注意「影子AI」風險 6成員工自行用AI工具成隱憂
編譯/黃竣凱
人工智慧(AI)技術的飛速發展,為各行業帶來了前所未有的機遇,但也孕育了一些新的挑戰,而其中「影子AI」問題正引發廣泛關注。所謂「影子AI」,是指公司員工在管理階層毫不知情的情況下,將AI工具整合到工作流程中,可能會帶來網路安全和資料隱私風險。
雖然員工使用AI工具旨在提高工作效率,簡化繁瑣流程或單調重複任務,但這種主觀的、追求便利的做法,卻可能為企業帶來意料之外的新風險。根據研究公司 Forrester Research 預測,到2024年,將有60%的員工在工作中使用自己的AI工具。這種在企業無法控制和監管的「影子AI」行為,勢必會給公司的合規性和監管合規帶來巨大挑戰。
影子AI問題
一但員工在沒有監管的情況下使用AI,就可能會不當地提供公司的敏感數據,或者在後台中,無意中開放公司數據供AI工具抓取,使企業無法保證員工在AI工具中輸入的公司資訊不會流向他處。此外,基於AI工具氾濫,公司也可能會因為無法掌控員工使用哪個工具,而無法進行管理。
處理影子AI問題的策略
針對這一風險,網路安全媒體《The Hacker News》就採訪了資深網路安全專家,並提出五項建議,幫助企業資訊安全長和網路安全團隊,有效降低獨立AI工具帶來的隱患。
- 不要忽視標準的盡職調查
企業不應忽視對這些工具的常規盡職調查,安全團隊或法務人員應閱讀使用條款,以便在供應商違約時採取法律行動。
- 訂定應用程式和資料策略
企業可制定應用程序政策,建立經許可的AI工具「允許清單」,並禁止未列入者被使用。另外,還可訂定數據政策,限制可輸入AI工具的數據類型,如限制上傳知識產權等敏感資料。
- 定期員工培訓和教育
定期為員工開展培訓,讓他們了解AI工具帶來的數據泄露和系統入侵風險,並宣導企業的相關政策。
- 針對供應商評估提出關鍵問題
在評估AI工具時,企業需要審視工具的安全性和數據隱私合規情況。關鍵問題包括,AI工具的使用範圍是否僅限於特定個人或團隊?外包商、合作夥伴或客戶能否獲取訪問權限?哪些個人和公司可以訪問提交給AI工具的提示內容?該AI工具是否能連動執行其他操作,如修改文件等?企業必須深入了解這些問題,才能全面評估AI工具的潛在風險,確保數據安全。
- 使團隊易於理解相關政策
網路安全團隊要與內部團隊建立良好關係,以合作夥伴的身份,明確並傳達相關政策,並確保團隊或法務部門了解服務條款。
參考資料:The Hacker News、Fast Company
瀏覽 679 次
