Заплахата от Shadow AI зарадва сигурността на предприятията

Докато технологията на изкуствения интелект (AI) бързо се развива, организациите се сблъскват с нова заплаха за сигурността: теневите AI приложения. Тези неоторизирани приложения, разработени от служители без надзор от ИТ или сигурност, се разпространяват в компаниите и често остават незабелязани, както е подчертано в скорошна статия в VentureBeat.

VentureBeat обяснява, че въпреки че много от тези приложения не са умишлено злонамерени, те представляват значителни рискове за корпоративните мрежи, вариращи от нарушения на данните до нарушения на правилата за съответствие.

Приложенията от тип Shadow AI често се създават от служители, които търсят да автоматизират рутинни задачи или да оптимизират операциите, като използват AI модели, обучени със запазена фирмена информация.

Тези приложения, които често се базират на генеративни AI инструменти като ChatGPT на OpenAI или Google Gemini, не разполагат с необходимите защитни механизми, което ги прави изключително уязвими към сигурностни заплахи.

Според Итамар Голан, изпълнителен директор на Prompt Security, „Около 40% от тези системи по подразбиране обучават на всякакви данни, които им подавате, което означава, че вашата интелектуална собственост може да стане част от техните модели“, както съобщава VentureBeat.

Привлекателността на тъмната изкуствена интелигентност е ясна. Служителите, изправени пред все по-голям натиск да спазват строги срокове и да се справят със сложни работни натоварвания, се обръщат към тези инструменти, за да увеличат производителността.

Vineet Arora, CTO в WinWire, забелязва за VentureBeats, “Отделите се впускат в несанкционирани AI решения, защото незабавните им ползи са твърде примамливи, за да бъдат игнорирани.” Въпреки това, рисковете, които тези инструменти въвеждат, са значителни.

Голан сравнява т.нар. „сенчестия AI“ с подобряващите производителността наркотици в спорта, казвайки, “Това е като допинга в Тур дьо Франс. Хората искат предимство, без да осъзнават дългосрочните последствия,” както е докладвано от VentureBeats.

Въпреки предимствата си, приложенията на теневия AI излагат организациите на редица уязвимости, включително случайни утечки на данни и незабавни инжекционни атаки, които традиционните мерки за сигурност не могат да открият.

Мащабът на проблема е огромен. Голан разкрива пред VentureBeats, че компанията му каталогизира 50 нови AI приложения всеки ден, с над 12 000 вече в употреба. „Не можеш да спреш цунами, но можеш да построиш лодка“, съветва Голан, сочейки факта, че много организации са изненадани от обхвата на употребата на теневия AI в техните мрежи.

Една финансова фирма, например, откри 65 неразрешени AI инструмента по време на 10-дневна проверка, много повече от по-малко от 10 инструмента, които екипът им за сигурност беше очаквал, както е докладвано от VentureBeats.

Опасностите от сянковия AI са особено остри за регулираните сектори. Веднъж когато собствените данни са въведени в публичен AI модел, става трудно да се контролират, което води до потенциални проблеми със съответствието.

Голан предупреждава: „Предстоящият закон на ЕС за изкуствен интелект може да надмине дори и ГДПР по отношение на глобите“, докато Арора подчертава заплахата от изтичане на данни и санкциите, с които организациите може да се сблъскат, ако не успеят да защитят чувствителна информация, както е отразено в VentureBeats.

За да се справят с нарастващия проблем на теневия изкуствен интелект, експертите препоръчват многостранен подход. Арора предлага организациите да създадат централизирани структури за управление на изкуствения интелект, да провеждат редовни одити и да внедряват контролни механизми за сигурност, които са осведомени за изкуствения интелект и могат да откриват атаки, управлявани от него.

Освен това, бизнесът трябва да предоставя на служителите си предварително одобрени AI инструменти и ясни политики за употреба, за да намали изкушението да се използват неразрешени решения.