但一位專家表示，這一估計(jì)數(shù)字偏低。“我認(rèn)為實(shí)際情況可能更糟，”網(wǎng)絡(luò)安全和AI專家約瑟夫·斯坦伯格(Joseph Steinberg)說，“在大型公司中，這個(gè)數(shù)字肯定要高于這個(gè)平均值。”

事實(shí)上，他預(yù)測(cè)企業(yè)中使用的高風(fēng)險(xiǎn)AI應(yīng)用程序數(shù)量只會(huì)不斷增加。

這意味著，CISO需要對(duì)員工正在使用的每個(gè)GenAI應(yīng)用程序進(jìn)行風(fēng)險(xiǎn)評(píng)估，然后制定員工必須遵守的政策和程序。他在接受采訪時(shí)表示，并警告CISO和CEO不要采用“鴕鳥算法”——即通過忽視(甚至獎(jiǎng)勵(lì))員工在辦公室或家中對(duì)AI的影子使用來假裝危險(xiǎn)不存在。

“毫無疑問，企業(yè)內(nèi)部存在大量以高度有問題的方式使用GenAI應(yīng)用程序的情況，”他說，“記住，我可以在我的個(gè)人電腦上使用一個(gè)GenAI應(yīng)用程序，而我的公司對(duì)此毫無控制權(quán)，僅僅通過我的提問，我就可能泄露大量數(shù)據(jù)——而且可能不僅是我提問的內(nèi)容，還有其他人提問的內(nèi)容，因?yàn)镚enAI會(huì)從問題模式中學(xué)習(xí)。”

“這很難阻止，因?yàn)槠髽I(yè)無法完全控制這種風(fēng)險(xiǎn)，因?yàn)橛腥丝梢栽谧约旱臅r(shí)間和自己的機(jī)器上做到這一點(diǎn)?！?/p>

他補(bǔ)充說，企業(yè)有時(shí)會(huì)故意或無意地獎(jiǎng)勵(lì)員工使用未經(jīng)批準(zhǔn)的GenAI應(yīng)用程序，例如，通過贊揚(yáng)一份做得太好的報(bào)告。

“說實(shí)話，”他說，“許多禁止使用GenAI的公司實(shí)際上都在獎(jiǎng)勵(lì)他們的員工使用它，他們永遠(yuǎn)不會(huì)承認(rèn)這一點(diǎn)，但如果你根據(jù)表現(xiàn)進(jìn)行評(píng)估，而你的表現(xiàn)因?yàn)槭褂糜白覫T或AI(在自己的機(jī)器上、自己的時(shí)間里)得到了提升，如果你沒有受到懲罰，你就不會(huì)停止?！?/p>

斯坦伯格是在評(píng)論一項(xiàng)關(guān)于GenAI在企業(yè)中普及程度的研究時(shí)發(fā)表上述言論的，該研究分析了2024年12個(gè)月內(nèi)7000多名客戶的流量日志，以檢測(cè)SaaS應(yīng)用程序的使用情況，如ChatGPT、Microsoft Copilot、Amazon Bedrock等，研究還單獨(dú)查看了今年前三個(gè)月客戶數(shù)據(jù)泄露預(yù)防事件的匿名數(shù)據(jù)。

研究發(fā)現(xiàn)：

? 平均而言，大多數(shù)企業(yè)將在其環(huán)境中看到總共66個(gè)GenAI應(yīng)用程序，大部分是“寫作助手”(占樣本的34%，其中最大的是Grammarly)，“對(duì)話智能體”(略低于29%，如Microsoft Copilot、ChatGPT和Google Gemini等應(yīng)用程序)，“企業(yè)搜索”應(yīng)用程序(占樣本的10%多一點(diǎn))和“開發(fā)者平臺(tái)”應(yīng)用程序(占樣本的10%多一點(diǎn))。這四個(gè)類別加起來占GenAI應(yīng)用程序的84%。

? 10%的GenAI應(yīng)用程序被稱為“高風(fēng)險(xiǎn)”，因?yàn)楦鶕?jù)客戶遙測(cè)數(shù)據(jù)，在研究期間的某個(gè)或某些時(shí)間點(diǎn)，客戶曾限制或阻止對(duì)這些應(yīng)用程序的訪問。

? GenAI數(shù)據(jù)泄露預(yù)防事件今年比2024年增加了一倍多。

報(bào)告警告說，寫作助手并非可以輕視的應(yīng)用程序。“如果AI寫作助手在沒有適當(dāng)安全控制的情況下集成到企業(yè)的系統(tǒng)中，它可能成為網(wǎng)絡(luò)攻擊的載體，黑客可以利用GenAI應(yīng)用程序中的弱點(diǎn)來訪問內(nèi)部系統(tǒng)或敏感數(shù)據(jù)?！?/p>

“隨著GenAI的采用不斷增加，其風(fēng)險(xiǎn)也在增加，”報(bào)告說，“如果企業(yè)對(duì)GenAI應(yīng)用程序及其更廣泛的AI生態(tài)系統(tǒng)缺乏可見性，就可能面臨泄露敏感數(shù)據(jù)、違反法規(guī)和失去知識(shí)產(chǎn)權(quán)控制的風(fēng)險(xiǎn)。監(jiān)控AI交互不再是可選項(xiàng)，它對(duì)于幫助防止影子AI的采用、執(zhí)行安全政策以及實(shí)現(xiàn)負(fù)責(zé)任的AI使用至關(guān)重要?！?/p>

報(bào)告為CISO確定了以下GenAI安全最佳實(shí)踐：

? 了解并控制企業(yè)在GenAI方面的使用情況和允許范圍。實(shí)施條件訪問管理，根據(jù)用戶和/或組、位置、應(yīng)用程序風(fēng)險(xiǎn)、合規(guī)設(shè)備以及合法的業(yè)務(wù)理由來限制對(duì)GenAI平臺(tái)、應(yīng)用程序和插件的訪問。

? 通過在整個(gè)基礎(chǔ)設(shè)施和數(shù)據(jù)安全工作流程中實(shí)施集中策略執(zhí)行來實(shí)時(shí)檢查內(nèi)容，以防止未經(jīng)授權(quán)的訪問和敏感數(shù)據(jù)泄露。

? 通過零信任安全框架來防御現(xiàn)代基于AI的網(wǎng)絡(luò)威脅，以識(shí)別和阻止GenAI響應(yīng)中的高度復(fù)雜、規(guī)避性強(qiáng)且隱蔽的惡意軟件和威脅。