我們在工作中使用GenAI來簡化任務(wù)，但我們是否意識到其中的風險?

據(jù)Netskope稱，現(xiàn)在平均每個企業(yè)每月與AI工具共享的數(shù)據(jù)量超過7.7GB，75%的企業(yè)用戶正在使用具有GenAI功能的應(yīng)用程序。

GenAI的陰暗面

事實上，89%的企業(yè)對AI的使用情況一無所知，這暴露了監(jiān)督和控制方面的空白，更重要的是，71%的GenAI工具是通過個人非工作賬戶訪問的。即使使用了公司賬戶，也有58%的登錄繞過了單點登錄(SSO)，這意味著安全團隊無法看到員工使用的工具或共享的信息。

三星員工在使用ChatGPT協(xié)助工作時，無意中泄露了高度機密的數(shù)據(jù)，導(dǎo)致公司禁止使用GenAI工具。

DeepSeek在收到警告稱其在中國境內(nèi)的安全服務(wù)器上收集用戶數(shù)據(jù)并用于各種目的后，仍出現(xiàn)了大量下載。

影子AI

一個更大的問題是影子AI——即未經(jīng)官方批準在企業(yè)內(nèi)使用AI工具。AI的使用痕跡較少，且可能在個人設(shè)備或瀏覽器上進行。將敏感數(shù)據(jù)輸入AI工具可能導(dǎo)致該信息被存儲在公司控制之外的外部服務(wù)器上，從而增加數(shù)據(jù)泄露和隱私侵犯的風險。

Ivanti發(fā)現(xiàn)，81%的上班族表示他們沒有接受過GenAI的培訓(xùn)，15%的人正在使用未經(jīng)批準的工具。

“雖然沒有一個行業(yè)比另一個行業(yè)更容易受到影子AI風險的影響，但較大的企業(yè)或知名品牌通常更有可能因其影響而面臨嚴重的聲譽損害。”Skyhigh Security的CTO Steve Tait表示。

禁止GenAI并不足夠

GenAI的發(fā)展速度超過了大多數(shù)公司的應(yīng)對能力，許多公司仍然沒有制定員工在工作時應(yīng)如何使用這些工具的規(guī)則。

一些公司目前正在完全禁止使用GenAI或僅阻止某些應(yīng)用程序，然而，僅憑禁止而不理解其潛在危險是不夠的，這會導(dǎo)致影子使用。

企業(yè)應(yīng)采取的措施：

? 制定政策，明確GenAI工具的使用時機以及何時需要人工監(jiān)督以防止有害錯誤。

? 提供員工培訓(xùn)，并定期審計使用情況，以確保GenAI工具的負責任和合規(guī)使用。

? 控制和限制輸入GenAI的信息類型，以保護個人數(shù)據(jù)并遵守隱私法。

教育是關(guān)鍵，員工應(yīng)意識到，如果使用不當，這些應(yīng)用程序和工具并非無害。

高層的盲點

企業(yè)不能忽視GenAI技術(shù)，因此，一些企業(yè)可能會在未充分了解其工作原理或所攜帶風險的情況下實施這些工具。對投資者說“我們使用AI”可能聽起來不錯，但這可能導(dǎo)致數(shù)據(jù)泄露、訴訟或負面報道。

“GenAI很可能成為IT安全演進的下一個主要誘因，隨著AI融入每個流程，大多數(shù)企業(yè)將尋求方法以查看、控制和保護其用戶和數(shù)據(jù)。”WitnessAI的CEO Rick Caccia指出。

領(lǐng)導(dǎo)者不需要成為AI專家，但他們需要提出正確的問題。模型使用了哪些數(shù)據(jù)?如何監(jiān)控?如果出現(xiàn)問題，誰負責?沒有這種意識，采用AI就不是一種策略，而是一種賭博。