解決影子人工智能潛在威脅的4個技巧

與影子人工智能相關(guān)的挑戰(zhàn)在好轉(zhuǎn)之前可能會變得更糟，因為人工智能工具的實施速度比大多數(shù)組織能夠保護它們的速度更快。

研究表明，近一半(49%)的人使用過生成式人工智能，其中超過三分之一的人每天都在使用它。不可否認，生成式人工智能有許多好處和用例，但在IT治理之外的組織內(nèi)非法或未經(jīng)批準地使用這些工具（稱為影子人工智能）可能會導致重大風險。

在過去的一年里，我們看到亞馬遜等科技巨頭抓住了利用ChatGPT和其他人工智能工具來獲取業(yè)務收益的機會。但其他企業(yè)已經(jīng)禁止其使用：去年，三星在數(shù)據(jù)意外泄露后禁止員工使用ChatGPT和GoogleBard等工具。由于擔心敏感信息共享，高盛和花旗集團等更多銀行也限制人工智能的使用。

我們看到知名機構(gòu)以這種方式做出反應，因為影子人工智能帶來了未知的威脅，并在更廣泛的影子IT威脅類別中為安全性和合規(guī)性提供了新的威脅向量。

據(jù)估計，三分之一的成功網(wǎng)絡攻擊來自影子IT。盡管如此，影子IT的威脅眾所周知，而且一旦發(fā)現(xiàn)就相對容易管理。只需將其退役并繼續(xù)。另一方面，影子人工智能則帶來更多難以量化和管理的未知風險。這不僅僅是未經(jīng)批準使用這些工具的問題。它還涉及在未經(jīng)授權(quán)且目前不受監(jiān)管的空間中未經(jīng)批準使用公司數(shù)據(jù)。此外，使用或可能使用這些人工智能工具的范圍不僅限于技術(shù)人員。

這些因素，再加上在更短的時間內(nèi)完成更多工作的承諾，為更多人將公司數(shù)據(jù)輸入未經(jīng)授權(quán)的工具打開了大門，從而使敏感信息和知識產(chǎn)權(quán)面臨風險。

什么是影子人工智能（ShadowAI）是一個相對較新的概念，指的是在組織內(nèi)未經(jīng)正式審查或批準而獨立開發(fā)或采用的AI技術(shù)和系統(tǒng)。這種現(xiàn)象可能在任何規(guī)模的組織中發(fā)生，包括企業(yè)、政府機構(gòu)甚至小型團隊。影子AI的存在通常是因為團隊或個人試圖繞過正式的審批流程，以快速推進項目或解決特定的問題，但這樣做可能會帶來一系列的風險和挑戰(zhàn)。

影子人工智能的風險

數(shù)據(jù)安全和隱私：未經(jīng)審查的AI系統(tǒng)可能會處理敏感或受保護的數(shù)據(jù)，而不遵循組織的數(shù)據(jù)保護政策，從而增加數(shù)據(jù)泄露或濫用的風險。

兼容性和集成問題：獨立開發(fā)的AI解決方案可能與組織現(xiàn)有的IT架構(gòu)和系統(tǒng)不兼容，導致集成問題和效率低下。

質(zhì)量和可靠性問題：影子AI項目可能未經(jīng)過充分測試和驗證，其性能和可靠性無法保證，可能導致錯誤決策和潛在的業(yè)務損失。

資源分散：未經(jīng)批準的項目可能會消耗有限的資源，包括時間、資金和人員，這些資源本可以用于支持正式批準的項目。

法律和合規(guī)風險：使用未經(jīng)審查的AI技術(shù)可能違反特定行業(yè)的法律和規(guī)定，給組織帶來法律訴訟和罰款風險。

應對影子人工智能的策略

建立正式的AI治理框架：確保所有AI項目都符合組織的政策、標準和流程。

提高透明度：鼓勵團隊報告和分享他們的AI項目，無論它們是官方批準的還是處于探索階段。

教育和培訓：對員工進行關(guān)于數(shù)據(jù)保護、AI倫理和合規(guī)性的培訓。

提供資源和支持：為那些希望探索AI解決方案的團隊提供必要的資源和指導，以減少他們自行采用影子AI的動機。

實施風險評估程序：確保所有新引入的AI系統(tǒng)和技術(shù)都經(jīng)過適當?shù)娘L險評估，以識別和緩解潛在的安全和合規(guī)風險。

通過這些策略，組織可以減少影子人工智能帶來的風險，同時促進技術(shù)創(chuàng)新和進步。

解決影子人工智能潛在威脅的4個技巧

雖然管理和監(jiān)控數(shù)據(jù)活動的傳統(tǒng)方法對于保護數(shù)據(jù)環(huán)境、確保授權(quán)數(shù)據(jù)使用和滿足隱私要求至關(guān)重要，但不足以防御數(shù)據(jù)中心墻外的影子人工智能。也不是徹底禁止所有人工智能的使用，因為許多員工仍然想方設法謹慎地利用人工智能來為自己謀利。

