自O(shè)penAI的ChatGPT進(jìn)入當(dāng)今的日常工作以來(lái)，已經(jīng)整整一年了，緊隨其后的是谷歌的Bard和其他GenAI產(chǎn)品。在你可以說(shuō)侏儒怪之前，員工、承包商、客戶和合作伙伴似乎都在展示他們新發(fā)現(xiàn)的閃閃發(fā)光的對(duì)象 - AI引擎采用了他們幾乎不了解的大型語(yǔ)言模型。

人們驚訝于這些工具提高了知識(shí)和準(zhǔn)確性，也驚嘆于它們可以幫助創(chuàng)造的時(shí)間節(jié)約。同樣令他們驚訝的是，引擎沒有線索，有時(shí)提供的是胡說(shuō)八道的答案或幻覺，因此被證明是浪費(fèi)時(shí)間——但這不會(huì)持續(xù)太久。

詢問(wèn)AI引擎的意想不到的后果很快就露出了丑陋的頭，2023年初三星發(fā)生的事件就證明了這一點(diǎn)，三星發(fā)現(xiàn)商業(yè)機(jī)密被隨意上傳到ChatGPT。雖然這些信息顯然是積極的，但這些商業(yè)秘密已經(jīng)不再是秘密，因?yàn)樗鼈円呀?jīng)與ChatGPT的母公司OpenAI共享，任何提出類似查詢的人都可能(假設(shè))從工程師的輸入中受益。

影子AI的迅速崛起應(yīng)該不足為奇

在我看來(lái)，三星以完全正確的方式處理了這一發(fā)現(xiàn)。很糟糕，我們不能讓這種事情再次發(fā)生，我們需要發(fā)展自己的內(nèi)部能力，這樣商業(yè)秘密才能保密。

對(duì)所有人來(lái)說(shuō)，包括那些在信息技術(shù)提供和支持方面幾乎沒有經(jīng)驗(yàn)的人來(lái)說(shuō)，很明顯，當(dāng)AI引擎應(yīng)用于大眾時(shí)，形成風(fēng)險(xiǎn)之河的源頭有了一個(gè)新的母源：AI查詢引擎。影子IT有一個(gè)新兄弟，影子AI。

Wiz數(shù)據(jù)和威脅研究主管Alon Schindel表示，影子AI的到來(lái)不應(yīng)該真的令人驚訝，他分享了它是如何類似于“五到十年前的云：每個(gè)人都在某種程度上使用它，但很少有人有管理它的流程?！?/p>

Schindel告訴記者：“在創(chuàng)新的競(jìng)賽中，開發(fā)人員和數(shù)據(jù)科學(xué)家經(jīng)常在沒有安全團(tuán)隊(duì)監(jiān)督的情況下，將新的AI服務(wù)引入他們的環(huán)境，從而無(wú)意中創(chuàng)建了影子AI。由于缺乏可見性，很難確保AI管道的安全，也很難防范AI的錯(cuò)誤配置和漏洞。不恰當(dāng)?shù)腁I安全控制可能會(huì)導(dǎo)致重大風(fēng)險(xiǎn)，因此將安全嵌入AI管道的每一個(gè)部分是至關(guān)重要的?！?/p>

每家公司都應(yīng)該對(duì)GenAI做三件事

解決方案，是非常常識(shí)性的。我們只需回顧一下Code42的CISO Jadee Hanson在2023年4月分享的內(nèi)容，他專門針對(duì)三星的體驗(yàn)發(fā)表了講話：“ChatGPT和AI工具可以非常有用和強(qiáng)大，但員工需要了解哪些數(shù)據(jù)適合放入ChatGPT，哪些不適合，安全團(tuán)隊(duì)需要適當(dāng)?shù)亓私馄髽I(yè)發(fā)送到ChatGPT的內(nèi)容?！?/p>

我采訪了Imperva的數(shù)據(jù)安全高級(jí)副總裁兼現(xiàn)場(chǎng)CTO特里·雷，他分享了他對(duì)影子AI的看法，提供了每個(gè)實(shí)體都應(yīng)該已經(jīng)在做的三個(gè)關(guān)鍵要點(diǎn)：

