与影子人工智能相关的挑战在好转之前可能会变得更糟,因为人工智能工具的实施速度比大多数组织能够保护它们的速度更快。
研究表明,近一半(49%)的人使用过生成式人工智能,其中超过三分之一的人每天都在使用它。不可否认,生成式人工智能有许多好处和用例,但在IT治理之外的组织内非法或未经批准地使用这些工具(称为影子人工智能)可能会导致重大风险。
在过去的一年里,我们看到亚马逊等科技巨头抓住了利用ChatGPT和其他人工智能工具来获取业务收益的机会。但其他企业已经禁止其使用:去年,三星在数据意外泄露后禁止员工使用ChatGPT和GoogleBard等工具。由于担心敏感信息共享,高盛和花旗集团等更多银行也限制人工智能的使用。
我们看到知名机构以这种方式做出反应,因为影子人工智能带来了未知的威胁,并在更广泛的影子IT威胁类别中为安全性和合规性提供了新的威胁向量。
据估计,三分之一的成功网络攻击来自影子IT。尽管如此,影子IT的威胁众所周知,而且一旦发现就相对容易管理。只需将其退役并继续。另一方面,影子人工智能则带来更多难以量化和管理的未知风险。这不仅仅是未经批准使用这些工具的问题。它还涉及在未经授权且目前不受监管的空间中未经批准使用公司数据。此外,使用或可能使用这些人工智能工具的范围不仅限于技术人员。
这些因素,再加上在更短的时间内完成更多工作的承诺,为更多人将公司数据输入未经授权的工具打开了大门,从而使敏感信息和知识产权面临风险。
什么是影子人工智能(ShadowAI)是一个相对较新的概念,指的是在组织内未经正式审查或批准而独立开发或采用的AI技术和系统。这种现象可能在任何规模的组织中发生,包括企业、政府机构甚至小型团队。影子AI的存在通常是因为团队或个人试图绕过正式的审批流程,以快速推进项目或解决特定的问题,但这样做可能会带来一系列的风险和挑战。
影子人工智能的风险
数据安全和隐私:未经审查的AI系统可能会处理敏感或受保护的数据,而不遵循组织的数据保护政策,从而增加数据泄露或滥用的风险。
兼容性和集成问题:独立开发的AI解决方案可能与组织现有的IT架构和系统不兼容,导致集成问题和效率低下。
质量和可靠性问题:影子AI项目可能未经过充分测试和验证,其性能和可靠性无法保证,可能导致错误决策和潜在的业务损失。
资源分散:未经批准的项目可能会消耗有限的资源,包括时间、资金和人员,这些资源本可以用于支持正式批准的项目。
法律和合规风险:使用未经审查的AI技术可能违反特定行业的法律和规定,给组织带来法律诉讼和罚款风险。
应对影子人工智能的策略
建立正式的AI治理框架:确保所有AI项目都符合组织的政策、标准和流程。
提高透明度:鼓励团队报告和分享他们的AI项目,无论它们是官方批准的还是处于探索阶段。
教育和培训:对员工进行关于数据保护、AI伦理和合规性的培训。
提供资源和支持:为那些希望探索AI解决方案的团队提供必要的资源和指导,以减少他们自行采用影子AI的动机。
实施风险评估程序:确保所有新引入的AI系统和技术都经过适当的风险评估,以识别和缓解潜在的安全和合规风险。
通过这些策略,组织可以减少影子人工智能带来的风险,同时促进技术创新和进步。
解决影子人工智能潜在威胁的4个技巧
虽然管理和监控数据活动的传统方法对于保护数据环境、确保授权数据使用和满足隐私要求至关重要,但不足以防御数据中心墙外的影子人工智能。也不是彻底禁止所有人工智能的使用,因为许多员工仍然想方设法谨慎地利用人工智能来为自己谋利。
幸运的是,IT领导者可以采取一些额外的步骤来帮助减少这些潜在的威胁。这些包括:
让员工了解未经批准使用人工智能的风险,重要的是要记住,大多数影子人工智能违规行为并非出于恶意。在从同事、朋友和家人那里得知像ChatGPT这样的流行平台如何帮助处理乏味的工作,甚至创作艺术或音乐后,员工常常很想尝试一下,看看自己能从中受益。因此,关键的第一步是对员工进行教育。
具体了解影子人工智能带来的威胁和影响:首先,将敏感或专有信息输入黑匣子人工智能的可能性。其次,缺乏对企业人工智能使用的整体了解,意味着人工智能失败的影响将是未知的。与员工建立这种程度的透明度有助于证明风险是真实的。
更新人工智能政策和流程:对于许多企业来说,全面禁止所有人工智能的使用并不是一条合理的道路,尤其是那些每天使用机器学习和大型语言增强功能的企业。但IT领导者可以更新他们的政策,以包含特定的人工智能限制以及有关如何获得批准的业务需求的指导。为了为合法用例提供授权途径,组织可以实施审查人工智能使用的流程,在此期间企业可以审查用例、评估风险并批准或拒绝。
采用端点安全工具:实际上,仅人工智能教育和更新的政策并不能阻止所有用户尝试影子人工智能技术和服务。因此,为了进一步保护自己,组织必须采用更多工具来增强对所有人工智能使用的可见性,并降低用户层面的外部风险。端点将成为控制或了解用户是否以及如何仍在使用影子人工智能的最有效的地方。因此,在许多情况下,采用端点安全工具是解决方案,可以应对远程用户和基于云的人工智能平台的最大风险。这可以以云访问安全代理(CASB)等技术以及解决端点和远程工作人员问题的其他技术的形式出现。
与人工智能供应商建立终端用户协议:终端用户许可协议(EULA)在IT领域并不罕见。这些协议也称为软件许可协议,是在终端用户和软件供应商之间实施的。当在软件级别实施时,这些协议围绕用户如何使用特定软件或应用设置参数。该协议还包括对使用该软件的限制。例如,EULA限制用户以任何有利于自己而不是供应商的方式分发或共享软件。从人工智能的角度来看,实施类似的协议可能有利于控制将哪些数据输入人工智能模型和平台。一份正式协议清楚地概述了员工在利用这些模型时可以使用和不能使用哪些类型的数据,有助于设定明确的界限和指导方针。它还开放了与人工智能供应商本身的沟通,使流程更加协作和透明。
展望未来
不幸的是,与影子人工智能相关的挑战在好转之前可能会变得更糟,因为人工智能工具的实施速度比大多数组织能够保护它们的速度更快。更重要的是,组织可能需要时间来实施正确的策略并部署所需的培训,以确保在人工智能模型中正确、安全地利用数据。然而,我们可能会看到更多的公司和解决方案出现来应对这些风险。
技术行业从未面临过如此规模的情况,组织无法清楚地了解数据的去向、接收者以及数据的使用方式。快速停用有问题的系统来解决所有影子IT问题的日子已经一去不复返了。归根结底,影子人工智能的足迹是巨大的,组织必须立即采取行动,防止更多未经批准的人工智能使用,以免为时已晚。