和所有与技术相关的事情一样,影子IT也在不断演变。
影子IT不再只是处理某个员工特定需求的SaaS应用程序或是销售人员为了随时访问工作文件偷偷使用的个人黑莓手机。如今,影子IT更可能涉及AI,因为员工在未经IT部门知晓或许可的情况下测试各种AI工具。
根据数据保护软件制造商Cyberhaven的研究,影子AI的数量惊人。根据其2024年春季的AI采用和风险报告,74%的ChatGPT在工作中的使用是通过非公司账户进行的,94%的Google Gemini使用是通过非公司账户进行的,Bard的使用率则达到了96%。结果是,未经授权的AI正在吞噬公司的数据,因为员工将法律文件、人力资源数据、源代码和其他敏感的公司信息输入到未经IT部门批准的AI工具中。
研究公司Gartner的副总裁分析师Arun Chandrasekaran表示,影子AI几乎是不可避免的。员工对AI工具充满好奇,认为它们可以减轻繁重的工作并提高生产力。有些人想要掌握这些工具的使用,以避免被技术淘汰,还有一些人已经习惯于在个人任务中使用AI,现在希望在工作中也能使用这项技术。
会出现什么问题?
这些理由似乎合理,Chandrasekaran承认,但它们并不能证明影子AI给企业带来的风险是合理的。
“大多数企业希望避免影子AI,因为风险巨大。”他说。
例如,Chandrasekaran说,很有可能会暴露敏感数据,并且专有数据可能会帮助AI模型(特别是开源模型)变得更智能,从而帮助可能使用相同模型的竞争对手。
与此同时,许多员工缺乏有效使用AI所需的技能,这进一步提高了风险水平。他们可能没有足够的技能向AI模型提供正确的数据以生成高质量的输出,或者没有足够的技能输入正确的提示以产生最佳的输出,也无法验证输出的准确性。例如,员工可以使用GenAI创建计算机代码,但如果他们不理解代码的语法或逻辑,就无法有效检查代码中的问题。“这可能是相当有害的。”Chandrasekaran说。
与此同时,影子AI可能会在员工之间引发混乱,因为秘密使用AI的员工可能会比那些没有引入这种工具的员工拥有不公平的优势。“虽然这还不是一个主导趋势,但这是我们在与企业领导者的讨论中听到的一个担忧。”Chandrasekaran说。
影子AI还可能引发法律问题。例如,未经批准的AI可能非法访问了他人的知识产权,使企业需要为侵权行为负责,它可能引入偏见的结果,违反反歧视法和公司政策,或者它可能产生错误的输出并传递给客户和客户,这些情况都可能给企业带来责任,使其需要对造成的任何违反或损害负责。
事实上,当AI系统失败时,企业已经在面临后果。举个例子:2024年2月,加拿大一个法庭裁定,加拿大航空公司因其AI聊天机器人向消费者提供了错误信息而需承担责任。
在该案件中,聊天机器人是一种经过批准的技术,IT领导者表示,这恰恰说明即使是官方的技术也存在很高的风险,为什么还要通过放任影子IT不受控制来增加更多风险呢?
防止灾难的10种方法
就像过去的影子IT一样,没有一种一劳永逸的解决方案可以防止未经批准的AI技术的使用或其可能带来的后果。
然而,CIO可以采取各种策略来帮助消除未经批准的AI的使用,防止灾难,并在出现问题时限制影响范围。以下是IT领导者分享的CIO可以采取的10种方法。
1. 制定AI使用规范
第一步是与其他高管合作制定AI使用规范,明确说明何时、何地以及如何使用AI,并重申企业对未经IT批准的技术使用的整体禁止,Wells Fargo隐私合规执行董事兼非营利治理协会ISACA新兴趋势工作组成员David Kuo说,这听起来很明显,但大多数企业尚未制定这一规范。根据ISACA在2024年3月对3270名数字信任专业人士的调查,只有15%的企业有AI政策(即使70%的受访者表示他们的员工使用AI,60%的受访者表示员工使用GenAI)。
2. 提高对风险和后果的认识
Kuo承认第1步的局限性:“你可以制定一个使用规范,但人们总会违反规则。”所以要警告他们可能发生的事情。
“必须在整个企业内提高对AI风险的认识,CIO需要更积极地解释风险并在整个组织内传播这些风险的认识。”全球专业服务和解决方案公司Genpact的AI/ML服务全球负责人Sreekanth Menon说。概述与AI相关的风险以及未经批准使用该技术所带来的更高风险。
