Bergabunglah dengan buletin harian dan mingguan kami untuk pembaruan terbaru dan konten eksklusif tentang liputan AI terkemuka di industri. Pelajari lebih lanjut
Para pemimpin keamanan dan CISO menemukan bahwa segerombolan aplikasi Shadow AI yang semakin besar telah mengkompromikan jaringan mereka, dalam beberapa kasus selama lebih dari setahun.
Mereka bukan pedagang penyerang yang khas. Mereka adalah karya karyawan yang dapat dipercaya yang membuat aplikasi AI tanpa IT dan pengawasan atau persetujuan departemen keamanan, aplikasi yang dirancang untuk melakukan segalanya mulai dari mengotomatiskan laporan yang secara manual dibuat di masa lalu hingga menggunakan AI generatif (Genai) hingga merampingkan otomatisasi pemasaran, visualisasi dan lanjutan Analisis Data. Didukung oleh data hak milik perusahaan, aplikasi Shadow AI melatih model domain publik dengan data pribadi.
Apa bayangan AI, dan mengapa itu tumbuh?
Berbagai macam aplikasi dan alat AI yang dibuat dengan cara ini jarang, jika pernah, memiliki pagar pembatas. Shadow AI memperkenalkan risiko yang signifikan, termasuk pelanggaran data yang tidak disengaja, pelanggaran kepatuhan dan kerusakan reputasi.
Ini adalah steroid digital yang memungkinkan mereka yang menggunakannya untuk mendapatkan pekerjaan yang lebih rinci dilakukan dalam waktu yang lebih singkat, sering mengalahkan tenggat waktu. Seluruh departemen memiliki aplikasi bayangan AI yang mereka gunakan untuk memeras lebih banyak produktivitas menjadi lebih sedikit jam. “Saya melihat ini setiap minggu,” Vineet Arora, CTO di Winwire, baru -baru ini mengatakan kepada VentureBeat. “Departemen melompat pada solusi AI yang tidak disetujui karena manfaat langsungnya terlalu menggoda untuk diabaikan.”
“Kami melihat 50 aplikasi AI baru sehari, dan kami telah membuat katalog lebih dari 12.000,” kata Itamar Golan, CEO dan salah satu pendiri Prompt Security, selama wawancara baru -baru ini dengan VentureBeat. “Sekitar 40% dari default ini untuk melatih data apa pun yang Anda makan, yang berarti kekayaan intelektual Anda dapat menjadi bagian dari model mereka.”
Mayoritas karyawan yang membuat aplikasi AI Shadow tidak bertindak jahat atau mencoba membahayakan perusahaan. Mereka bergulat dengan semakin banyak pekerjaan yang semakin kompleks, kekurangan waktu kronis, dan tenggat waktu yang lebih ketat.
Seperti yang dikatakan Golan, “Ini seperti doping di Tour de France. Orang menginginkan keunggulan tanpa menyadari konsekuensi jangka panjang. “
Tsunami virtual yang tidak ada yang melihat datang
“Anda tidak bisa menghentikan tsunami, tetapi Anda dapat membangun perahu,” kata Golan kepada VentureBeat. “Berpura -pura AI tidak ada tidak melindungimu – itu membuatmu buta.” Sebagai contoh, kata Golan, seorang kepala keamanan perusahaan keuangan New York percaya kurang dari 10 alat AI yang digunakan. Audit 10 hari menemukan 65 solusi yang tidak sah, sebagian besar tanpa lisensi formal.
Arora setuju, dengan mengatakan, “Data menegaskan bahwa begitu karyawan telah memberikan sanksi jalur AI dan kebijakan yang jelas, mereka tidak lagi merasa terdorong untuk menggunakan alat acak secara diam -diam. Itu mengurangi risiko dan gesekan. ” Arora dan Golan menekankan untuk melakukan ventureBeat seberapa cepat jumlah aplikasi AI bayangan yang mereka temukan di perusahaan pelanggan mereka meningkat.
Lebih lanjut mendukung klaim mereka adalah hasil dari survei AG perangkat lunak baru -baru ini yang menemukan 75% pekerja pengetahuan sudah menggunakan alat AI dan 46% mengatakan mereka tidak akan menyerah bahkan jika dilarang oleh majikan mereka. Mayoritas aplikasi Shadow AI mengandalkan Openai's Chatgpt dan Google Gemini.
Sejak 2023, ChatGPT telah memungkinkan pengguna untuk membuat bot yang disesuaikan dalam hitungan menit. VentureBeat mengetahui bahwa manajer khas yang bertanggung jawab atas penjualan, pasar, dan peramalan harga, rata -rata, memiliki 22 bot yang disesuaikan di ChatGPT hari ini.
