Prijetnja Shadow AI ugrožava sigurnost poduzeća

Kako se tehnologija umjetne inteligencije brzo razvija, organizacije se suočavaju s novonastalom sigurnosnom prijetnjom: shadow AI aplikacijama. Ove neautorizirane aplikacije, koje razvijaju zaposlenici bez nadzora IT odjela ili sigurnosnih službi, šire se po tvrtkama i često prolaze nezapaženo, kako je istaknuto u nedavnom VentureBeat članku.

VentureBeat objašnjava da, iako mnoge od ovih aplikacija nisu namjerno zlonamjerne, predstavljaju značajne rizike za korporativne mreže, od sigurnosnih propusta podataka do kršenja pravila sukladnosti.

Aplikacije Shadow AI često izrađuju zaposlenici koji žele automatizirati rutinske zadatke ili pojednostaviti operacije, koristeći AI modele obučene na vlasničkim podacima tvrtke.

Ove aplikacije, koje se često oslanjaju na generativne AI alate poput OpenAI-jevog ChatGPT-a ili Google Gemini, nemaju ključne sigurnosne mjere, čineći ih izuzetno ranjivima na sigurnosne prijetnje.

Prema Itamaru Golanu, izvršnom direktoru tvrtke Prompt Security, “Oko 40% ovih sustava prelazi na treniranje na bilo kojim podacima koje im pružite, što znači da vaše intelektualno vlasništvo može postati dio njihovih modela,” kako je izvijestio VentureBeat.

Privlačnost sjene AI je jasna. Zaposlenici, pod sve većim pritiskom da ispoštuju stroge rokove i nose se s kompleksnim radnim opterećenjima, okreću se ovim alatima kako bi poboljšali produktivnost.

Vineet Arora, CTO u WinWireu, napominje VentureBeatsu, “Odjeli se prepuštaju nesankcioniranim AI rješenjima jer su neposredne koristi prevelike da bi se mogle ignorirati.” Međutim, rizici koje ovi alati donose su duboko ukorijenjeni.

Golan uspoređuje shadow AI s performansama poboljšavajućim drogama u sportu, govoreći, “To je kao doping u Tour de Franceu. Ljudi žele prednost ne shvaćajući dugoročne posljedice,” kako prenosi VentureBeats.

Unatoč svojim prednostima, aplikacije sjenovne AI izlažu organizacije nizu ranjivosti, uključujući slučajne curenje podataka i napade ubrizgavanjem koji tradicionalne sigurnosne mjere ne mogu detektirati.

Razmjera problema je zapanjujuća. Golan otkriva VentureBeatsu da njegova tvrtka svakodnevno katalogizira 50 novih AI aplikacija, s trenutno preko 12,000 u upotrebi. “Ne možete zaustaviti tsunami, ali možete izgraditi brod,” savjetuje Golan, ukazujući na činjenicu da su mnoge organizacije zatečene opsegom upotrebe sjenovne AI unutar svojih mreža.

Jedna financijska firma, na primjer, otkrila je 65 neautoriziranih AI alata tijekom 10-dnevne revizije, što je daleko više od manje od 10 alata koje je njihov sigurnosni tim očekivao, kako je prijavio VentureBeats.

Opasnosti od sjene AI su posebno akutne za regulirane sektore. Jednom kada se vlasnički podaci unesu u javni AI model, postaje teško kontrolirati, što dovodi do potencijalnih problema s usklađenošću.

Golan upozorava: “Predstojeći Zakon EU o AI mogao bi čak nadmašiti GDPR po kaznama”, dok Arora naglašava prijetnju curenja podataka i kazne koje organizacije mogu doživjeti ako ne uspiju zaštititi osjetljive informacije, kako je izvijestio VentureBeats.

Da bi se riješio rastući problem sjenovite AI, stručnjaci preporučuju višestruki pristup. Arora predlaže da organizacije stvaraju centralizirane strukture upravljanja AI, provode redovite revizije i implementiraju sigurnosne kontrole svjesne AI koje mogu detektirati zloupotrebe vođene AI.

Osim toga, tvrtke bi trebale pružiti zaposlenicima unaprijed odobrene AI alate i jasne politike korištenja kako bi smanjile iskušenje da koriste neodobrene rješenja.