管理日益增长的影子 AI 风险
快速阅读: 据《BusinessDay NG》最新报道,未经批准的人工智能工具可能带来安全隐患。组织需制定全面AI策略,强化政策执行与员工培训,确保技术安全使用,提升效率同时保护数据安全与隐私。
如果团队常用的生产力工具同时也是最大的安全隐患之一,该如何应对?
生成式AI指能够根据用户请求或提示生成内容的人工智能,它已成为当前的AI热点——这一点是可以理解的。可以将生成式AI视为那个一直梦想拥有的资源丰富且乐于助人的工作伙伴,相当于多了一双额外的手和大脑。它可以作为额外的眼睛,重新审查那些已经被反复阅读过的重要邮件,从而让商务沟通更加专业;还能生成大纲,并审查商业提案和报告的内容。它利用机器学习,通过对数百万条数据和记录进行训练,从而智能地回答问题,为你节省了在谷歌搜索结果中筛选的时间和精力。
所谓“影子AI”指的是员工在未获IT部门批准、许可和监督的情况下,擅自使用人工智能工具来完成与工作相关的任务。大多数员工使用这些工具是为了提高生产力,出于良好的初衷。员工未经IT部门同意使用的最常见AI工具就是生成式AI聊天机器人。包括谷歌的Gemini和OpenAI的ChatGPT在内的生成式AI聊天机器人,采用了自然语言处理技术,根据提示生成智能、类人对话。这些工具非常容易获取,大多数生成式AI工具提供免费试用,并可以通过网页浏览器或移动应用程序轻松访问。
未经授权的AI被用于工作相关任务的情况正在快速增加,员工开始将组织的数据分享给生成式聊天机器人。许多员工转向生成式AI聊天机器人以提高效率,却很少考虑其组织数据甚至个人数据的安全和隐私问题。随着员工体验到这些工具的智能响应,他们对这些工具的信任度也随之提高,从而更愿意依赖它们来改进和完善自己的交付成果。员工会分享电子邮件供聊天机器人审查,数据和报告供分析或总结,以及其他日常工作任务的部分内容。通过这种方式,他们或许并未意识到,但实际上已经在分享敏感数据——例如电子邮件、报告、客户信息。这会导致安全、隐私和监管漏洞,甚至可能引发潜在的罚款。
根据专业社交网络Fishbowl 2023年的报告显示,43%的专业人士已经使用包括ChatGPT在内的AI工具进行与工作相关的任务,而其中68%的专业人士是在未告知老板的情况下这样做的。这种未经授权的使用可能会泄露机密公司数据,对商业秘密、私人客户和组织信息构成风险。
当组织信息输入到聊天机器人后,其他用户在查询模型时可能会接触到这些信息。尽管这些生成式AI应用本身并非为了恶意利用组织数据而设计,但输入到模型中的数据会被用于训练模型。毕竟,这就是它们变得如此聪明的原因——通过从数万亿的数据点中学习。影子AI的兴起带来了安全和合规风险。大型语言模型(LLMs),即AI聊天机器人应用的核心,从大数据集中学习。这些数据集来自各种来源,包括网络上公开的信息以及来自用户的数据。在未经授权的AI平台上分享组织信息会使组织及其客户面临数据保密性、完整性和隐私性遭到破坏的风险。
这些平台上涉及的敏感个人信息(PII)或受保护健康信息(PHI)也存在风险,因为提示注入可以用来操控AI聊天机器人释放敏感信息。此外,共享系统和应用程序配置也可能导致组织系统的妥协。另一个担忧是AI模型会产生“幻觉”。由于模型复杂性和训练数据不准确等因素,AI模型有时会生成伪造、不准确和误导性的信息,这些信息看似真实但并非如此。员工在将这些机器人的结果纳入其交付成果时需要谨慎行事,以避免传播错误信息。此外,网络犯罪分子正在破解AI LLM模型,使其忽略自己的防护措施,提供有害、虚假或有缺陷的信息。
尽管组织正在应对这些风险,但进展仍显缓慢。根据2024年Littler AI C-Suite调查报告,在平衡AI决策中的风险和机会方面,不到一半的高管(44%)表示他们的组织目前有关于生成式AI的政策。这个数字需要显著增加。虽然一些组织可能会通过禁止使用生成式AI来应对这些风险,但这可能不是一个有效的回应,因为员工仍然可以在个人设备上悄悄地使用AI来审查与工作相关的材料。建议组织帮助员工认识风险并引导他们负责任地使用。这将取得更好的效果。
要解决这一问题,组织首先需要一个全面的AI战略,包括主动风险管理、治理框架和强大的技术控制。组织需要评估随意使用AI进行工作相关任务的风险和影响,然后根据评估结果制定符合其组织实际情况的可接受使用政策。该政策应辅以明确可接受和不可接受使用场景的指引,包括可以使用的AI工具、必须避免使用的工具以及严格禁止与未经授权的生成式AI应用程序共享的组织信息。这些指引还应指定组织内可以联系以获得进一步澄清和指导的团队。
为加强政策执行,可采用访问监控、员工上报、自动化监控和审计控制等手段。组织还需开展关于禁止工作中使用未经授权AI的培训。这些培训可以作为组织持续安全教育计划的一部分,并且对于帮助员工了解影子AI的风险以及如何负责任和安全地使用AI非常重要。
组织需要紧急行动。落实这些措施能让员工更好地利用这项有价值的技术提升工作效率,而不危及他们的组织和客户的竞争力、安全性以及隐私。
奥福玛,美国亚特兰大,网络安全GRC(治理、风险管理、合规)专家
(以上内容均由Ai生成)