幸運的是，IT領(lǐng)導者可以采取一些額外的步驟來幫助減少這些潛在的威脅。這些包括:

讓員工了解未經(jīng)批準使用人工智能的風險，重要的是要記住，大多數(shù)影子人工智能違規(guī)行為并非出于惡意。在從同事、朋友和家人那里得知像ChatGPT這樣的流行平臺如何幫助處理乏味的工作，甚至創(chuàng)作藝術(shù)或音樂后，員工常常很想嘗試一下，看看自己能從中受益。因此，關(guān)鍵的第一步是對員工進行教育。

具體了解影子人工智能帶來的威脅和影響：首先，將敏感或?qū)Ｓ行畔⑤斎牒谙蛔尤斯ぶ悄艿目赡苄?。其次，缺乏對企業(yè)人工智能使用的整體了解，意味著人工智能失敗的影響將是未知的。與員工建立這種程度的透明度有助于證明風險是真實的。

更新人工智能政策和流程：對于許多企業(yè)來說，全面禁止所有人工智能的使用并不是一條合理的道路，尤其是那些每天使用機器學習和大型語言增強功能的企業(yè)。但IT領(lǐng)導者可以更新他們的政策，以包含特定的人工智能限制以及有關(guān)如何獲得批準的業(yè)務需求的指導。為了為合法用例提供授權(quán)途徑，組織可以實施審查人工智能使用的流程，在此期間企業(yè)可以審查用例、評估風險并批準或拒絕。

采用端點安全工具：實際上，僅人工智能教育和更新的政策并不能阻止所有用戶嘗試影子人工智能技術(shù)和服務。因此，為了進一步保護自己，組織必須采用更多工具來增強對所有人工智能使用的可見性，并降低用戶層面的外部風險。端點將成為控制或了解用戶是否以及如何仍在使用影子人工智能的最有效的地方。因此，在許多情況下，采用端點安全工具是解決方案，可以應對遠程用戶和基于云的人工智能平臺的最大風險。這可以以云訪問安全代理(CASB)等技術(shù)以及解決端點和遠程工作人員問題的其他技術(shù)的形式出現(xiàn)。

與人工智能供應商建立終端用戶協(xié)議：終端用戶許可協(xié)議(EULA)在IT領(lǐng)域并不罕見。這些協(xié)議也稱為軟件許可協(xié)議，是在終端用戶和軟件供應商之間實施的。當在軟件級別實施時，這些協(xié)議圍繞用戶如何使用特定軟件或應用設置參數(shù)。該協(xié)議還包括對使用該軟件的限制。例如，EULA限制用戶以任何有利于自己而不是供應商的方式分發(fā)或共享軟件。從人工智能的角度來看，實施類似的協(xié)議可能有利于控制將哪些數(shù)據(jù)輸入人工智能模型和平臺。一份正式協(xié)議清楚地概述了員工在利用這些模型時可以使用和不能使用哪些類型的數(shù)據(jù)，有助于設定明確的界限和指導方針。它還開放了與人工智能供應商本身的溝通，使流程更加協(xié)作和透明。

展望未來

不幸的是，與影子人工智能相關(guān)的挑戰(zhàn)在好轉(zhuǎn)之前可能會變得更糟，因為人工智能工具的實施速度比大多數(shù)組織能夠保護它們的速度更快。更重要的是，組織可能需要時間來實施正確的策略并部署所需的培訓，以確保在人工智能模型中正確、安全地利用數(shù)據(jù)。然而，我們可能會看到更多的公司和解決方案出現(xiàn)來應對這些風險。

技術(shù)行業(yè)從未面臨過如此規(guī)模的情況，組織無法清楚地了解數(shù)據(jù)的去向、接收者以及數(shù)據(jù)的使用方式?？焖偻Ｓ糜袉栴}的系統(tǒng)來解決所有影子IT問題的日子已經(jīng)一去不復返了。歸根結(jié)底，影子人工智能的足跡是巨大的，組織必須立即采取行動，防止更多未經(jīng)批準的人工智能使用，以免為時已晚。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。