei es über SaaS-Apps, genAI-Plattformen oder lokale Bereitstellungen.

Bleiben Sie informiert: Bleiben Sie auf dem Laufenden über neue Entwicklungen in der KI-Ethik, regulatorische Änderungen und gegnerische Angriffe, um Ihre Sicherheitslage proaktiv anzupassen.

Das Risiko der agentischen Schatten-KI verstehen und vorschlagen:

Nicht überprüfter Mitarbeiter: Agentische Schatten-KI ist wie eine Person, die jeden Tag in Ihr Büro kommt, mit Daten umgeht, Maßnahmen an Systemen ausführt und dabei keine Hintergrundüberprüfung durchführt oder über eine Sicherheitsüberwachung verfügt.

Anleitung festlegen: Legen Sie Richtlinien für die Organisation und ihre Mitglieder fest. Verwenden Sie die in diesem Bericht beschriebenen Erkennungen, um diejenigen zu identifizieren, die bei der Einführung von agentischer KI führend sind, und arbeiten Sie mit ihnen zusammen, um eine umsetzbare und realistische Richtlinie, einen Standard oder eine Richtlinie zu entwickeln.

Durch diese proaktiven Schritte können Unternehmen die sich entwickelnden Herausforderungen der genAI-Technologien effektiv bewältigen und ihre sichere und verantwortungsvolle Einführung gewährleisten.

This report focuses on shadow AI and agentic AI, exploring how organizations can shed light on the shadows along the way. There is a clear centralization trend emerging, with organizations gravitating toward a few key enterprise-managed ecosystems, especially Gemini and Copilot. However, the majority of users (60%) are still using personal, unmanaged apps, representing a significant amount of shadow AI that continues to span into new apps as they are released.

At this stage, adoption of genAI platforms is led by individuals experimenting with the relatively new technology, making genAI platforms represent the fastest-growing category of shadow AI.

Running AI infrastructure on-premises is also a growing trend, where users are installing tools like Ollama to provide an interface to a wide variety of models or using frameworks like LangChain to build custom agents, creating new on-premises shadow AI infrastructure. On-premises AI is growing at a slower pace than genAI platforms, as the latter are more accessible and offer better off-the-shelf security.

The area of AI agents is emerging, which are systems that use AI to achieve a specific goal with minimal human intervention. There is significant activity in the enterprise, with users exploring a variety of agent frameworks, both on-premises and in the cloud, and building up even more shadow AI that is tightly intertwined with enterprise data and critical workflows.

Highlights

 Shadow AI represents the majority of AI use in the enterprise, driven by individual adoption of SaaS AI apps, AI platforms, on-premises AI deployments, and now custom AI agents.

SaaS AI use continues to grow rapidly within the average organization, with 50% more people interacting with AI apps and 6.5% more data being uploaded to SaaS AI apps over the past three months, averaging 8.2 GB per organization per month.

ChatGPT experienced its first decline in enterprise popularity since we began tracking it in 2023, as SaaS AI use consolidates around purpose-built solutions, such as Gemini and Copilot, that are well-integrated with existing enterprise workflows.

AI platforms (e.g., Amazon Bedrock, Azure OpenAI, and Google Vertex AI) are rapidly gaining popularity, enabling users to create custom apps and agents that interact directly with enterprise data stores, presenting new shadow AI challenges for enterprises to address.

AI agents are being developed, tested, and deployed on-premises using agent frameworks like LangChain, creating a particularly challenging new type of shadow AI, as on-premises deployments are typically the most difficult to discover and secure.

Definitions

Agent frameworks are software libraries and tools that simplify the creation of autonomous AI agents by providing pre-built components for planning, memory, and tool integration (e.g., LangChain, OpenAI Agent Framework).

Agentic AI refers to systems where an agent can autonomously plan and execute a series of actions to accomplish a high-level goal, completing complex tasks without step-by-step human guidance.

