自OpenAI的ChatGPT進入當今的日常工作以來，已經整整一年了，緊隨其后的是谷歌的Bard和其他GenAI產品。在你可以說侏儒怪之前，員工、承包商、客戶和合作伙伴似乎都在展示他們新發現的閃閃發光的對象 - AI引擎采用了他們幾乎不了解的大型語言模型。

人們驚訝于這些工具提高了知識和準確性，也驚嘆于它們可以幫助創造的時間節約。同樣令他們驚訝的是，引擎沒有線索，有時提供的是胡說八道的答案或幻覺，因此被證明是浪費時間——但這不會持續太久。

詢問AI引擎的意想不到的后果很快就露出了丑陋的頭，2023年初三星發生的事件就證明了這一點，三星發現商業機密被隨意上傳到ChatGPT。雖然這些信息顯然是積極的，但這些商業秘密已經不再是秘密，因為它們已經與ChatGPT的母公司OpenAI共享，任何提出類似查詢的人都可能(假設)從工程師的輸入中受益。

影子AI的迅速崛起應該不足為奇

在我看來，三星以完全正確的方式處理了這一發現。很糟糕，我們不能讓這種事情再次發生，我們需要發展自己的內部能力，這樣商業秘密才能保密。

對所有人來說，包括那些在信息技術提供和支持方面幾乎沒有經驗的人來說，很明顯，當AI引擎應用于大眾時，形成風險之河的源頭有了一個新的母源：AI查詢引擎。影子IT有一個新兄弟，影子AI。

Wiz數據和威脅研究主管Alon Schindel表示，影子AI的到來不應該真的令人驚訝，他分享了它是如何類似于“五到十年前的云：每個人都在某種程度上使用它，但很少有人有管理它的流程。”

Schindel告訴記者：“在創新的競賽中，開發人員和數據科學家經常在沒有安全團隊監督的情況下，將新的AI服務引入他們的環境，從而無意中創建了影子AI。由于缺乏可見性，很難確保AI管道的安全，也很難防范AI的錯誤配置和漏洞。不恰當的AI安全控制可能會導致重大風險，因此將安全嵌入AI管道的每一個部分是至關重要的。”

每家公司都應該對GenAI做三件事

解決方案，是非常常識性的。我們只需回顧一下Code42的CISO Jadee Hanson在2023年4月分享的內容，他專門針對三星的體驗發表了講話：“ChatGPT和AI工具可以非常有用和強大，但員工需要了解哪些數據適合放入ChatGPT，哪些不適合，安全團隊需要適當地了解企業發送到ChatGPT的內容。”

我采訪了Imperva的數據安全高級副總裁兼現場CTO特里·雷，他分享了他對影子AI的看法，提供了每個實體都應該已經在做的三個關鍵要點：

·建立對每個數據倉庫的可見性，包括“以防萬一”儲存起來的“影子”數據庫。

·對每一項數據資產進行分類——有了這些，人們就知道了一項資產的價值。(花費100萬美元來保護一項過時或價值低得多的資產有意義嗎?)。

·監控和分析——觀察數據移動到不屬于它的位置。

了解你的GenAI風險承受能力

同樣，SkyHigh Security的全球云威脅主管羅德曼·拉梅贊也指出了了解個人風險承受能力的重要性，他警告說，那些沒有注意到大型語言模型驚人快節奏傳播的人，肯定會大吃一驚。

他認為，僅有護欄是不夠的，必須培訓和指導用戶如何使用已批準的AI實例，并避免使用未經批準的實例，這種培訓/指導應動態和循序漸進地提供，這樣做將隨著每個增量的增加而改善整體安全態勢。

負責保護公司數據的CIO，無論是知識產權、客戶信息、財務預測、上市計劃等，都可以接受或追逐。如果他們選擇后者，他們可能還希望為事件響應的上升做好準備，因為會有事件發生。如果他們選擇前者，他們將面臨艱巨的任務，因為他們將整個企業進行工作，并決定哪些產品可以引入內部，就像三星正在做的那樣。

GenAI是不可避免的，所以要準備好管理它的流動

識別和緩解使用AI工具的潛在風險的方法是與企業內的各種實體充分接觸，并為運營的每個方面創建政策和程序以及使用AI的途徑。緊隨其后的是非常明顯地需要創建和實施員工/承包商教育和實踐練習。CISO和他們的企業可以支持、支持、識別安全三角洲，并提出建議來緩解可能發生的情況，并為那些自由飛行的人系好安全帶。

雷為CIO們補充了一些非常及時的思考的基礎，尤其是在招聘真正具有競爭力的時代，并保留了“網絡招聘”的格局，這個領域的新員工必須能夠使用可用的工具并構建自己的工具，使用AI來幫助完善它們。

畢竟，AI是一種力量倍增器，應該利用它來做好事，但是，在你接受這個概念的同時，你還必須接受AI認證、政策和程序，最重要的是要對它在哪里和如何使用保持警惕。企業尤其需要知道和保護他們的“奶酪”——獲獎物品的位置。

選擇權掌握在CISO手中——你可以嚴密鎖定并徹底禁止聊天機器人，采取似乎所有正確的步驟來防止影子AI，然而，就像水從基巖中滲出一樣，用戶將找到一種方法來利用它。通過確保有必要的渠道讓水安全可靠地流動，明智的CISO將得到很好的服務。