但一位專家表示，這一估計數(shù)字偏低。“我認(rèn)為實際情況可能更糟，”網(wǎng)絡(luò)安全和AI專家約瑟夫·斯坦伯格(Joseph Steinberg)說，“在大型公司中，這個數(shù)字肯定要高于這個平均值?！?/p>

事實上，他預(yù)測企業(yè)中使用的高風(fēng)險AI應(yīng)用程序數(shù)量只會不斷增加。

這意味著，CISO需要對員工正在使用的每個GenAI應(yīng)用程序進行風(fēng)險評估，然后制定員工必須遵守的政策和程序。他在接受采訪時表示，并警告CISO和CEO不要采用“鴕鳥算法”——即通過忽視(甚至獎勵)員工在辦公室或家中對AI的影子使用來假裝危險不存在。

“毫無疑問，企業(yè)內(nèi)部存在大量以高度有問題的方式使用GenAI應(yīng)用程序的情況，”他說，“記住，我可以在我的個人電腦上使用一個GenAI應(yīng)用程序，而我的公司對此毫無控制權(quán)，僅僅通過我的提問，我就可能泄露大量數(shù)據(jù)——而且可能不僅是我提問的內(nèi)容，還有其他人提問的內(nèi)容，因為GenAI會從問題模式中學(xué)習(xí)?！?/p>

“這很難阻止，因為企業(yè)無法完全控制這種風(fēng)險，因為有人可以在自己的時間和自己的機器上做到這一點?！?/p>

他補充說，企業(yè)有時會故意或無意地獎勵員工使用未經(jīng)批準(zhǔn)的GenAI應(yīng)用程序，例如，通過贊揚一份做得太好的報告。

“說實話，”他說，“許多禁止使用GenAI的公司實際上都在獎勵他們的員工使用它，他們永遠不會承認(rèn)這一點，但如果你根據(jù)表現(xiàn)進行評估，而你的表現(xiàn)因為使用影子IT或AI(在自己的機器上、自己的時間里)得到了提升，如果你沒有受到懲罰，你就不會停止?！?/p>

斯坦伯格是在評論一項關(guān)于GenAI在企業(yè)中普及程度的研究時發(fā)表上述言論的，該研究分析了2024年12個月內(nèi)7000多名客戶的流量日志，以檢測SaaS應(yīng)用程序的使用情況，如ChatGPT、Microsoft Copilot、Amazon Bedrock等，研究還單獨查看了今年前三個月客戶數(shù)據(jù)泄露預(yù)防事件的匿名數(shù)據(jù)。

研究發(fā)現(xiàn)：

? 平均而言，大多數(shù)企業(yè)將在其環(huán)境中看到總共66個GenAI應(yīng)用程序，大部分是“寫作助手”(占樣本的34%，其中最大的是Grammarly)，“對話智能體”(略低于29%，如Microsoft Copilot、ChatGPT和Google Gemini等應(yīng)用程序)，“企業(yè)搜索”應(yīng)用程序(占樣本的10%多一點)和“開發(fā)者平臺”應(yīng)用程序(占樣本的10%多一點)。這四個類別加起來占GenAI應(yīng)用程序的84%。

? 10%的GenAI應(yīng)用程序被稱為“高風(fēng)險”，因為根據(jù)客戶遙測數(shù)據(jù)，在研究期間的某個或某些時間點，客戶曾限制或阻止對這些應(yīng)用程序的訪問。

? GenAI數(shù)據(jù)泄露預(yù)防事件今年比2024年增加了一倍多。

報告警告說，寫作助手并非可以輕視的應(yīng)用程序。“如果AI寫作助手在沒有適當(dāng)安全控制的情況下集成到企業(yè)的系統(tǒng)中，它可能成為網(wǎng)絡(luò)攻擊的載體，黑客可以利用GenAI應(yīng)用程序中的弱點來訪問內(nèi)部系統(tǒng)或敏感數(shù)據(jù)。”

“隨著GenAI的采用不斷增加，其風(fēng)險也在增加，”報告說，“如果企業(yè)對GenAI應(yīng)用程序及其更廣泛的AI生態(tài)系統(tǒng)缺乏可見性，就可能面臨泄露敏感數(shù)據(jù)、違反法規(guī)和失去知識產(chǎn)權(quán)控制的風(fēng)險。監(jiān)控AI交互不再是可選項，它對于幫助防止影子AI的采用、執(zhí)行安全政策以及實現(xiàn)負(fù)責(zé)任的AI使用至關(guān)重要?！?/p>

報告為CISO確定了以下GenAI安全最佳實踐：

? 了解并控制企業(yè)在GenAI方面的使用情況和允許范圍。實施條件訪問管理，根據(jù)用戶和/或組、位置、應(yīng)用程序風(fēng)險、合規(guī)設(shè)備以及合法的業(yè)務(wù)理由來限制對GenAI平臺、應(yīng)用程序和插件的訪問。

? 通過在整個基礎(chǔ)設(shè)施和數(shù)據(jù)安全工作流程中實施集中策略執(zhí)行來實時檢查內(nèi)容，以防止未經(jīng)授權(quán)的訪問和敏感數(shù)據(jù)泄露。

? 通過零信任安全框架來防御現(xiàn)代基于AI的網(wǎng)絡(luò)威脅，以識別和阻止GenAI響應(yīng)中的高度復(fù)雜、規(guī)避性強且隱蔽的惡意軟件和威脅。