影子AI的應用范圍廣泛,從自動化報告生成到營銷自動化、數據可視化,再到高級數據分析,幾乎無所不能。然而,這些應用大多未經任何防護措施,就像一顆顆“定時炸彈”,隨時可能引發數據泄露、違規行為,甚至損害企業的聲譽。
“我們每天都能發現50個新的AI應用,并且已經記錄了超過12000個。”Prompt Security的首席執行官伊塔馬爾·戈蘭在接受采訪時透露,“其中約40%默認使用你提供的任何數據進行訓練,這意味著你的知識產權可能會成為它們模型的一部分。”
那么,為何影子AI會如此泛濫呢?原因其實很簡單:員工們面臨著日益增多且愈發復雜的工作、長期的時間短缺和更緊迫的截止日期。在巨大的壓力下,他們選擇了影子AI作為“救命稻草”,以在更少的時間內提高生產力。
然而,這場“無人預見的虛擬海嘯”卻給企業帶來了前所未有的挑戰。戈蘭警告說:“假裝AI不存在并不能保護你——這只會讓你措手不及。”事實上,許多企業對自己的影子AI使用情況一無所知,直到發生了安全事件才恍然大悟。
影子AI之所以如此危險,是因為它們往往在處理企業數據時缺乏必要的合規和風險審查。一旦專有數據進入公共領域模型,任何組織都將面臨更大的挑戰,尤其是對于那些有重大合規和監管要求的上市公司來說。
那么,企業該如何應對影子AI的挑戰呢?WinWire的首席技術官維尼特·阿羅拉提出了一套全面的監督和安全創新藍圖。他強調,企業不能簡單地禁止AI的使用,而應該通過定義穩健的安全策略,引導員工安全地使用AI技術。
阿羅拉的藍圖包括以下幾個關鍵見解:
1.影子AI肆虐的根源:現有的IT和安全框架并未設計為能夠檢測影子AI。傳統的IT管理工具缺乏保持業務安全所需的合規性和治理可見性,從而讓影子AI有機可乘。
2.目標設定:企業應在促進創新的同時,不失去對AI的控制。員工并非有意為惡,他們只是面臨著巨大的壓力。因此,企業應提供安全的AI選項,引導員工安全地使用AI技術。
3.集中化AI治理:與其他IT治理實踐一樣,集中化AI治理是管理影子AI應用泛濫的關鍵。統一監督有助于防止未知應用悄悄泄露敏感數據。
4.持續檢測與管理:發現隱藏的影子AI應用是最大的挑戰。企業需要通過網絡流量監控、數據流分析、軟件資產管理等多種手段,持續檢測、監控和管理影子AI。
5.平衡靈活性與安全性:企業不能扼殺AI的采用,但應引導其安全發展。提供安全的AI選項可以確保員工不會受到誘惑而偷偷行事。
基于這些見解,阿羅拉和戈蘭建議企業遵循以下七項影子AI治理指南:
1.進行正式的影子AI審計:以全面的AI審計為基礎,建立初始基線,根除未經授權的AI使用。
2.設立負責AI的辦公室:集中IT、安全、法律和合規部門的政策制定、供應商審查和風險評估,確保AI使用的合規性和安全性。
3.部署AI感知安全控制:傳統工具會遺漏基于文本的漏洞利用。企業應采用針對AI的DLP、實時監控和自動化手段,標記可疑提示。
4.建立集中的AI清單和目錄:經過審查的批準AI工具列表可以減少臨時服務的吸引力。當IT和安全部門主動頻繁更新列表時,創建影子AI應用的動機就會減少。
5.強制員工培訓:教育員工安全使用AI以及潛在的數據處理不當風險。如果員工不理解政策,那么政策就毫無價值。
6.與治理、風險和合規(GRC)以及風險管理相集成:AI監督必須與受監管行業至關重要的治理、風險和合規流程相聯系。
7.認識到一刀切的禁令會失敗:企業應尋找快速提供合法AI應用的新方法,避免一刀切的禁令導致更多影子AI應用的創建和使用。
總之,影子AI是一把雙刃劍。它既能提升企業的生產效率,也可能帶來嚴重的安全風險。因此,企業需要采取全面的治理策略,結合集中化AI治理、用戶培訓和主動監控等手段,確保在保障安全的前提下充分釋放AI的潛力。只有這樣,企業才能在數字化轉型的浪潮中乘風破浪,穩健前行。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號