影子AI是指员工未经批准使用AI应用程序,这种现象自生成式AI兴起以来一直是个问题。使用ChatGPT处理所有工作可能非常诱人,但这可能会导致将机密或私人数据发送给第三方。
随着生成式AI从科技行业扩展到编码甚至医疗行业,影子AI的风险变得更加严重。我们探讨了相关统计数据,并采访了专家,了解影子AI对企业构成多大的威胁。
影子AI的数据不容乐观
最近的一项美国国家网络安全联盟(NCA)调查发现,38%的受访者在雇主不知情的情况下使用AI,并与影子AI应用程序共享敏感信息。更令人担忧的是,超过一半的员工(52%)表示他们没有接受过任何关于如何安全使用AI的培训。
影子AI的使用还呈现出代际差异。Z世代(46%)和千禧一代(43%)比老一代更频繁地使用影子AI。今天使用人工智能的风险和威胁远不止合规、幻觉和数据泄露。这些风险会波及到那些一个错误就可能导致数百万美元损失或影响健康的行业。
医疗行业内的影子AI使用令人担忧
美国培训和执照医师、医疗软件公司IT Medical的医学顾问Danielle Kelvas博士告诉Techopedia,AI政策需要紧急整合并严格执行。
“向AI询问医疗问题确实很诱人,但不能以泄露受保护健康信息(PHI)为代价。”《纽约时报》最近报道,来自150个医疗系统的15,000多名医生和护理提供者正在使用患者门户MyChart的新AI功能,向患者发送AI消息。虽然其中一些消息包含AI披露,但并非所有消息都如此。医生并不是将MyChart用作影子AI,但这一趋势表明,即使是顶级医生也对大型语言模型(LLMs)感兴趣,原因显而易见。
哈佛大学的一项研究发现,ChatGPT在大约80%的时间内给出了比医生更好的答案,并且在同理心方面得分更高(45%),相比之下医生的得分仅为4.6%。Kelvas博士告诉Techopedia,要求完全不使用影子AI不是解决方案。
“我建议医院系统提供经过批准的AI替代方案。AI可以提高生产力,因此不要抑制它,而是聘请一家公司为您的员工定制一个安全的AI工具。”Kelvas博士说,同行间的方法是前进的方向。“我建议提供由同行领导的学习课程,教育他们有关安全的知识并提高意识。20岁的人会听另一个20岁的人的话,而不是一个老年人关于技术的问题。”
编码人员的影子AI应用可能扰乱DevSecOps生产流程
另一个影子AI可能带来更多问题而非解决方案的行业是编码。软件开发部门花了多年时间才将DevSecOps概念融入其工作流程中,即从头到尾将安全性和隐私嵌入软件生产管道。
然而,随着开发人员转向影子AI应用以提高生产力,他们可能会在代码中引入漏洞。Secure Code Warrior的联合创始人兼首席技术官Matias Madou告诉Techopedia,在当前的编码环境中,开发人员面临巨大的压力,需要更快地生产更好的软件。
“一些新入职的开发人员在ChatGPT于2022年11月首次亮相后,迅速看到了AI的优势。”Madou说,“在某些情况下,他们试图走捷径,甚至完全放弃从一开始就审查代码中的漏洞,因为这些AI工具就在手边。”
如果首席信息安全官(CISO)及其团队对这些方法一无所知,他们就无法保护这些工具,因为他们甚至不知道这些工具的存在。Madou表示,有进取心的员工会不可避免地寻求最大化其价值潜力的技术,同时减少干扰更有挑战性和创造性任务的重复性工作。
Madou认为,更加开放的工作环境,让CISO拥抱AI是解决方案的一部分。这将使安全团队能够了解员工正在使用的AI工具。然而,即使如此,也需要提出和回答某些问题。了解威胁可以使公司充分培训和教育员工,掌握最佳实践。
“培养以安全为先的文化至关重要。”Madou说,“这种心态应通过定期培训得到加强,鼓励专业人士承认,最好事先请求许可,而不是事后道歉。”
如何应对?高网络安全和合规之路
我们采访的专家一致认为,员工与雇主之间更开放透明的关系,以及安全、创新和员工技能提升的文化是至关重要的。但企业文化是万能药吗?
Portal26的创始人兼首席执行官Arti Raman告诉Techopedia,组织可以在文化举措的同时投资技术解决方案。
“为了更好地管理和检测非批准AI应用的使用,组织必须采取以AI可见性、治理和教育为中心的主动方法。”Raman说,“通过实施集中化的AI监控工具,组织可以获得所需的可见性和灵活性,以应对无情的现代网络犯罪环境并满足不断变化的合规需求。”
这意味着“跨内部网络跟踪AI互动,识别影子AI和未经授权使用外部AI工具的能力。”Raman说,“同时,AI取证能力可以审计提示和应用程序,提供对正在使用哪些工具、谁在使用以及用于什么目的的清晰视图。这种监督有助于检测潜在的安全漏洞,确保敏感数据受到保护。”
Raman解释说,围绕生成式AI使用的透明度可以与员工希望自动化任务的愿望相契合,营造一个促进生产力的协作环境。然而,组织还必须建立明确的指南和框架,确保负责任地使用AI。
“长期而言,跨内部网络进行审计和取证的能力对于希望确保其AI战略为其服务而非对其不利的组织至关重要。”Raman说。
总结
随着影子AI进入高风险环境,其使用提出了严重的问题。关键公共基础设施和为数十亿用户提供解决方案的软件行业只是更广泛问题的两个例子,这些问题尚未得到正面解决。轻视影子AI是一个糟糕的主意,不仅因为底线风险,还因为高水平的影子AI使用代表了创新的丧失。强大的文化支持和技术是解决方案,专家呼吁紧急部署。
(全文结束)