Dapat dimengerti bagaimana Shadow AI berkembang biak ketika 73,8% dari akun chatgpt adalah yang non-perusahaan yang tidak memiliki kontrol keamanan dan privasi dari implementasi yang lebih aman. Persentase bahkan lebih tinggi untuk Gemini (94,4%). Dalam survei Salesforce, lebih dari setengah (55%) karyawan global yang disurvei mengaku menggunakan alat AI yang tidak disetujui di tempat kerja.
“Ini bukan satu pun lompatan yang bisa Anda tambal,” Golan menjelaskan. “Ini adalah gelombang fitur yang terus tumbuh yang diluncurkan di luar pengawasannya.” Ribuan fitur AI tertanam di seluruh produk SaaS arus utama sedang dimodifikasi untuk dilatih, menyimpan, dan membocorkan data perusahaan tanpa ada orang di dalamnya atau mengetahui keamanan.
Shadow AI perlahan -lahan membongkar batas keamanan bisnis. Banyak yang tidak memperhatikan karena mereka buta terhadap gelombang bayangan yang digunakan AI dalam organisasi mereka.
Mengapa bayangan AI sangat berbahaya
“Jika Anda menempelkan kode sumber atau data keuangan, itu secara efektif hidup di dalam model itu,” Golan memperingatkan. Arora dan Golan menemukan perusahaan melatih model publik default menggunakan aplikasi shadow ai untuk berbagai tugas kompleks.
Setelah data eksklusif masuk ke model domain publik, tantangan yang lebih signifikan dimulai untuk organisasi mana pun. Ini sangat menantang bagi organisasi yang dipegang publik yang sering memiliki persyaratan kepatuhan dan peraturan yang signifikan. Golan menunjuk ke UU AI UE yang akan datang, yang “dapat mengerdilkan bahkan GDPR dalam denda,” dan memperingatkan yang mengatur sektor -sektor di AS mengambil risiko hukuman jika data pribadi mengalir ke alat AI yang tidak disetujui.
Ada juga risiko kerentanan runtime dan serangan injeksi yang cepat bahwa sistem dan platform dan platform pencegahan kerugian data (DLP) tradisional tidak dirancang untuk mendeteksi dan berhenti.
Menerangi bayangan AI: Cetak biru Arora untuk pengawasan holistik dan inovasi yang aman
Arora menemukan seluruh unit bisnis yang menggunakan alat SaaS yang digerakkan AI di bawah radar. Dengan otoritas anggaran independen untuk beberapa tim line-of-usaha, unit bisnis mengerahkan AI dengan cepat dan seringkali tanpa pendaftaran keamanan.
“Tiba-tiba, Anda memiliki lusinan aplikasi AI yang kurang dikenal yang memproses data perusahaan tanpa satu pun kepatuhan atau tinjauan risiko,” kata Arora kepada VentureBeat.
Wawasan utama dari cetak biru Arora termasuk yang berikut:
- Bayangan AI berkembang karena kerangka kerja yang ada dan keamanan tidak dirancang untuk mendeteksinya. Arora mengamati bahwa kerangka kerja tradisional itu membiarkan bayangan AI berkembang dengan tidak memiliki visibilitas menjadi kepatuhan dan tata kelola yang diperlukan untuk menjaga bisnis tetap aman. “Sebagian besar alat dan proses manajemen TI tradisional tidak memiliki visibilitas dan kontrol yang komprehensif atas aplikasi AI,” Arora mengamati.
- Tujuannya: Mengaktifkan inovasi tanpa kehilangan kendali. Arora dengan cepat menunjukkan bahwa karyawan tidak sengaja berbahaya. Mereka hanya menghadapi kekurangan waktu kronis, meningkatnya beban kerja dan tenggat waktu yang lebih ketat. AI terbukti menjadi katalisator yang luar biasa untuk inovasi dan tidak boleh dilarang secara langsung. “Sangat penting bagi organisasi untuk mendefinisikan strategi dengan keamanan yang kuat sambil memungkinkan karyawan untuk menggunakan teknologi AI secara efektif,” jelas Arora. “Total larangan sering mendorong AI menggunakan di bawah tanah, yang hanya memperbesar risiko.”
- Membuat kasus untuk tata kelola AI terpusat. “Tata kelola AI terpusat, seperti praktik tata kelola TI lainnya, adalah kunci untuk mengelola sprawl dari aplikasi AI Shadow,” ia merekomendasikan. Dia melihat unit bisnis mengadopsi alat SaaS yang digerakkan oleh AI “tanpa kepatuhan tunggal atau tinjauan risiko.” Pengawasan pemersatu membantu mencegah aplikasi yang tidak diketahui dari data sensitif yang diam -diam.
