影子AI威胁企业安全

随着AI技术的飞速发展，各组织正面临一个新兴的安全威胁：影子AI应用程序。这些未经IT或安全监督的员工开发的未授权应用程序正在各公司中传播，往往未被察觉，正如最近的VentureBeat文章中所强调的那样。

VentureBeat解释说，尽管这些应用中的许多并非故意恶意，但它们对企业网络构成了重大风险，从数据泄露到合规性违规都有可能。

“影子AI”应用通常由寻求自动化日常任务或优化运营的员工构建，这些应用使用的AI模型是通过公司专有数据进行训练的。

这些应用通常依赖像OpenAI的ChatGPT或Google Gemini这样的生成AI工具，缺乏必要的安全防护措施，使得他们极易遭受安全威胁。

根据Prompt Security的首席执行官Itamar Golan的说法，“大约40%的模型会默认训练你提供的任何数据，这意味着你的知识产权可能会成为他们的模型的一部分，”VentureBeat报道。

暗影人工智能的吸引力显而易见。在面临越来越大的压力，要满足严格的截止日期和处理复杂的工作量的员工，正在转向这些工具来提高生产力。

WinWire的首席技术官Vineet Arora在接受VentureBeats采访时指出，“部门之所以会使用未经批准的AI解冖方案，是因为其带来的即时收益实在是太吸引人了。”然而，这些工具带来的风险却是深远的。

Golan将这种未经批准的AI比作体育运动中的兴奋剂，他说，“这就像环法自行车赛中的兴奋剂。人们想要获得优势，却没有意识到长期的后果，”这是VentureBeats的报道。

尽管它们有着诸多优势，但阴影AI应用程序也使组织暴露于一系列的漏洞中，包括传统安全措施无法检测到的意外数据泄漏和快速注入攻击。

这个问题的规模令人震惊。Golan向VentureBeats透露，他的公司每天都会记录50个新的AI应用程序，目前已经有超过12,000个在使用中。Golan建议说：“你无法阻止海啸，但你可以造一艘船。”他指出，许多组织对于他们网络中阴影AI使用的范围感到措手不及。

例如，一家金融公司在为期10天的审计中发现了65个未经授权的AI工具，远超过他们的安全团队预期的不到10个工具，这是由VentureBeats报道的。

影子AI的危险对于受监管的行业来说尤其严重。一旦专有数据被输入到公共AI模型中，就很难进行控制，从而可能导致合规性问题。

戈兰警告说：“即将到来的欧盟AI法案可能会使GDPR的罚款相形见绌”，而Arora则强调了数据泄露的威胁以及如果组织未能保护敏感信息，可能面临的惩罚，这是VentureBeats报道的。

为了解决日益严重的暗影AI问题，专家建议采取多方面的方法。Arora建议组织建立集中的AI治理结构，定期进行审计，并部署能够检测AI驱动的攻击的AI感知安全控制。

此外，企业应为员工提供预先批准的AI工具，并明确使用政策，以减少使用未经批准的解决方案的诱惑。