89% 的企业 AI 使用对组织来说是不可见的

快速阅读: 据《帮助网络安全》最新报道，根据LayerX报告，89%的人工智能使用缺乏透明度，且大部分通过个人而非企业账户进行。生成式人工智能工具的使用存在安全漏洞，大多数用户是偶尔使用，可能不了解数据泄露风险。报告建议采取积极的风险管理方法，包括绘制使用情况、强制进行人工智能审计、限制个人账户及强制使用单点登录，以确保安全使用人工智能。

（注：已将英文内容翻译成中文）

组织对89%的人工智能使用情况缺乏透明度，尽管有安全政策，这是根据LayerX报告得出的结论。71%的连接到生成式人工智能工具的请求是通过个人非企业账户完成的。在使用企业账户登录的情况下，58%的连接没有使用单点登录（SSO）。这些交互绕过了组织的身份验证和访问控制系统，使安全团队对如何使用生成式人工智能工具以及共享了哪些数据一无所知。大多数生成式人工智能用户是偶尔使用的，可能不了解生成式人工智能数据泄露的风险。只有15%的企业员工每周使用它，虽然有一小部分用户频繁使用，但大多数用户是偶尔用户。软件开发人员是最广泛使用的用户群体。在企业用户中，39%的生成式人工智能工具使用者属于研发部门，28%属于销售和市场部门。IT、人力资源和财务用户的占比仅为个位数。研究表明，20.63%的所有用户安装了具有人工智能功能的浏览器扩展程序。在那些安装此类扩展的用户中，45%的人安装了多个这样的扩展。58%的生成式人工智能浏览器扩展程序的权限等级被标记为“高”或“关键”，而所有扩展程序中有66.6%的权限等级被标记为“高”或“关键”。最后，5.6%的人工智能扩展程序被归类为“恶意”，可能用于窃取数据。90%的人工智能使用集中在大型知名应用中，但也存在大量的“影子AI”应用。仅ChatGPT就占企业使用量的50%，前五大人工智能SaaS应用占据了85%的人工智能使用量。然而，在少数知名应用之外，还有许多使用较少的人工智能工具，这些工具通常不为人知。因此，安全管理人员不知道哪些其他人工智能应用被使用，也不知道在哪里设置控制措施。少数用户会泄露大量数据。虽然文本输入是与生成式人工智能工具互动的主要方式，但复制/粘贴和文件上传是数据大规模泄露的渠道。大约18%的用户将数据粘贴到生成式人工智能工具中，其中约50%是公司信息。LayerX的首席执行官奥尔·埃舍德说：“随着企业拥抱生成式人工智能，安全团队面临着日益增长的挑战，即保护他们看不见的威胁。”该报告揭示了组织需要采取积极的、基于风险的方法来应对生成式人工智能使用带来的隐蔽威胁。首席信息安全官（CISO）和安全管理人员应实施一个全面的框架来减轻与人工智能相关的风险。这包括绘制组织内生成式人工智能的使用情况，以理解公司的风险状况并制定有效的补救策略。组织还应在终端层面强制进行人工智能审计，以获得对员工人工智能活动的可见性，并检测潜在的数据泄露。此外，限制个人账户并强制使用SSO可以确保员工使用带有内置安全措施的企业生成式人工智能账户。“在日益依赖人工智能的世界中，禁止所有人工智能使用并不是长久之计。这就是为什么必须实施适应性和情境化的安全措施，以便员工能够安全地使用人工智能，而不牺牲生产力，”埃舍德总结道。

(以上内容均由Ai生成)