影子IT不再只是處理某個員工特定需求的SaaS應用程序或是銷售人員為了隨時訪問工作文件偷偷使用的個人黑莓手機。如今,影子IT更可能涉及AI,因為員工在未經IT部門知曉或許可的情況下測試各種AI工具。
根據數據保護軟件制造商Cyberhaven的研究,影子AI的數量驚人。根據其2024年春季的AI采用和風險報告,74%的ChatGPT在工作中的使用是通過非公司賬戶進行的,94%的Google Gemini使用是通過非公司賬戶進行的,Bard的使用率則達到了96%。結果是,未經授權的AI正在吞噬公司的數據,因為員工將法律文件、人力資源數據、源代碼和其他敏感的公司信息輸入到未經IT部門批準的AI工具中。
研究公司Gartner的副總裁分析師Arun Chandrasekaran表示,影子AI幾乎是不可避免的。員工對AI工具充滿好奇,認為它們可以減輕繁重的工作并提高生產力。有些人想要掌握這些工具的使用,以避免被技術淘汰,還有一些人已經習慣于在個人任務中使用AI,現在希望在工作中也能使用這項技術。
會出現什么問題?
這些理由似乎合理,Chandrasekaran承認,但它們并不能證明影子AI給企業帶來的風險是合理的。
“大多數企業希望避免影子AI,因為風險巨大。”他說。
例如,Chandrasekaran說,很有可能會暴露敏感數據,并且專有數據可能會幫助AI模型(特別是開源模型)變得更智能,從而幫助可能使用相同模型的競爭對手。
與此同時,許多員工缺乏有效使用AI所需的技能,這進一步提高了風險水平。他們可能沒有足夠的技能向AI模型提供正確的數據以生成高質量的輸出,或者沒有足夠的技能輸入正確的提示以產生最佳的輸出,也無法驗證輸出的準確性。例如,員工可以使用GenAI創建計算機代碼,但如果他們不理解代碼的語法或邏輯,就無法有效檢查代碼中的問題。“這可能是相當有害的。”Chandrasekaran說。
與此同時,影子AI可能會在員工之間引發混亂,因為秘密使用AI的員工可能會比那些沒有引入這種工具的員工擁有不公平的優勢。“雖然這還不是一個主導趨勢,但這是我們在與企業領導者的討論中聽到的一個擔憂。”Chandrasekaran說。
影子AI還可能引發法律問題。例如,未經批準的AI可能非法訪問了他人的知識產權,使企業需要為侵權行為負責,它可能引入偏見的結果,違反反歧視法和公司政策,或者它可能產生錯誤的輸出并傳遞給客戶和客戶,這些情況都可能給企業帶來責任,使其需要對造成的任何違反或損害負責。
事實上,當AI系統失敗時,企業已經在面臨后果。舉個例子:2024年2月,加拿大一個法庭裁定,加拿大航空公司因其AI聊天機器人向消費者提供了錯誤信息而需承擔責任。
在該案件中,聊天機器人是一種經過批準的技術,IT領導者表示,這恰恰說明即使是官方的技術也存在很高的風險,為什么還要通過放任影子IT不受控制來增加更多風險呢?
防止災難的10種方法
就像過去的影子IT一樣,沒有一種一勞永逸的解決方案可以防止未經批準的AI技術的使用或其可能帶來的后果。
然而,CIO可以采取各種策略來幫助消除未經批準的AI的使用,防止災難,并在出現問題時限制影響范圍。以下是IT領導者分享的CIO可以采取的10種方法。
1. 制定AI使用規范
第一步是與其他高管合作制定AI使用規范,明確說明何時、何地以及如何使用AI,并重申企業對未經IT批準的技術使用的整體禁止,Wells Fargo隱私合規執行董事兼非營利治理協會ISACA新興趨勢工作組成員David Kuo說,這聽起來很明顯,但大多數企業尚未制定這一規范。根據ISACA在2024年3月對3270名數字信任專業人士的調查,只有15%的企業有AI政策(即使70%的受訪者表示他們的員工使用AI,60%的受訪者表示員工使用GenAI)。
2. 提高對風險和后果的認識
Kuo承認第1步的局限性:“你可以制定一個使用規范,但人們總會違反規則。”所以要警告他們可能發生的事情。
“必須在整個企業內提高對AI風險的認識,CIO需要更積極地解釋風險并在整個組織內傳播這些風險的認識。”全球專業服務和解決方案公司Genpact的AI/ML服務全球負責人Sreekanth Menon說。概述與AI相關的風險以及未經批準使用該技術所帶來的更高風險。
Kuo補充道:“這不能是一次性的培訓,也不能只是說‘不要這樣做’。你必須教育你的員工。告訴他們可能會遇到的問題以及他們不當行為的后果。”