Kuo补充道:“这不能是一次性的培训,也不能只是说‘不要这样做’。你必须教育你的员工。告诉他们可能会遇到的问题以及他们不当行为的后果。”
3. 管理预期
尽管AI的采用率在迅速上升,但研究表明,企业领导者对利用智能技术的信心在下降,领导力咨询公司Russell Reynolds Associates的全球AI实践负责人Fawad Bajwa说。Bajwa认为,信心下降部分是由于对AI的期望与实际能力之间的不匹配。
他建议CIO们教育员工在哪些地方、何时、如何以及在多大程度上AI可以提供价值。
“在企业内对你想要实现的目标达成一致将有助于校准信心。”他说,这反过来可以阻止员工自行追求AI解决方案,希望找到解决所有问题的灵丹妙药。
4. 审查并加强访问控制
数字化转型解决方案公司UST的首席战略官兼CIO Krishna Prasad表示,围绕AI的最大风险之一是数据泄露。
当然,这种风险在计划好的AI部署中也存在,但在这些情况下,CIO可以与业务、数据和安全同事合作来减轻风险,然而,当员工在没有他们参与的情况下部署AI时,他们没有同样的风险评估和减轻机会,从而增加了敏感数据可能被泄露的可能性。
为了防止这种情况的发生,Prasad建议技术、数据和安全团队审查其数据访问政策和控制措施,以及整体的数据丢失防护计划和数据监控能力,以确保它们足够强大,能够防止未经批准的AI部署造成的数据泄露。
5. 阻止访问AI工具
Kuo表示,另一个可以帮助的方法是:将AI工具列入黑名单,如OpenAI的ChatGPT,并使用防火墙规则防止员工使用公司系统访问这些工具。制定防火墙规则,防止公司系统访问这些工具。
6. 寻求盟友的支持
Kuo表示,CIO不应是唯一努力防止影子AI的人,他们应寻求C级同事的支持——所有人都在保护企业免受负面影响中有一份责任,并让他们教育员工不要使用违反官方IT采购和AI使用政策的AI工具。
“更好的保护需要集体努力。”Kuo补充道。
7. 创建推动企业优先事项和战略的IT AI路线图
员工通常引入他们认为可以帮助他们更好地完成工作的技术,而不是为了伤害他们的雇主。因此,CIO可以通过提供最能帮助员工实现其角色优先事项的AI能力来减少对未经批准AI的需求。
Bajwa表示,CIO应将此视为通过制定不仅与业务优先事项一致而且实际上塑造战略的AI路线图,引领其企业走向未来成功的机会。“这是一个重新定义业务的时刻。”Bajwa说。
8. 不要成为“拒绝部门”
执行顾问表示,CIO(及其C级同事)不能拖延AI的采用,因为这会损害企业的竞争力,并增加影子AI的可能性,然而,根据Genpact和HFS Research的调查,这种情况在很多地方确实在某种程度上发生。2024年5月的报告显示,45%的企业对GenAI采取“观望”态度,23%是对GenAI持怀疑态度的“否定者”。
“今天遏制AI的使用完全适得其反。”Prasad说。他表示,CIO必须启用企业内已经使用的平台提供的AI能力,培训员工使用和优化这些能力,并加速采用预计能带来最佳ROI的AI工具,以向各级员工保证IT致力于一个AI驱动的未来。
9. 授权员工按他们的需求使用AI
ISACA的3月调查发现,80%的人认为许多工作将因AI而发生变化。如果是这种情况,就给员工提供使用AI的工具,以改进他们的工作,EY咨询公司的全球数据和AI领导Beatriz Sanz Sáiz说。
她建议CIO为整个企业(不仅仅是IT部门)的员工提供工具和培训,让他们能够创建或与IT部门共同创建自己的智能助手。她还建议CIO构建一个灵活的技术栈,以便快速支持和启用此类工作,并在员工需求出现时迅速转向新的大语言模型(LLM)和其他智能组件——从而使员工更有可能求助于IT(而不是外部来源)来构建解决方案。
10. 对新颖、创新的用途持开放态度
AI并不是新鲜事物,但其迅速上升的采用率揭示了更多的问题和潜力。想要帮助企业利用这些潜力(而不是所有问题)的CIO应对使用AI的新方法持开放态度,以便员工不会觉得他们需要独自解决问题。
Bajwa提供了一个关于AI幻觉的例子:是的,幻觉几乎普遍被认为是负面的,但Bajwa指出,幻觉在如营销等创意领域可能是有用的。
“幻觉可以提出一些我们之前从未想到的创意。”他说。
对这种潜力持开放态度的CIO,并制定合适的保护措施,如规定需要何种程度的人类监督,更有可能让IT参与到这样的AI创新中,而不是被排除在外。