آیا هوش مصنوعی سایه بدتر از فناوری اطلاعات سایه است؟

یک دفتر کار آرام می‌تواند بی‌ضرر به نظر برسد. ردیف‌های مانیتور غرق در نور، هدفون‌هایی که مکالمات را می‌پوشانند، و همهمه کار بدون هیچ نشانه‌ای از اینکه چیزی شوم در زیر آن نهفته است، ادامه دارد. اما به طور فزاینده‌ای، فناوری‌های تصادفی و غیرمجاز وجود دارند — یک پوشه ابری شخصی در اینجا و یک ربات چت هوش مصنوعی غیرمجاز در آنجا. به زودی، سازمان باید همه این خطرات جدید و پیش‌بینی نشده را مدیریت کند. اما IT سایه فقط اولین بار تهدیدات پنهان بود. هوش مصنوعی سایه شرط را بالاتر برده است.

هوش مصنوعی سایه چیست و چرا در حال رشد است

به عنوان گسترشی از IT سایه، هوش مصنوعی سایه شامل استفاده کارکنان از فناوری‌های تأیید نشده است. IT سایه معمولاً به فناوری مصرف‌کننده، مانند برنامه‌های اشتراک فایل یا دستگاه‌های شخصی اشاره دارد. هوش مصنوعی سایه معمولاً شامل سیستم‌های سریع و داده‌محور است که رفتار آنها می‌تواند نامنظم باشد.

\ طبق تحقیقات انجام شده توسط گارتنر، ۸۰٪ سازمان‌ها در حاکمیت داده‌ها شکاف دارند. این شکاف‌ها باعث می‌شود افراد راحت‌تر رفتارهای تولید شده توسط هوش مصنوعی را از دست بدهند. بسیاری از تیم‌ها در ارزیابی‌های آمادگی امنیت سایبری شکست می‌خورند. خطر مرتبط با هوش مصنوعی با پذیرش ابزارهای جدید توسط کارکنان سریع‌تر از آنچه تیم‌های آنها بتوانند به طور کافی بررسی کنند، افزایش می‌یابد. از آنجا که ۳۰٪ نقض داده‌ها از فروشندگان یا تأمین‌کنندگان سرچشمه می‌گیرد، دانستن اینکه یک تیم از چه ابزارهایی استفاده می‌کند، یک جزء حیاتی برای تأمین امنیت دارایی‌های دیجیتال یک شرکت است.

\ هوش مصنوعی سایه محبوبیت پیدا کرده است زیرا کارکنان محتوای تولید شده توسط هوش مصنوعی را به عنوان راهی سریع‌تر برای ایجاد محتوا، خلاصه‌سازی اطلاعات پیچیده و عیب‌یابی مسائل فنی می‌بینند. این امر اصطکاک در کار روزانه را کاهش می‌دهد اما خطراتی را معرفی می‌کند که قبلاً با نگرانی‌های IT سایه دیده نشده بود، از جمله افشای داده‌ها، خطر انطباق و خطرات سطح مدل.

هوش مصنوعی سایه در مقابل IT سایه

IT سایه مدت‌هاست که به دلیل آسیب‌پذیری‌های ناشناخته مورد سرزنش قرار گرفته است. درصد بالایی از نقض‌های قبلی به دلیل ابزارهای SaaS امضا نشده یا ذخیره‌سازی شخصی بود. ابزارهای هوش مصنوعی معادله را کاملاً تغییر می‌دهند. مقیاس و سرعتی که با آن کار می‌کنند، همراه با عدم شفافیت آنها، خطراتی ایجاد می‌کند که تشخیص و مهار آنها دشوارتر است.

\ با ۷۸٪ سازمان‌هایی که از هوش مصنوعی در تولید استفاده می‌کنند، برخی از نقض‌ها اکنون به دلیل قرار گرفتن در معرض فناوری مدیریت نشده است. مدل IT بزرگتر هنوز مهم است، اما هوش مصنوعی بعد جدیدی را برای گسترش سطح حمله معرفی می‌کند.

تفاوت‌های کلیدی بین هوش مصنوعی سایه و IT سایه

هوش مصنوعی سایه شبیه به IT سایه است از این جهت که هر دو از تمایل کارمند برای بهره‌وری بیشتر ناشی می‌شوند، اما در محل قرار گرفتن خطر متفاوت هستند.

• ابزارهای IT سایه دارای منطق ثابت هستند، که رفتار را قابل پیش‌بینی می‌کند. پیش‌بینی رفتار ابزارهای هوش مصنوعی سایه پیچیده‌تر است زیرا مدل‌ها می‌توانند به طور مداوم اصلاح و بازآموزی شوند.
• خطرات IT سایه شامل ذخیره یا انتقال داده‌ها بدون مجوز است. خطرات هوش مصنوعی سایه شامل معکوس‌سازی مدل، مسموم کردن داده‌ها و آموزش مدل است.
• IT سایه قطعی است، در حالی که ابزارهای هوش مصنوعی ممکن است توهم داشته باشند، به طور ضعیف تعمیم دهند و با اعتماد به نفس بیش از حد خروجی‌های نادرست تولید کنند.

