在企業(yè)數(shù)字化轉型的浪潮中，一股新的力量正悄然興起，卻也讓安全領導者和CISO們頭疼不已——那就是影子AI。這些并非來自外部攻擊者的威脅，而是由本應值得信賴的員工，在沒有IT和安全部門監(jiān)督或批準的情況下，自行創(chuàng)建的AI應用。它們?nèi)缤瑪?shù)字世界的“興奮劑”，讓使用者能在短時間內(nèi)完成更細致的工作，卻也讓企業(yè)的安全邊界變得岌岌可危。

影子AI的應用范圍廣泛，從自動化報告生成到營銷自動化、數(shù)據(jù)可視化，再到高級數(shù)據(jù)分析，幾乎無所不能。然而，這些應用大多未經(jīng)任何防護措施，就像一顆顆“定時炸彈”，隨時可能引發(fā)數(shù)據(jù)泄露、違規(guī)行為，甚至損害企業(yè)的聲譽。

“我們每天都能發(fā)現(xiàn)50個新的AI應用，并且已經(jīng)記錄了超過12000個?！盤rompt Security的首席執(zhí)行官伊塔馬爾·戈蘭在接受采訪時透露，“其中約40%默認使用你提供的任何數(shù)據(jù)進行訓練，這意味著你的知識產(chǎn)權可能會成為它們模型的一部分?！?/p>

那么，為何影子AI會如此泛濫呢?原因其實很簡單：員工們面臨著日益增多且愈發(fā)復雜的工作、長期的時間短缺和更緊迫的截止日期。在巨大的壓力下，他們選擇了影子AI作為“救命稻草”，以在更少的時間內(nèi)提高生產(chǎn)力。

然而，這場“無人預見的虛擬海嘯”卻給企業(yè)帶來了前所未有的挑戰(zhàn)。戈蘭警告說：“假裝AI不存在并不能保護你——這只會讓你措手不及?！笔聦嵣?，許多企業(yè)對自己的影子AI使用情況一無所知，直到發(fā)生了安全事件才恍然大悟。

影子AI之所以如此危險，是因為它們往往在處理企業(yè)數(shù)據(jù)時缺乏必要的合規(guī)和風險審查。一旦專有數(shù)據(jù)進入公共領域模型，任何組織都將面臨更大的挑戰(zhàn)，尤其是對于那些有重大合規(guī)和監(jiān)管要求的上市公司來說。

那么，企業(yè)該如何應對影子AI的挑戰(zhàn)呢?WinWire的首席技術官維尼特·阿羅拉提出了一套全面的監(jiān)督和安全創(chuàng)新藍圖。他強調，企業(yè)不能簡單地禁止AI的使用，而應該通過定義穩(wěn)健的安全策略，引導員工安全地使用AI技術。

阿羅拉的藍圖包括以下幾個關鍵見解：

1.影子AI肆虐的根源：現(xiàn)有的IT和安全框架并未設計為能夠檢測影子AI。傳統(tǒng)的IT管理工具缺乏保持業(yè)務安全所需的合規(guī)性和治理可見性，從而讓影子AI有機可乘。

2.目標設定：企業(yè)應在促進創(chuàng)新的同時，不失去對AI的控制。員工并非有意為惡，他們只是面臨著巨大的壓力。因此，企業(yè)應提供安全的AI選項，引導員工安全地使用AI技術。

3.集中化AI治理：與其他IT治理實踐一樣，集中化AI治理是管理影子AI應用泛濫的關鍵。統(tǒng)一監(jiān)督有助于防止未知應用悄悄泄露敏感數(shù)據(jù)。

4.持續(xù)檢測與管理：發(fā)現(xiàn)隱藏的影子AI應用是最大的挑戰(zhàn)。企業(yè)需要通過網(wǎng)絡流量監(jiān)控、數(shù)據(jù)流分析、軟件資產(chǎn)管理等多種手段，持續(xù)檢測、監(jiān)控和管理影子AI。

5.平衡靈活性與安全性：企業(yè)不能扼殺AI的采用，但應引導其安全發(fā)展。提供安全的AI選項可以確保員工不會受到誘惑而偷偷行事。

基于這些見解，阿羅拉和戈蘭建議企業(yè)遵循以下七項影子AI治理指南：

1.進行正式的影子AI審計：以全面的AI審計為基礎，建立初始基線，根除未經(jīng)授權的AI使用。

2.設立負責AI的辦公室：集中IT、安全、法律和合規(guī)部門的政策制定、供應商審查和風險評估，確保AI使用的合規(guī)性和安全性。

3.部署AI感知安全控制：傳統(tǒng)工具會遺漏基于文本的漏洞利用。企業(yè)應采用針對AI的DLP、實時監(jiān)控和自動化手段，標記可疑提示。

4.建立集中的AI清單和目錄：經(jīng)過審查的批準AI工具列表可以減少臨時服務的吸引力。當IT和安全部門主動頻繁更新列表時，創(chuàng)建影子AI應用的動機就會減少。

5.強制員工培訓：教育員工安全使用AI以及潛在的數(shù)據(jù)處理不當風險。如果員工不理解政策，那么政策就毫無價值。

6.與治理、風險和合規(guī)(GRC)以及風險管理相集成：AI監(jiān)督必須與受監(jiān)管行業(yè)至關重要的治理、風險和合規(guī)流程相聯(lián)系。

7.認識到一刀切的禁令會失敗：企業(yè)應尋找快速提供合法AI應用的新方法，避免一刀切的禁令導致更多影子AI應用的創(chuàng)建和使用。

總之，影子AI是一把雙刃劍。它既能提升企業(yè)的生產(chǎn)效率，也可能帶來嚴重的安全風險。因此，企業(yè)需要采取全面的治理策略，結合集中化AI治理、用戶培訓和主動監(jiān)控等手段，確保在保障安全的前提下充分釋放AI的潛力。只有這樣，企業(yè)才能在數(shù)字化轉型的浪潮中乘風破浪，穩(wěn)健前行。