Sådan tæmmer du skygge-AI
Indholdsfortegnelse:
Husker du skygge-IT? Det har fået en ny, banebrydende søskende: skygge-AI. Efterhånden som medarbejderne bliver mere og mere tilhængere af de tidsbesparende muligheder ved generative AI-modeller, strømmer de til dem på arbejdet. Problemet er, at de ikke altid har tilladelse.
Skygge-AI er ikke bare et teoretisk problem, ifølge Check Point Researchs rapport om AI-sikkerhed 2025; det er her nu. AI-tjenester er nu aktive i mindst halvdelen af virksomhedsnetværk hver måned, afslørede undersøgelsen. Samtidig, en anden rapport fra Cyberhaven Labs viste sidste år, at datadeling med AI-værktøjer næsten femdobledes på et enkelt år mellem marts 2023 og marts 2024. Det ville være fint, hvis brugen var al sanktioneret. Imidlertid sker tre fjerdedele af ChatGPT-brugen på arbejdspladsen via personlige konti, der ikke er begrænset af virksomhedens sikkerhedskontroller, oplyser Cyberhaven.
Medarbejdere er ikke altid diskrete omkring, hvad de deler med disse værktøjer, hvor næsten hver fjerde indrømmer at have delt følsomme arbejdsoplysninger med dem bag deres chefs ryg. Check Point Research fandt, at 1.25 % af alle prompts udgjorde en høj risiko for lækage af følsomme data, og yderligere 7.5 % af prompterne indeholdt potentielt følsomme data.
Den type information, der kommer ind i disse systemer, spænder fra kundesupportinformation (16.3%) til kildekode, forsknings- og udviklingsmaterialer og økonomiske dokumenter, oplyser Cyberhaven.
Hændelser fra den virkelige verden illustrerer, hvad der står på spil. I april 2023, Samsung mødte en stor forlegenhed da ingeniører delte halvlederkildekode og proprietære mødenotater.
Er mine data virkelig i fare?
Virksomheder kan måske tilgives for at tro, at deres data er sikkert låst væk, hvis de når en AI-session, men det er ikke altid tilfældet. Der er flere lækagevektorer. For eksempel bruger mange AI-tjenester eksplicit inputdata til modeltræning. Det inkluderer OpenAIs gratis ChatGPT-version og den gratis version af Microsoft Copilot, som den er baseret på. Det kan eksponere fragmenter af din virksomheds data for andre brugere gennem AI'ens svar.
Prompt injection-angreb kan narre AI-systemer til at afsløre tidligere samtaler eller træningsdata, hvilket i bund og grund vender AI'en mod sig selv for at udtrække oplysninger, den ikke burde dele. Disse rangerer nu som OWASP's største AI-sikkerhedsrisiko på grund af deres potentielle indvirkning. De gør det muligt for angribere at manipulere AI-systemer ved at lave omhyggeligt finpudsede prompts, der udtrækker følsomme træningsdata eller omgår sikkerhedsforanstaltninger.
Databrud hos AI-udbydere skaber selv eksponeringsrisici. Når disse virksomheder bliver hacket, bliver dine følsomme prompts en del af det stjålne datasæt. OpenAI blev tvunget til at advare brugere i 2023 efter en fejl i deres Redis-database. udsat nogle brugeres chats med andre. Med OpenAI nu under ordrer ikke at slette brugerforespørgsler Som en del af en retssag i New York Times opbevarer den nu private samtaler, der kan være sårbare over for et vellykket hackerangreb.
Disse modellers oprindelse og sikkerhed er også undertiden tvivlsom. Med flere kinesiske modeller nu tilgængelige og dybe bekymringer I forhold til sikkerheden i den kinesiske model DeepSeek er skygge-AI en klar og aktuel trussel.
Det er svært at overvåge skygge-AI
Det er nemt for skygge-AI at flyve under tråden, især når disse tjenester lanceres hurtigere, end IT-afdelinger kan evaluere dem. AI-funktioner, der er indlejret i godkendte applikationer, vil være usynlige for konventionelle detektionssystemer, og det kan være udfordrende at blokere browserbaserede sessioner. Blokeringslister er muligvis ikke opmærksomme på alle AI-tjenester, og under alle omstændigheder kan nogle medarbejdere have tilladelse til at bruge dem, mens andre ikke kan. Derudover er der API-baserede interaktioner og krypteret kommunikation, der skal overvejes.
Tæmning af AI-uhyret
I betragtning af AI's løfte om øget produktivitet virker det kontraintuitivt blot at forbyde det helt. I stedet er det mere realistisk at satse forsigtigt på AI ved at udarbejde politikker for brug af AI, især i betragtning af medarbejdernes iver efter at bruge disse tjenester. En undersøgelse fra Software AG i oktober sidste år. fundet at næsten halvdelen af alle medarbejdere ville fortsætte med at bruge personlige AI-værktøjer, selvom deres arbejdsgiver forbød dem.
Værktøjer som NISTs AI Risk Management Framework giver organisationer mulighed for at udnytte fordelene ved AI og samtidig mindske dens risici. NISTs framework anvender en "styr, kortlæg, mål og administrer"-tilgang, der inkorporerer foranstaltninger under hver af disse overskrifter for at sætte organisationer i stand til at anvende en strategisk tilgang til at styre brugen af AI blandt medarbejdere. ISO's 42001:2023-framework foreslår også, hvordan man opretter og vedligeholder AI-styringssystemer ansvarligt i organisationer.
Mange af de samme principper, der bruges til at bekæmpe traditionel skygge-IT, gælder. Etablering af interne AI-appbutikker med godkendte værktøjskataloger kan give brugerne flere valgmuligheder, samtidig med at der opretholdes rimelige sikkerhedsforanstaltninger for brugen. Dette giver dig også mere fremdrift, når du etablerer acceptable brugspolitikker for AI, som fortæller medarbejderne, hvilke typer forespørgsler det er okay (og ikke okay) at foretage. Træningsprogrammer for medarbejdere vil hjælpe med at cementere disse politikker, samtidig med at de bliver mere produktive ved at give dem indsigt i smarte AI-use cases.
For nogle organisationer vil overgangen til private AI-systemer, der bruger selvhostede store sprogmodeller, hjælpe med at minimere risikoen for eksterne AI-applikationer. For mange vil det dog stadig være en stor opgave, der involverer betydelig ekspertise og et budget.
Når en ny teknologi rammer mainstream, vil medarbejderne helt sikkert have lyst til at eksperimentere. Vi så det med mobile enheder og derefter med skyen. AI bliver ikke den sidste. Nøglen er at indtage en imødekommende og ansvarlig holdning til teknologibrug og bringe dem tilbage i folden.
