這種未經(jīng)批準(zhǔn)的AI工具使用日益增多,通常被稱為“影子AI”,正成為負(fù)責(zé)保衛(wèi)組織安全的團(tuán)隊(duì)內(nèi)部的一個(gè)主要盲點(diǎn)。與影子IT類似,這種非官方使用繞過了標(biāo)準(zhǔn)的安全檢查,但AI帶來的風(fēng)險(xiǎn)更高。這些工具可以處理敏感代碼、內(nèi)部文檔和客戶數(shù)據(jù),從而增加了信息泄露、隱私問題和合規(guī)違規(guī)的風(fēng)險(xiǎn)。
調(diào)查顯示,86%的網(wǎng)絡(luò)安全專業(yè)人士表示他們使用AI工具,其中近四分之一的人是通過個(gè)人賬戶或未經(jīng)批準(zhǔn)的瀏覽器擴(kuò)展來使用的。76%的人認(rèn)為他們的網(wǎng)絡(luò)安全同事也在使用AI,通常是為了幫助編寫檢測規(guī)則、創(chuàng)建培訓(xùn)內(nèi)容或?qū)彶榇a。
輸入這些工具的數(shù)據(jù)類型進(jìn)一步增加了風(fēng)險(xiǎn),約30%的受訪者表示,內(nèi)部文檔和電子郵件被輸入到了AI系統(tǒng)中。大約相同數(shù)量的人承認(rèn),客戶數(shù)據(jù)或其他機(jī)密商業(yè)信息也被使用。五分之一的人表示,他們自己輸入了敏感信息,而12%的人甚至不確定輸入的是什么類型的數(shù)據(jù)。
“現(xiàn)實(shí)情況是:任何將敏感知識產(chǎn)權(quán)上傳到第三方SaaS平臺的行為,無論是代碼倉庫、文件共享工具還是AI助手,都會引入風(fēng)險(xiǎn),但恐慌不是解決辦法,治理才是。政策、AI數(shù)據(jù)處理教育以及一致的SaaS控制可以使GenAI像我們已經(jīng)信任的其他企業(yè)云服務(wù)一樣安全。”OWASP GenAI安全項(xiàng)目聯(lián)合主席Steve Wilson在接受采訪時(shí)表示。
“如果我們正在重新思考安全邊界——確實(shí)需要這么做——那么影子AI并不是我們最大的問題。今天真正的邊界危機(jī)集中在身份問題上。被泄露的憑證、內(nèi)部威脅以及利用深度偽造語音釣魚和AI加速攻擊的AI攻擊者,才是我們必須關(guān)注的地方。”Wilson補(bǔ)充道。
監(jiān)督并未跟上步伐,只有32%的企業(yè)在積極監(jiān)控AI的使用情況,另有24%的企業(yè)依賴非正式的檢查,如調(diào)查或經(jīng)理審查,這些方式往往無法發(fā)現(xiàn)真正的情況,14%的企業(yè)表示根本沒有進(jìn)行任何監(jiān)控,這意味著一些公司在AI風(fēng)險(xiǎn)方面處于盲目狀態(tài)。
調(diào)查還顯示,許多企業(yè)不清楚誰負(fù)責(zé)AI風(fēng)險(xiǎn),39%的受訪者表示沒有正式負(fù)責(zé)人,另有38%的人表示責(zé)任落在安全團(tuán)隊(duì)身上,而較小比例的人則指向了數(shù)據(jù)科學(xué)、高管領(lǐng)導(dǎo)層或法律和合規(guī)部門,這種回答的多樣性凸顯了團(tuán)隊(duì)間更好協(xié)調(diào)以及明確責(zé)任規(guī)劃的必要性。
企業(yè)網(wǎng)D1net(m.hfnxjk.com):
國內(nèi)頭部to B IT門戶,旗下運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運(yùn)營19個(gè)IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號