與影子人工智能相關的挑戰在好轉之前可能會變得更糟，因為人工智能工具的實施速度比大多數組織能夠保護它們的速度更快。

研究表明，近一半(49%)的人使用過生成式人工智能，其中超過三分之一的人每天都在使用它。不可否認，生成式人工智能有許多好處和用例，但在IT治理之外的組織內非法或未經批準地使用這些工具（稱為影子人工智能）可能會導致重大風險。

在過去的一年里，我們看到亞馬遜等科技巨頭抓住了利用ChatGPT和其他人工智能工具來獲取業務收益的機會。但其他企業已經禁止其使用：去年，三星在數據意外泄露后禁止員工使用ChatGPT和GoogleBard等工具。由于擔心敏感信息共享，高盛和花旗集團等更多銀行也限制人工智能的使用。

我們看到知名機構以這種方式做出反應，因為影子人工智能帶來了未知的威脅，并在更廣泛的影子IT威脅類別中為安全性和合規性提供了新的威脅向量。

據估計，三分之一的成功網絡攻擊來自影子IT。盡管如此，影子IT的威脅眾所周知，而且一旦發現就相對容易管理。只需將其退役并繼續。另一方面，影子人工智能則帶來更多難以量化和管理的未知風險。這不僅僅是未經批準使用這些工具的問題。它還涉及在未經授權且目前不受監管的空間中未經批準使用公司數據。此外，使用或可能使用這些人工智能工具的范圍不僅限于技術人員。

這些因素，再加上在更短的時間內完成更多工作的承諾，為更多人將公司數據輸入未經授權的工具打開了大門，從而使敏感信息和知識產權面臨風險。

什么是影子人工智能（ShadowAI）是一個相對較新的概念，指的是在組織內未經正式審查或批準而獨立開發或采用的AI技術和系統。這種現象可能在任何規模的組織中發生，包括企業、政府機構甚至小型團隊。影子AI的存在通常是因為團隊或個人試圖繞過正式的審批流程，以快速推進項目或解決特定的問題，但這樣做可能會帶來一系列的風險和挑戰。

影子人工智能的風險

數據安全和隱私：未經審查的AI系統可能會處理敏感或受保護的數據，而不遵循組織的數據保護政策，從而增加數據泄露或濫用的風險。

兼容性和集成問題：獨立開發的AI解決方案可能與組織現有的IT架構和系統不兼容，導致集成問題和效率低下。

質量和可靠性問題：影子AI項目可能未經過充分測試和驗證，其性能和可靠性無法保證，可能導致錯誤決策和潛在的業務損失。

資源分散：未經批準的項目可能會消耗有限的資源，包括時間、資金和人員，這些資源本可以用于支持正式批準的項目。

法律和合規風險：使用未經審查的AI技術可能違反特定行業的法律和規定，給組織帶來法律訴訟和罰款風險。

應對影子人工智能的策略

建立正式的AI治理框架：確保所有AI項目都符合組織的政策、標準和流程。

提高透明度：鼓勵團隊報告和分享他們的AI項目，無論它們是官方批準的還是處于探索階段。

教育和培訓：對員工進行關于數據保護、AI倫理和合規性的培訓。

提供資源和支持：為那些希望探索AI解決方案的團隊提供必要的資源和指導，以減少他們自行采用影子AI的動機。

實施風險評估程序：確保所有新引入的AI系統和技術都經過適當的風險評估，以識別和緩解潛在的安全和合規風險。

通過這些策略，組織可以減少影子人工智能帶來的風險，同時促進技術創新和進步。

解決影子人工智能潛在威脅的4個技巧

雖然管理和監控數據活動的傳統方法對于保護數據環境、確保授權數據使用和滿足隱私要求至關重要，但不足以防御數據中心墻外的影子人工智能。也不是徹底禁止所有人工智能的使用，因為許多員工仍然想方設法謹慎地利用人工智能來為自己謀利。

幸運的是，IT領導者可以采取一些額外的步驟來幫助減少這些潛在的威脅。這些包括:

讓員工了解未經批準使用人工智能的風險，重要的是要記住，大多數影子人工智能違規行為并非出于惡意。在從同事、朋友和家人那里得知像ChatGPT這樣的流行平臺如何幫助處理乏味的工作，甚至創作藝術或音樂后，員工常常很想嘗試一下，看看自己能從中受益。因此，關鍵的第一步是對員工進行教育。

具體了解影子人工智能帶來的威脅和影響：首先，將敏感或專有信息輸入黑匣子人工智能的可能性。其次，缺乏對企業人工智能使用的整體了解，意味著人工智能失敗的影響將是未知的。與員工建立這種程度的透明度有助于證明風險是真實的。

更新人工智能政策和流程：對于許多企業來說，全面禁止所有人工智能的使用并不是一條合理的道路，尤其是那些每天使用機器學習和大型語言增強功能的企業。但IT領導者可以更新他們的政策，以包含特定的人工智能限制以及有關如何獲得批準的業務需求的指導。為了為合法用例提供授權途徑，組織可以實施審查人工智能使用的流程，在此期間企業可以審查用例、評估風險并批準或拒絕。

采用端點安全工具：實際上，僅人工智能教育和更新的政策并不能阻止所有用戶嘗試影子人工智能技術和服務。因此，為了進一步保護自己，組織必須采用更多工具來增強對所有人工智能使用的可見性，并降低用戶層面的外部風險。端點將成為控制或了解用戶是否以及如何仍在使用影子人工智能的最有效的地方。因此，在許多情況下，采用端點安全工具是解決方案，可以應對遠程用戶和基于云的人工智能平臺的最大風險。這可以以云訪問安全代理(CASB)等技術以及解決端點和遠程工作人員問題的其他技術的形式出現。

與人工智能供應商建立終端用戶協議：終端用戶許可協議(EULA)在IT領域并不罕見。這些協議也稱為軟件許可協議，是在終端用戶和軟件供應商之間實施的。當在軟件級別實施時，這些協議圍繞用戶如何使用特定軟件或應用設置參數。該協議還包括對使用該軟件的限制。例如，EULA限制用戶以任何有利于自己而不是供應商的方式分發或共享軟件。從人工智能的角度來看，實施類似的協議可能有利于控制將哪些數據輸入人工智能模型和平臺。一份正式協議清楚地概述了員工在利用這些模型時可以使用和不能使用哪些類型的數據，有助于設定明確的界限和指導方針。它還開放了與人工智能供應商本身的溝通，使流程更加協作和透明。

展望未來

不幸的是，與影子人工智能相關的挑戰在好轉之前可能會變得更糟，因為人工智能工具的實施速度比大多數組織能夠保護它們的速度更快。更重要的是，組織可能需要時間來實施正確的策略并部署所需的培訓，以確保在人工智能模型中正確、安全地利用數據。然而，我們可能會看到更多的公司和解決方案出現來應對這些風險。

技術行業從未面臨過如此規模的情況，組織無法清楚地了解數據的去向、接收者以及數據的使用方式。快速停用有問題的系統來解決所有影子IT問題的日子已經一去不復返了。歸根結底，影子人工智能的足跡是巨大的，組織必須立即采取行動，防止更多未經批準的人工智能使用，以免為時已晚。