- Deteksi, memantau, dan mengelola bayangan AI. Tantangan terbesar adalah mengungkap aplikasi tersembunyi. Arora menambahkan bahwa mendeteksinya melibatkan pemantauan lalu lintas jaringan, analisis aliran data, manajemen aset perangkat lunak, permintaan, dan bahkan audit manual.
- Menyeimbangkan fleksibilitas dan keamanan secara terus -menerus. Tidak ada yang mau menahan inovasi. “Menyediakan opsi AI yang aman memastikan orang tidak tergoda untuk menyelinap. Anda tidak dapat membunuh adopsi AI, tetapi Anda dapat menyalurkannya dengan aman, ”kata Arora.
Mulailah mengejar strategi tujuh bagian untuk tata kelola bayangan AI
Arora dan Golan menyarankan pelanggan mereka yang menemukan aplikasi bayangan AI berkembang biak di seluruh jaringan dan tenaga kerja mereka untuk mengikuti tujuh pedoman ini untuk tata kelola bayangan AI:
Lakukan audit AI bayangan formal. Tetapkan garis dasar awal yang didasarkan pada audit AI yang komprehensif. Gunakan analisis proxy, pemantauan jaringan, dan inventaris untuk membasmi penggunaan AI yang tidak sah.
Buat kantor AI yang bertanggung jawab. Pusat pembuatan kebijakan, ulasan vendor, dan penilaian risiko di TI, keamanan, hukum dan kepatuhan. Arora telah melihat pendekatan ini bekerja dengan pelanggannya. Dia mencatat bahwa menciptakan kantor ini juga perlu memasukkan kerangka kerja tata kelola AI yang kuat dan pelatihan karyawan tentang kebocoran data potensial. Katalog AI yang telah disetujui sebelumnya dan tata kelola data yang kuat akan memastikan karyawan bekerja dengan solusi yang aman dan sanksi.
Menyebarkan kontrol keamanan AI-AWARE. Alat tradisional melewatkan eksploitasi berbasis teks. Mengadopsi DLP yang berfokus pada AI, pemantauan waktu-nyata, dan otomatisasi yang menandai permintaan yang mencurigakan.
Siapkan inventaris dan katalog AI terpusat. Daftar alat AI yang disetujui yang diperiksa mengurangi godaan layanan ad-hoc, dan ketika itu dan keamanan mengambil inisiatif untuk memperbarui daftar sering, motivasi untuk membuat aplikasi bayangan AI berkurang. Kunci dari pendekatan ini adalah tetap waspada dan bersikap responsif terhadap kebutuhan pengguna untuk alat AI canggih yang aman.
Mandat Pelatihan Karyawan Itu memberikan contoh mengapa Shadow AI berbahaya bagi bisnis apa pun. “Kebijakan tidak berharga jika karyawan tidak memahaminya,” kata Arora. Mendidik staf tentang penggunaan AI yang aman dan potensi risiko penanganan data.
Integrasi dengan tata kelola, risiko dan kepatuhan (GRC) dan manajemen risiko. Arora dan Golan menekankan bahwa pengawasan AI harus dikaitkan dengan proses tata kelola, risiko dan kepatuhan yang penting bagi sektor yang diatur.
Sadarilah bahwa larangan selimut gagal, dan temukan cara baru untuk mengirimkan aplikasi AI yang sah dengan cepat. Golan dengan cepat menunjukkan bahwa larangan selimut tidak pernah bekerja dan ironisnya mengarah pada pembuatan dan penggunaan aplikasi bayangan yang lebih besar. Arora menyarankan pelanggannya untuk memberikan opsi AI yang aman untuk perusahaan (misalnya Microsoft 365 Copilot, ChatGPT Enterprise) dengan pedoman yang jelas untuk penggunaan yang bertanggung jawab.
Membuka manfaat AI dengan aman
Dengan menggabungkan strategi tata kelola AI terpusat, pelatihan pengguna dan pemantauan proaktif, organisasi dapat memanfaatkan potensi Genai tanpa mengorbankan kepatuhan atau keamanan. Takeaway terakhir Arora adalah ini: “Solusi manajemen pusat tunggal, didukung oleh kebijakan yang konsisten, sangat penting. Anda akan memberdayakan inovasi sambil melindungi data perusahaan – dan itulah yang terbaik dari kedua dunia. ” Shadow Ai ada di sini untuk tinggal. Daripada memblokirnya secara langsung, para pemimpin yang berpikiran maju fokus pada memungkinkan produktivitas yang aman sehingga karyawan dapat memanfaatkan kekuatan transformatif AI pada persyaratan mereka.