GenAI platforms are managed cloud services that provide the foundational models, tools, and infrastructure to build, customize, train, and deploy AI models, applications, and agents (e.g., Amazon Bedrock, Azure OpenAI, Google Vertex AI).

LLM interfaces are front-end applications that enable users to interact with LLMs and are typically used on-premises (e.g., Ollama, LM Studio). SaaS genAI apps are purpose-built, cloud-hosted applications that use genAI as a primary feature to create new content or summarize existing content (e.g., ChatGPT, Gemini, Copilot).

Continuing SaaS genAI app growth

SaaS genAI app adoption continues to skyrocket in the enterprise. While the percentage of organizations using SaaS genAI apps has plateaued, with 89% of organizations actively using at least one SaaS genAI app, SaaS genAI adoption growth continues to manifest itself in multiple ways within the enterprise. First, the number of people using SaaS genAI apps within each organization increased by more than 50% with an average of 7.6% of people in each organization using SaaS genAI apps in May, compared to 5% in February.

Today, Netskope is tracking more than 1,550 distinct generative AI SaaS applications, up from just 317 in February, indicating the rapid pace at which new apps are being released and adopted in enterprise environments.

The third way in which the growth of SaaS genAI apps manifests itself in the enterprise is in the amount of data flowing into these apps. For the average organization, the amount of data uploaded each month has increased 6.5% from 7.7 GB to 8.2 GB over the past three months.

Even in organizations that are already seeing a significant amount of data being uploaded to SaaS genAI apps, the rapid growth continues with no signs of slowing down. The data users are uploading to genAI apps includes intellectual property, regulated data, source code, and secrets, underscoring the importance of identifying shadow SaaS genAI use and implementing controls to prevent unwanted data leaks.

Another noteworthy change that has occurred over the past four months is a decrease in the number of organizations using ChatGPT. Since its introduction in November 2022, the percentage of organizations using ChatGPT has never decreased. In February, we reported that nearly 80% of organizations were using ChatGPT, which has now fallen modestly to 78%.

This decrease comes as Gemini and Copilot (Microsoft Copilot, Microsoft 365 Copilot, GitHub Copilot) continue to gain traction, thanks to their seamless integration into the Google and Microsoft product ecosystems that are already ubiquitous in the enterprise. ChatGPT was the only one of the top 10 apps to see a decrease since February, as shown in the figure below. Other top 10 apps, including Anthropic Claude, Perplexity AI, Grammarly, and Gamma, all saw enterprise adoption gains.

Grok is rapidly gaining popularity, entering the top 10 for the first time in May. Compared to February, fewer organizations are blocking Grok and are instead allowing it for specific (usually personal) use cases. The number of organizations blocking Grok peaked in April and is trending downward as the number of Grok users continues to rise. This comes as organizations are opting for more granular controls, using DLP and real-time user coaching to prevent any sensitive data from being sent to Grok. That said, the blocks still outnumber the allows, with 25% of organizations blocking all attempts to use Grok in May, while only 8.5% organizations are seeing some Grok use. This is not an unusual trend, as organizations tend to block new apps initially while they perform security reviews and implement controls to restrict their use. On the other hand, there are some SaaS genAI apps, such as DeepSeek, that remain heavily blocked and therefore do not see any significant enterprise use.

Shadow AI is a relatively new term that describes the use of AI solutions without the knowledge or approval of centralized IT and cybersecurity departments. In the early days, nearly 100% of SaaS genAI use was shadow AI. Over time, organizations began to review and approve specific enterprise solutions (typically ChatGPT, Gemini, or Copilot), and users transitioned to those approved solutions.

Real-time coaching policies that remind users who are using an unapproved solution to switch to an approved solution have been instrumental in this transition. Those controls continue to be effective, with only 60% of the enterprise population using personal SaaS genAI apps in May, a 12 percentage point decrease since February. We expect this trend to continue in the coming months, with the rate dipping below 40% by the end of the year. At the same time, new shadow AI challenges (genAI platforms, on-premises genAI, and AI agents) have emerged, which we will explore in more detail in the following sections.