\ هوش مصنوعی سایه همچنین در زمینه مقررات آینده، مانند قانون هوش مصنوعی اتحادیه اروپا، که می‌تواند نظارت نظارتی را افزایش دهد، به وجود می‌آید.

خطرات امنیتی که هوش مصنوعی سایه را فوری‌تر می‌کند

هوش مصنوعی سایه می‌تواند منجر به مشکلاتی در مهندسی، بازاریابی و امور مالی شود. همانطور که تصمیمات بر اساس خروجی‌های هوش مصنوعی گرفته می‌شوند، داده‌های اختصاصی می‌توانند نشت کنند و فرآیندهای تجاری داخلی می‌توانند بدون اینکه کسی متوجه شود دستکاری شوند.

\

• دستکاری مدل: مهاجمان می‌توانند داده‌هایی را طراحی کنند که نتایج را منحرف می‌کند.
• قرار گرفتن در معرض تزریق پرامپت: یک پرامپت ایجاد شده می‌تواند برای استخراج اطلاعات خصوصی از یک مدل استفاده شود.
• شکاف‌های تبارشناسی داده: ابزارهای هوش مصنوعی ممکن است داده‌ها را به روش‌هایی تولید و ذخیره کنند که تیم‌های امنیتی نمی‌توانند ردیابی کنند.
• انحراف انطباق: ابزارهای هوش مصنوعی تغییر می‌کنند و طرح‌های حاکمیت در حال تکامل ممکن است بی‌ربط شوند.

\ نگرانی با ظهور هوش مصنوعی مولد افزایش می‌یابد. یک ربات چت که به سؤال فروشنده پاسخ می‌دهد یا خلاصه هوش مصنوعی مولد ممکن است بی‌ضرر به نظر برسد، اما خطر افشای داده‌های حساس استفاده یا مالکیت معنوی اختصاصی ارزشمند را دارد. دانشگاه کارنگی ملون دریافت که مدل‌های زبانی بزرگ بسیار آسیب‌پذیرتر از سیستم‌های مبتنی بر قاعده در برابر پرامپت‌های خصمانه هستند. مشکل زمانی افزایش می‌یابد که کارکنان بتوانند بدون نظارت از ابزارها استفاده کنند.

\ یک درخت تصمیم‌گیری مبتنی بر هوش مصنوعی می‌تواند نسبت به یک درخت تصمیم‌گیری متعارف جانبدارتر باشد. هوش مصنوعی سایه اغلب اطلاعات آموزشی ناقص را دریافت می‌کند که به ابزارهای شخص ثالث تغذیه می‌شود. نظارت ساختاریافته بر سیستم‌های هوش مصنوعی یکپارچگی به‌روزرسانی‌ها را تضمین می‌کند. وقتی تیم‌ها این را نادیده می‌گیرند، داده‌ها و رفتار مدل منحرف می‌شود.

چگونه تیم‌های امنیتی می‌توانند قرار گرفتن در معرض هوش مصنوعی سایه را کاهش دهند

اگرچه هوش مصنوعی سایه خطرات متعددی را به همراه دارد، سازمان‌ها می‌توانند بسیاری از آنها را با ترکیب دید با سیاست و کنترل‌های فنی کاهش دهند، تعادلی ایجاد کنند که بهره‌وری کارکنان را محافظت می‌کند بدون اینکه آنها را با ورودهای زمان‌بر یا سایت‌های مسدود شده بار کند. تیم‌های امنیتی از برخورد با هوش مصنوعی سایه به عنوان یک مسئله حاکمیتی به جای یک مسئله تنبیهی بهره می‌برند. استراتژی‌های کاهش ناگزیر باید تکامل یابند زیرا کارکنان از ابزارهای هوش مصنوعی برای بهبود بهره‌وری استفاده می‌کنند.

۱. ایجاد یک چارچوب حاکمیت هوش مصنوعی روشن

یک طرح حاکمیت باید مشخص کند که کدام ابزارهای هوش مصنوعی را تأیید کند، چه نوع داده‌هایی کارکنان می‌توانند استفاده کنند، چگونه خروجی‌های مدل را قبل از تصمیم‌گیری‌های پرخطر بررسی کنند و در صورت بروز رفتار غیرقابل پیش‌بینی مدل چه کاری انجام دهند. عنصر اخیر شامل این است که چه کسی رفتار را بررسی می‌کند، چه کسی علل آن را بررسی می‌کند و پیامدهای آن چیست.