3. 管理預期
盡管AI的采用率在迅速上升,但研究表明,企業領導者對利用智能技術的信心在下降,領導力咨詢公司Russell Reynolds Associates的全球AI實踐負責人Fawad Bajwa說。Bajwa認為,信心下降部分是由于對AI的期望與實際能力之間的不匹配。
他建議CIO們教育員工在哪些地方、何時、如何以及在多大程度上AI可以提供價值。
“在企業內對你想要實現的目標達成一致將有助于校準信心。”他說,這反過來可以阻止員工自行追求AI解決方案,希望找到解決所有問題的靈丹妙藥。
4. 審查并加強訪問控制
數字化轉型解決方案公司UST的首席戰略官兼CIO Krishna Prasad表示,圍繞AI的最大風險之一是數據泄露。
當然,這種風險在計劃好的AI部署中也存在,但在這些情況下,CIO可以與業務、數據和安全同事合作來減輕風險,然而,當員工在沒有他們參與的情況下部署AI時,他們沒有同樣的風險評估和減輕機會,從而增加了敏感數據可能被泄露的可能性。
為了防止這種情況的發生,Prasad建議技術、數據和安全團隊審查其數據訪問政策和控制措施,以及整體的數據丟失防護計劃和數據監控能力,以確保它們足夠強大,能夠防止未經批準的AI部署造成的數據泄露。
5. 阻止訪問AI工具
Kuo表示,另一個可以幫助的方法是:將AI工具列入黑名單,如OpenAI的ChatGPT,并使用防火墻規則防止員工使用公司系統訪問這些工具。制定防火墻規則,防止公司系統訪問這些工具。
6. 尋求盟友的支持
Kuo表示,CIO不應是唯一努力防止影子AI的人,他們應尋求C級同事的支持——所有人都在保護企業免受負面影響中有一份責任,并讓他們教育員工不要使用違反官方IT采購和AI使用政策的AI工具。
“更好的保護需要集體努力。”Kuo補充道。
7. 創建推動企業優先事項和戰略的IT AI路線圖
員工通常引入他們認為可以幫助他們更好地完成工作的技術,而不是為了傷害他們的雇主。因此,CIO可以通過提供最能幫助員工實現其角色優先事項的AI能力來減少對未經批準AI的需求。
Bajwa表示,CIO應將此視為通過制定不僅與業務優先事項一致而且實際上塑造戰略的AI路線圖,引領其企業走向未來成功的機會。“這是一個重新定義業務的時刻。”Bajwa說。
8. 不要成為“拒絕部門”
執行顧問表示,CIO(及其C級同事)不能拖延AI的采用,因為這會損害企業的競爭力,并增加影子AI的可能性,然而,根據Genpact和HFS Research的調查,這種情況在很多地方確實在某種程度上發生。2024年5月的報告顯示,45%的企業對GenAI采取“觀望”態度,23%是對GenAI持懷疑態度的“否定者”。
“今天遏制AI的使用完全適得其反。”Prasad說。他表示,CIO必須啟用企業內已經使用的平臺提供的AI能力,培訓員工使用和優化這些能力,并加速采用預計能帶來最佳ROI的AI工具,以向各級員工保證IT致力于一個AI驅動的未來。
9. 授權員工按他們的需求使用AI
ISACA的3月調查發現,80%的人認為許多工作將因AI而發生變化。如果是這種情況,就給員工提供使用AI的工具,以改進他們的工作,EY咨詢公司的全球數據和AI領導Beatriz Sanz Sáiz說。
她建議CIO為整個企業(不僅僅是IT部門)的員工提供工具和培訓,讓他們能夠創建或與IT部門共同創建自己的智能助手。她還建議CIO構建一個靈活的技術棧,以便快速支持和啟用此類工作,并在員工需求出現時迅速轉向新的大語言模型(LLM)和其他智能組件——從而使員工更有可能求助于IT(而不是外部來源)來構建解決方案。
10. 對新穎、創新的用途持開放態度
AI并不是新鮮事物,但其迅速上升的采用率揭示了更多的問題和潛力。想要幫助企業利用這些潛力(而不是所有問題)的CIO應對使用AI的新方法持開放態度,以便員工不會覺得他們需要獨自解決問題。
Bajwa提供了一個關于AI幻覺的例子:是的,幻覺幾乎普遍被認為是負面的,但Bajwa指出,幻覺在如營銷等創意領域可能是有用的。
“幻覺可以提出一些我們之前從未想到的創意。”他說。
對這種潛力持開放態度的CIO,并制定合適的保護措施,如規定需要何種程度的人類監督,更有可能讓IT參與到這樣的AI創新中,而不是被排除在外。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。