在企業(yè)數(shù)字化轉(zhuǎn)型的浪潮中，一股新的力量正悄然興起，卻也讓安全領(lǐng)導(dǎo)者和CISO們頭疼不已——那就是影子AI。這些并非來自外部攻擊者的威脅，而是由本應(yīng)值得信賴的員工，在沒有IT和安全部門監(jiān)督或批準(zhǔn)的情況下，自行創(chuàng)建的AI應(yīng)用。它們?nèi)缤瑪?shù)字世界的“興奮劑”，讓使用者能在短時(shí)間內(nèi)完成更細(xì)致的工作，卻也讓企業(yè)的安全邊界變得岌岌可危。

影子AI的應(yīng)用范圍廣泛，從自動(dòng)化報(bào)告生成到營銷自動(dòng)化、數(shù)據(jù)可視化，再到高級數(shù)據(jù)分析，幾乎無所不能。然而，這些應(yīng)用大多未經(jīng)任何防護(hù)措施，就像一顆顆“定時(shí)炸彈”，隨時(shí)可能引發(fā)數(shù)據(jù)泄露、違規(guī)行為，甚至損害企業(yè)的聲譽(yù)。

“我們每天都能發(fā)現(xiàn)50個(gè)新的AI應(yīng)用，并且已經(jīng)記錄了超過12000個(gè)?！盤rompt Security的首席執(zhí)行官伊塔馬爾·戈蘭在接受采訪時(shí)透露，“其中約40%默認(rèn)使用你提供的任何數(shù)據(jù)進(jìn)行訓(xùn)練，這意味著你的知識產(chǎn)權(quán)可能會(huì)成為它們模型的一部分。”

那么，為何影子AI會(huì)如此泛濫呢?原因其實(shí)很簡單：員工們面臨著日益增多且愈發(fā)復(fù)雜的工作、長期的時(shí)間短缺和更緊迫的截止日期。在巨大的壓力下，他們選擇了影子AI作為“救命稻草”，以在更少的時(shí)間內(nèi)提高生產(chǎn)力。

然而，這場“無人預(yù)見的虛擬海嘯”卻給企業(yè)帶來了前所未有的挑戰(zhàn)。戈蘭警告說：“假裝AI不存在并不能保護(hù)你——這只會(huì)讓你措手不及。”事實(shí)上，許多企業(yè)對自己的影子AI使用情況一無所知，直到發(fā)生了安全事件才恍然大悟。

影子AI之所以如此危險(xiǎn)，是因?yàn)樗鼈兺谔幚砥髽I(yè)數(shù)據(jù)時(shí)缺乏必要的合規(guī)和風(fēng)險(xiǎn)審查。一旦專有數(shù)據(jù)進(jìn)入公共領(lǐng)域模型，任何組織都將面臨更大的挑戰(zhàn)，尤其是對于那些有重大合規(guī)和監(jiān)管要求的上市公司來說。

那么，企業(yè)該如何應(yīng)對影子AI的挑戰(zhàn)呢?WinWire的首席技術(shù)官維尼特·阿羅拉提出了一套全面的監(jiān)督和安全創(chuàng)新藍(lán)圖。他強(qiáng)調(diào)，企業(yè)不能簡單地禁止AI的使用，而應(yīng)該通過定義穩(wěn)健的安全策略，引導(dǎo)員工安全地使用AI技術(shù)。

阿羅拉的藍(lán)圖包括以下幾個(gè)關(guān)鍵見解：

1.影子AI肆虐的根源：現(xiàn)有的IT和安全框架并未設(shè)計(jì)為能夠檢測影子AI。傳統(tǒng)的IT管理工具缺乏保持業(yè)務(wù)安全所需的合規(guī)性和治理可見性，從而讓影子AI有機(jī)可乘。

2.目標(biāo)設(shè)定：企業(yè)應(yīng)在促進(jìn)創(chuàng)新的同時(shí)，不失去對AI的控制。員工并非有意為惡，他們只是面臨著巨大的壓力。因此，企業(yè)應(yīng)提供安全的AI選項(xiàng)，引導(dǎo)員工安全地使用AI技術(shù)。

3.集中化AI治理：與其他IT治理實(shí)踐一樣，集中化AI治理是管理影子AI應(yīng)用泛濫的關(guān)鍵。統(tǒng)一監(jiān)督有助于防止未知應(yīng)用悄悄泄露敏感數(shù)據(jù)。

4.持續(xù)檢測與管理：發(fā)現(xiàn)隱藏的影子AI應(yīng)用是最大的挑戰(zhàn)。企業(yè)需要通過網(wǎng)絡(luò)流量監(jiān)控、數(shù)據(jù)流分析、軟件資產(chǎn)管理等多種手段，持續(xù)檢測、監(jiān)控和管理影子AI。

5.平衡靈活性與安全性：企業(yè)不能扼殺AI的采用，但應(yīng)引導(dǎo)其安全發(fā)展。提供安全的AI選項(xiàng)可以確保員工不會(huì)受到誘惑而偷偷行事。

基于這些見解，阿羅拉和戈蘭建議企業(yè)遵循以下七項(xiàng)影子AI治理指南：

1.進(jìn)行正式的影子AI審計(jì)：以全面的AI審計(jì)為基礎(chǔ)，建立初始基線，根除未經(jīng)授權(quán)的AI使用。

2.設(shè)立負(fù)責(zé)AI的辦公室：集中IT、安全、法律和合規(guī)部門的政策制定、供應(yīng)商審查和風(fēng)險(xiǎn)評估，確保AI使用的合規(guī)性和安全性。

3.部署AI感知安全控制：傳統(tǒng)工具會(huì)遺漏基于文本的漏洞利用。企業(yè)應(yīng)采用針對AI的DLP、實(shí)時(shí)監(jiān)控和自動(dòng)化手段，標(biāo)記可疑提示。

4.建立集中的AI清單和目錄：經(jīng)過審查的批準(zhǔn)AI工具列表可以減少臨時(shí)服務(wù)的吸引力。當(dāng)IT和安全部門主動(dòng)頻繁更新列表時(shí)，創(chuàng)建影子AI應(yīng)用的動(dòng)機(jī)就會(huì)減少。

5.強(qiáng)制員工培訓(xùn)：教育員工安全使用AI以及潛在的數(shù)據(jù)處理不當(dāng)風(fēng)險(xiǎn)。如果員工不理解政策，那么政策就毫無價(jià)值。

6.與治理、風(fēng)險(xiǎn)和合規(guī)(GRC)以及風(fēng)險(xiǎn)管理相集成：AI監(jiān)督必須與受監(jiān)管行業(yè)至關(guān)重要的治理、風(fēng)險(xiǎn)和合規(guī)流程相聯(lián)系。

7.認(rèn)識到一刀切的禁令會(huì)失敗：企業(yè)應(yīng)尋找快速提供合法AI應(yīng)用的新方法，避免一刀切的禁令導(dǎo)致更多影子AI應(yīng)用的創(chuàng)建和使用。

總之，影子AI是一把雙刃劍。它既能提升企業(yè)的生產(chǎn)效率，也可能帶來嚴(yán)重的安全風(fēng)險(xiǎn)。因此，企業(yè)需要采取全面的治理策略，結(jié)合集中化AI治理、用戶培訓(xùn)和主動(dòng)監(jiān)控等手段，確保在保障安全的前提下充分釋放AI的潛力。只有這樣，企業(yè)才能在數(shù)字化轉(zhuǎn)型的浪潮中乘風(fēng)破浪，穩(wěn)健前行。