\ با نظارت در محل، سازمان‌ها می‌توانند با هوش مصنوعی مانند هر دارایی دیگر سازمانی رفتار کنند، مشمول همان قابلیت ردیابی، حسابرسی، امنیت و مسئولیت‌های انطباق مانند سایر سیستم‌های سازمانی قدیمی.

۲. ارائه ابزارهای هوش مصنوعی تأیید شده

تیم‌هایی که به ابزارهای هوش مصنوعی متمرکز و بررسی شده دسترسی دارند، کمتر احتمال دارد به هوش مصنوعی عمومی تأیید نشده برای دور زدن مسدودکننده‌ها روی آورند. همانطور که مشاغل بیشتر خودکار می‌شوند، کارکنان تلاش بیشتری را در مدل‌های مختلف صرف خواهند کرد. کارگران در حال حاضر حدود ۴.۶ ساعت در هفته را صرف استفاده از هوش مصنوعی در کار می‌کنند، که از میانگین زمان استفاده شخصی ۳.۶ ساعت در هفته بیشتر است. هوش مصنوعی از اشخاص ثالث، بدون نظارت مناسب، ممکن است از قبل رایج‌تر از ابزارهای سازمانی باشد که بررسی و تأیید شده‌اند. شرکت‌ها باید اقدامات فوری برای اجرای سیاست‌های خود انجام دهند.

\ با یک محیط مدیریت شده، سازمان‌ها می‌توانند استفاده را از طریق ابزارها نظارت کنند، مجوزها را در پایگاه‌های داده تنظیم کنند و حاکمیت داده‌ها را در سراسر بخش‌ها اجرا کنند. این امر بهره‌وری کارکنان را بهبود می‌بخشد و در عین حال از یکپارچگی داده‌ها و انطباق کسب و کار محافظت می‌کند.

۳. نظارت بر حرکت داده‌ها و استفاده از مدل

ابزارهای دید که رفتار غیرعادی را پرچم‌گذاری می‌کنند — مانند افزایش ناگهانی در استفاده از هوش مصنوعی، آپلود داده‌ها به نقاط پایانی غیرمعمول، یا دسترسی به مدل در یک بازه زمانی کوتاه با داده‌های حساس — ممکن است به تیم‌های امنیتی در شناسایی سوء استفاده و نشت داده‌ها کمک کند. گزارش‌ها نشان می‌دهد که در طول سال گذشته، تا ۶۰٪ کارکنان از ابزارهای هوش مصنوعی تأیید نشده استفاده کرده‌اند و ۹۳٪ اعتراف کرده‌اند که داده‌های شرکت را بدون مجوز وارد کرده‌اند.

\ تشخیص زودهنگام این الگوها ممکن است اصلاح، آموزش مجدد، پیکربندی مجدد مجوز یا خاتمه فرآیند را قبل از اینکه منجر به نشت داده‌ها یا نقض انطباق شود، امکان‌پذیر سازد.

۴. آموزش کارکنان در مورد خطرات خاص هوش مصنوعی

آموزش امنیت سایبری به طور کلی کافی نیست. هوش مصنوعی می‌تواند با تفسیر نادرست قصد پشت پرامپت‌ها توهم داشته باشد و محتوای به ظاهر معتبر، نادرست یا جانبدارانه تولید کند. علاوه بر این، کارگران باید درک کنند که استفاده از هوش مصنوعی با استفاده از نرم‌افزار یا خدمات متفاوت است. استفاده امن نیاز به تغییر مدل‌های ذهنی، درک خطرات پرامپت و مدیریت داده‌های شخصی دارد.

\ کاربران با سواد ماشینی پایه، خروجی را بررسی واقعیت می‌کنند و کمتر احتمال دارد داده‌های شخصی را بیش از حد به اشتراک بگذارند. آنها با ابزارها به عنوان همکاران ارزشمند رفتار خواهند کرد، اما باید تحت نظارت انسان استفاده شوند.

محافظت از سازمان‌ها در برابر هوش مصنوعی سایه

هوش مصنوعی سایه سریع‌تر رشد می‌کند و شناسایی آن دشوارتر از IT سایه است. اگرچه مقیاس و پیچیدگی خطرات متفاوت است، جلب کمک کارکنان می‌تواند هر دو را مؤثرتر شناسایی کند. سیاست‌های حاکمیت می‌تواند به شرکت‌ها در ایجاد تعادل مناسب کمک کند. تیم‌های امنیتی باید قرار گرفتن در معرض خود را مجدداً ارزیابی کنند، برای تهدیدات نوظهور هوشیار باشند و قبل از اینکه ابزارهای مبتنی بر هوش مصنوعی نامرئی تصمیمات محوری در برنامه‌های تجاری بگیرند، فوراً اقدام کنند.