For readers interested in discovering the extent of SaaS shadow AI use in their environments, Netskope is tracking more than 1,550 distinct generative AI SaaS applications. Netskope customers can identify shadow AI by searching for any app activity categorized as “Generative AI” and focusing on unapproved apps and personal logins. While blocking unapproved apps can be an effective strategy, user coaching policies are a more nuanced way to guide users away from unapproved solutions and toward those managed and approved by the company. Such policies are often coupled with DLP policies to mitigate risks of sensitive data leaking to unapproved SaaS genAI apps.

Increasing adoption of genAI platforms

While SaaS genAI apps gained popularity for their ease of use, genAI platforms are now gaining popularity due to their flexibility and privacy benefits. Their flexibility stems from the fact that you can quickly and easily deploy the models of your choice using a single interface. Their privacy benefits arise from the fact that you host the models yourself and do not share any of your data with a third party. At the same time, the shared responsibility model in a genAI platform shifts more security responsibility to the user compared to a SaaS solution.

The use of genAI platforms is skyrocketing. We have seen a 50% increase in the number of users and a 73% increase in network traffic on these platforms over the past three months. As of May, 41% of organizations are using at least one genAI platform, while 14% are using at least two, and 2.7% are using at least three. One of the reasons behind the proliferation of multiple solutions is that the adoption of genAI platforms is another shadow AI problem; individuals are choosing whichever frameworks they are most familiar with or that seem best suited to their specific use cases.

Using a genAI platform is also nearly as accessible as using a SaaS genAI app, since the major cloud service providers all have their own offerings. The most popular genAI platform is Microsoft Azure OpenAI, used by 29% of organizations. Amazon Bedrock follows closely behind at 22%, with Google Vertex AI in a distant third place at 7.2%. All three platforms are gaining popularity as more users become familiar with them and explore the opportunities they offer.

The rapid growth of shadow AI places the onus on the organization to identify who is creating cloud genAI infrastructure using genAI platforms, where they are building it, and whether they are following best practices for AI security. One of the powerful features of these genAI platforms is that they enable direct connection of enterprise data stores to AI applications, necessitating additional reviews and monitoring to ensure that these applications do not compromise enterprise data security. Netskope customers can gain insights into who is using these tools and how they are using them by reviewing their logs for any of these genAI platforms by name. Knowing who is using them and how they are using them is the first step to ensuring their secure use.

Increasing adoption of on-premises genAI

Another practice gaining popularity is the use of genAI on-premises. On-premises genAI use takes multiple forms, ranging from using on-premises GPU resources to train or host models to developing on-premises tools that interact with SaaS genAI applications or genAI platforms. Using genAI locally is a good way for organizations to leverage their existing GPU resource investment or to build tools that interact with on-premises systems and datasets. However, on-premises deployment also means the organization is solely responsible for the security of its genAI infrastructure. Furthermore, understanding and applying frameworks such as the OWASP Top 10 for Large Language Model Applications or Mitre Atlas is now essential.

One of the most popular ways to use genAI locally is to deploy an LLM Interface. Similar to genAI platforms, LLM interfaces enable interaction with various models using a single interface. LLM interfaces are not as widely used as genAI platforms, with only 34% of organizations using LLM interfaces compared to 41% using genAI platforms. Ollama is the most popular framework by a large margin, and also serves as an excellent example of one of the key security differences between working on-prem vs. in a genAI platform: Ollama does not include any built-in authentication.

So, if you are using Ollama, you must deploy it behind a reverse proxy or private access solution with appropriate authentication mechanisms in place to protect against unauthorized use. Furthermore, whereas the genAI platforms typically provide an AI guard to protect against the abuse of the models themselves, those using frameworks like Ollama must take extra steps to prevent abuse and misuse. Compared to Ollama, other LLM interfaces, including LM Studio and Ramalama, have a much smaller enterprise user base.

