美国地区性银行 Community Bank 披露，一名员工使用未经授权的外部 AI 应用后，部分客户敏感信息被不当暴露。该行已在 5 月 7 日提交给美国证监会的文件中说明此事，并启动联邦及州层面的通知流程。

涉及姓名、生日和社保号码

公司披露称，此次暴露的信息包括客户全名、出生日期和社会安全号码。上述信息在美国属于高度敏感的个人身份数据，一旦外泄，可能带来身份盗用和金融欺诈风险。

银行目前未说明受影响客户的具体数量，但已开始联系可能受到波及的客户。报道提到，这起事件并非源于黑客入侵或勒索软件攻击，而是内部人员将不应离开银行系统的数据输入了外部工具。

问题出在内部使用失控

这起事件的特殊之处在于，风险并非来自复杂攻击，而是来自员工日常操作。随着银行和金融机构加快引入 AI 工具，不少员工会用聊天机器人或生成式平台处理文档、总结内容或分析数据，但这些服务往往依赖外部服务器。

一旦敏感信息被输入未经批准的平台，数据就可能脱离机构原有的安全控制范围。对银行业而言，这类问题尤其敏感，因为其本身就受到隐私保护和客户信息管理规则的严格约束。

银行业AI治理压力上升

文章指出，近两年美国多家监管机构已多次提示银行业关注 AI 风险管理，包括货币监理署和联邦存款保险公司等。大型科技公司和金融机构此前也曾因员工误传代码、商业资料或机密信息，临时限制生成式 AI 工具的使用。

Community Bank 事件再次显示，AI 工具进入企业日常工作的速度，可能快于内部制度更新的速度。对金融机构来说，这不仅是技术问题，还可能进一步引发合规审查、法律纠纷和声誉压力。

补充信息：Community Bank 是一家业务覆盖宾夕法尼亚州、俄亥俄州和西弗吉尼亚州的地区性银行。