·建立對(duì)每個(gè)數(shù)據(jù)倉(cāng)庫(kù)的可見性，包括“以防萬(wàn)一”儲(chǔ)存起來(lái)的“影子”數(shù)據(jù)庫(kù)。

·對(duì)每一項(xiàng)數(shù)據(jù)資產(chǎn)進(jìn)行分類——有了這些，人們就知道了一項(xiàng)資產(chǎn)的價(jià)值。(花費(fèi)100萬(wàn)美元來(lái)保護(hù)一項(xiàng)過(guò)時(shí)或價(jià)值低得多的資產(chǎn)有意義嗎?)。

·監(jiān)控和分析——觀察數(shù)據(jù)移動(dòng)到不屬于它的位置。

了解你的GenAI風(fēng)險(xiǎn)承受能力

同樣，SkyHigh Security的全球云威脅主管羅德曼·拉梅贊也指出了了解個(gè)人風(fēng)險(xiǎn)承受能力的重要性，他警告說(shuō)，那些沒有注意到大型語(yǔ)言模型驚人快節(jié)奏傳播的人，肯定會(huì)大吃一驚。

他認(rèn)為，僅有護(hù)欄是不夠的，必須培訓(xùn)和指導(dǎo)用戶如何使用已批準(zhǔn)的AI實(shí)例，并避免使用未經(jīng)批準(zhǔn)的實(shí)例，這種培訓(xùn)/指導(dǎo)應(yīng)動(dòng)態(tài)和循序漸進(jìn)地提供，這樣做將隨著每個(gè)增量的增加而改善整體安全態(tài)勢(shì)。

負(fù)責(zé)保護(hù)公司數(shù)據(jù)的CIO，無(wú)論是知識(shí)產(chǎn)權(quán)、客戶信息、財(cái)務(wù)預(yù)測(cè)、上市計(jì)劃等，都可以接受或追逐。如果他們選擇后者，他們可能還希望為事件響應(yīng)的上升做好準(zhǔn)備，因?yàn)闀?huì)有事件發(fā)生。如果他們選擇前者，他們將面臨艱巨的任務(wù)，因?yàn)樗麄儗⒄麄€(gè)企業(yè)進(jìn)行工作，并決定哪些產(chǎn)品可以引入內(nèi)部，就像三星正在做的那樣。

GenAI是不可避免的，所以要準(zhǔn)備好管理它的流動(dòng)

識(shí)別和緩解使用AI工具的潛在風(fēng)險(xiǎn)的方法是與企業(yè)內(nèi)的各種實(shí)體充分接觸，并為運(yùn)營(yíng)的每個(gè)方面創(chuàng)建政策和程序以及使用AI的途徑。緊隨其后的是非常明顯地需要?jiǎng)?chuàng)建和實(shí)施員工/承包商教育和實(shí)踐練習(xí)。CISO和他們的企業(yè)可以支持、支持、識(shí)別安全三角洲，并提出建議來(lái)緩解可能發(fā)生的情況，并為那些自由飛行的人系好安全帶。

雷為CIO們補(bǔ)充了一些非常及時(shí)的思考的基礎(chǔ)，尤其是在招聘真正具有競(jìng)爭(zhēng)力的時(shí)代，并保留了“網(wǎng)絡(luò)招聘”的格局，這個(gè)領(lǐng)域的新員工必須能夠使用可用的工具并構(gòu)建自己的工具，使用AI來(lái)幫助完善它們。

畢竟，AI是一種力量倍增器，應(yīng)該利用它來(lái)做好事，但是，在你接受這個(gè)概念的同時(shí)，你還必須接受AI認(rèn)證、政策和程序，最重要的是要對(duì)它在哪里和如何使用保持警惕。企業(yè)尤其需要知道和保護(hù)他們的“奶酪”——獲獎(jiǎng)物品的位置。

選擇權(quán)掌握在CISO手中——你可以嚴(yán)密鎖定并徹底禁止聊天機(jī)器人，采取似乎所有正確的步驟來(lái)防止影子AI，然而，就像水從基巖中滲出一樣，用戶將找到一種方法來(lái)利用它。通過(guò)確保有必要的渠道讓水安全可靠地流動(dòng)，明智的CISO將得到很好的服務(wù)。