Due to the heightened security concerns surrounding the use of AI interfaces, organizations should proactively work to identify who is using them and where they are being used. Netskope customers can identify the use of popular LLM interfaces by their User-Agent strings in the transaction logs. For example, the top three interfaces’ User-Agent strings begin with Ollama, LM Studio, and llama-cpp.

Another way to discover who is experimenting with AI tools is to monitor access to AI marketplaces, such as Hugging Face. Hugging Face is a very popular community for sharing AI tools, AI models, and datasets. Users are downloading resources from Hugging Face in 67% of organizations. While the population of users doing so is small (only 0.3% on average), identifying these users is crucial for uncovering shadow AI, as they may be deploying AI infrastructure on-premises or in the cloud.

Furthermore, because Hugging Face is a community platform designed to facilitate sharing, organizations must be aware of the supply chain risks associated with resources downloaded from this platform. In addition to the obvious risks of malicious code embedded in tooling, certain high-risk file formats (such as Python Pickles, which are vulnerable to dangerous arbitrary code execution attacks) are commonly shared on Hugging Face. Netskope customers can identify Hugging Face users by searching for the “Hugging Face” app in their logs. They should verify that resources downloaded from Hugging Face are covered by their Threat Protection policies.

AI Agents

While SaaS genAI app use is consolidating around purpose-built apps that are well-integrated with existing enterprise workflows (i.e., Gemini and Copilot), another trend is emerging, spanning SaaS AI apps, genAI platforms, and on-premises AI use: AI agents. An AI agent is a system tasked with a specific goal and given some limited autonomy to achieve that goal without requiring user interaction. Thanks primarily to advancements in foundation models, we are now starting to see a critical mass of users across multiple organizations building AI agents and using agentic features of SaaS solutions. For example, GitHub Copilot (used in 39% of organizations) offers an agent mode, where you can provide a coding task, and it will iteratively modify your code and test it until it believes it has achieved the goal (or reached another stopping criterion). There are two noteworthy characteristics of an AI agent:

• It has access to some data that belongs to the organization.
• It can execute some actions autonomously.

In the case of GitHub Copilot, it has access to your source code and can execute the necessary commands to compile and run that code within your infrastructure. These two characteristics of AI agents underscore the importance of ensuring that their use is adequately secured to protect sensitive data and infrastructure.

One option for creating AI agents is to use one of the many available agent frameworks. In total, 5.5% of organizations have users running agents created using popular AI agent frameworks on-premises. Among those frameworks, LangChain is the most popular by a large margin (having been around since October 2022), while the OpenAI Agent Framework is rapidly gaining popularity (having just been released in March 2025). While there are many other frameworks available, none of them has yet seen significant enterprise adoption. Pydantic-ai, in third place, is used in 3 out of every 1000 organizations. On-premises AI agents pose a significant shadow AI risk because they are highly accessible (easy to build and run), often have access to sensitive data, and can execute code autonomously. Organizations should proactively work to identify users who create and use AI agents on-premises.

While the agent runs on-premises, the actual AI models that underpin the agent can run anywhere, including in SaaS, genAI platforms, or on-premises environments. When on-premises agents access SaaS services, they typically access different API endpoints than the browser. For example, conversations with OpenAI’s ChatGPT in the browser will go to chatgpt.com, while programmatic interaction with OpenAI’s models will go to api.openai.com.

66% of organizations have users making API calls to api.openai.com, indicating some non-browser interaction with OpenAI services. This interaction could be from third-party tools, custom tools, or AI agents. OpenAI has a significant lead over other SaaS services in this regard, and given the rapid growth in popularity of the OpenAI Agent Framework, we anticipate this trend will intensify in the coming months.

Netskope customers can identify who is using the popular agent frameworks by searching their logs for the relevant User-Agent strings. For example, the top three frameworks have User-Agent strings beginning with langchain, Agents/Python, and pydantic-ai. They can find non-browser interaction with SaaS AI applications by searching their transaction logs for the relevant domains. The User-Agent strings and the process names will provide clues as to the nature of the interaction. More broadly, Netskope customers should look for any GenAI interactions coming from outside the web browser.

