在工作中使用 GenAI 工具分享的内容要小心

快速阅读: 《帮助网络安全》消息，报告显示，企业每月与AI工具共享大量数据，但对AI使用情况缺乏监管。三星等公司因AI工具导致数据泄露，影子AI带来更大风险。81%员工未受相关培训，多数公司尚未制定明确政策。组织应制定规则、提供培训并加强监控，以安全合规地利用生成式AI。

我们在工作中使用生成式人工智能（生成式AI）来简化任务，但是否意识到其中的风险？根据Netskope的报告，如今每个组织平均每月与AI工具共享超过7.7GB的数据，而75%的企业用户正在访问具有生成式AI功能的应用程序。生成式AI的弊端显而易见，89%的组织对AI使用情况一无所知，这揭示了监管和控制方面的漏洞。此外，71%的生成式AI工具是通过个人、非工作账户访问的。即便使用公司账号登录，仍有58%的登录跳过了单点登录（SSO），这意味着安全团队无法查看员工使用的工具或共享的信息。

三星员工在使用ChatGPT协助工作时，无意中泄露了高度机密的数据，导致公司禁止使用生成式AI工具。尽管警告称DeepSeek会在中国的安全服务器上收集用户数据，并将其用于多种用途，它仍获得了大量下载。更大的问题是影子AI——即未经正式授权在组织内部使用AI工具。AI的使用留下的痕迹较少，可能出现在个人设备或浏览器上。将敏感数据输入AI工具可能导致这些信息被存储在公司无法掌控的外部服务器上，从而增加数据泄露和隐私侵犯的风险。

Ivanti发现，81%的办公人员表示未接受过关于生成式AI的培训，而15%的人正在使用未获批准的工具。“虽然没有哪个行业比其他行业更容易受到影子AI风险的影响，但大型组织或知名品牌通常最容易因影子AI影响而遭受严重的声誉损失，”Snow Software的首席技术官史蒂夫·泰特说道。

仅仅禁止而不了解为何某事物可能存在潜在危险，是不够的。生成式AI的发展速度超过了大多数公司的适应能力。许多公司仍然没有规定员工如何在工作中使用这些工具。一些公司目前所做的只是完全禁止使用生成式AI或仅封锁某些应用程序。仅仅禁止而不了解为何某事物可能是潜在危险的，是不够的，这会导致影子使用。

组织应当采取以下措施：制定相关政策，明确何时可使用生成式AI工具以及何时需人工监督以避免有害错误。为员工提供培训，并定期检查使用情况，以确保负责任且合规地使用生成式AI工具。控制和限制输入至生成式AI的信息类型，以保护个人数据并遵循隐私法规。

教育是关键。员工应被告知，若使用不当，这些应用和工具并非无害。高管的盲点不可忽视。组织不应忽视生成式AI技术。因此，有些人可能会感到压力去实施工具，而没有完全理解它们的工作原理或携带的风险。在投资者通话中说“我们使用AI”听上去不错，但它可能引发违规、诉讼或负面报道。

“生成式AI无疑将成为推动IT安全演进的下一个重要力量，随着AI融入每个流程，大多数组织将寻找方法来监控、控制和保护其用户和数据，”WitnessAI的首席执行官瑞克·卡西亚指出。

领导者无需成为AI专家，但需要提出正确的问题。模型使用了哪些数据？如何进行监控？如果出现问题，谁来负责？如果没有这种认识，采用AI并非策略，而是赌博。

希望这段内容能更好地帮助您理解生成式AI带来的挑战与应对之策。

(以上内容均由Ai生成)