Another option for building AI agents is to use one of the genAI platforms. For this discussion, we will focus specifically on Amazon Bedrock, as it provides distinct service endpoints for managing models, managing agents, making inference requests to models, and invoking agents. Earlier in this report, we reported that 22% of organizations are using Amazon Bedrock. When we break this number down further, we find that all 22% are using it for managing models and running inference against models, while 14% are using it to develop, deploy, or invoke agents. We also stated earlier in this section that 5.5% of organizations are running AI agents on-premises, which means that 2.5x more organizations are using Amazon Bedrock for AI agents compared to on-premises agents.

Why are frameworks like Bedrock more popular for agentic AI than on-premises frameworks? They streamline development, especially for those already invested in the AWS ecosystem. They reduce operational overhead by being a managed service. They come with the built-in scalability of a mature IaaS platform.

In other words, a stable, managed environment with built-in security and support is more appealing to organizations than having to handle all these aspects independently. Based on current trends, we expect this divide to widen, with an even greater number of organizations favoring genAI platforms over on-premises solutions in the coming months. On-premises solutions will still make sense to some organizations, especially those with specific high-volume, predictable, continuous, and long-term use cases where on-premises might be more cost-effective. And, of course, anyone within the organization may start developing and using agents on premises during development or for personal use, underscoring the need for organizations to monitor continuously for shadow AI.

Netskope users looking to discover who is using Amazon Bedrock to deploy or invoke agents should search their transaction logs for the Bedrock build-time domains (bedrock-agent.*.amazonaws.com) and the Bedrock run-time domains (bedrock-agent-runtime.*.amazonaws.com).

A CISO perspective

To effectively manage the data security risks posed by the increasing use of generative AI technologies, CISOs and security leaders should implement the following actionable guidance:

Assess your genAI landscape:

• Identify usage: Determine which SaaS genAI applications, genAI platforms, and locally hosted genAI tools are in use across your organization.
• User identification: Pinpoint who is using these tools and how they are being leveraged within different departments and workflows.
• Bolster genAI app controls:
• Approved apps: Establish and enforce a policy that only allows the use of company-approved genAI applications.
• Block unapproved apps: Implement robust blocking mechanisms to prevent the use of unapproved genAI apps.
• DLP for sensitive data: Use data loss prevention (DLP) policies to prevent sensitive data from being shared with unauthorized genAI applications.
• Real-time user coaching: Deploy real-time user coaching to guide users towards approved solutions and educate them on secure genAI practices. Regularly benchmark these controls against industry best practices.
• Inventory local genAI infrastructure:

Security frameworks: If your organization is running any genAI infrastructure locally, review and apply relevant security frameworks such as OWASP Top 10 for Large Language Model Applications, NIST AI Risk Management Framework. Mitre Atlas.

Protection measures: Ensure that adequate protection is in place for data, users, and networks interacting with local genAI infrastructure.

Continuous monitoring and awareness:

• Monitor genAI use: Implement continuous monitoring of genAI use within your organization to detect new shadow AI instances, whether through SaaS apps, genAI platforms, or on-premises deployments.
• Stay informed: Stay updated on new developments in AI ethics, regulatory changes, and adversarial attacks to adjust your security posture proactively.

Understanding and proposing the risk of agentic shadow AI:

Unverified employee: Agentic shadow AI is like a person coming into your office every day, handling data, taking actions on systems, and all while not being background-checked or having security monitoring in place.

Set guidance: Establish guidelines for the organization and its members. Use the detections outlined in this report to identify those who are leading the charge in the adoption of agentic AI and partner with them to develop an actionable and realistic policy, standard, or guideline.

By taking these proactive steps, organizations can effectively manage the evolving challenges presented by genAI technologies and ensure their safe and responsible adoption.