Az Árnyék AI veszélyezteti a vállalati biztonságot

Ahogy az AI technológia rohamosan fejlődik, a szervezetek egy új biztonsági fenyegetéssel szembesülnek: az árnyék AI alkalmazásokkal. Ezek az engedély nélküli alkalmazások, amelyeket az alkalmazottak fejlesztettek ki IT vagy biztonsági felügyelet nélkül, terjednek a vállalatokban és gyakran észrevétlenül maradnak, ahogyan azt a VentureBeat cikkben kiemelték.

A VentureBeat elmagyarázza, hogy bár sok alkalmazás nem szándékosan rosszindulatú, jelentős kockázatot jelentenek a vállalati hálózatokra nézve, adataink megsértésétől kezdve a szabálysértésekig.

Az úgynevezett “Shadow AI” alkalmazásokat gyakran olyan alkalmazottak készítik, akik automatizálni szeretnék a rutinfeladatokat vagy optimalizálni szeretnék a műveleteket, saját cégük adatain alapuló AI modellek segítségével.

Ezek az alkalmazások, melyek gyakran támaszkodnak generatív AI eszközökre, mint például az OpenAI ChatGPT-je vagy a Google Gemini, elengedhetetlen biztonsági óvintézkedéseket nélkülöznek, ami kiemelten sebezhetővé teszi őket a biztonsági fenyegetésekkel szemben.

Itamar Golan, a Prompt Security vezérigazgatója szerint: “Ezeknek körülbelül 40%-a alapértelmezetten bármilyen adaton képződik, ami azt jelenti, hogy az ön szellemi tulajdonából részük lehet a modelleknek”, ahogy a VentureBeat számolt be róla.

Az árnyék AI vonzereje világos. Az alkalmazottak, akik egyre nagyobb nyomás alatt vannak, hogy szűk határidőket tartsanak be és bonyolult munkaterheket kezeljenek, ezekhez az eszközökhöz fordulnak a termelékenység növelése érdekében.

Vineet Arora, a WinWire technológiai vezérigazgatója a VentureBeats-nek nyilatkozva megjegyezte: „Az osztályok hozzávetőleges AI megoldásokhoz fordulnak, mert a közvetlen előnyök túlságosan csábítóak ahhoz, hogy figyelmen kívül hagyják őket.” Azonban ezek az eszközök jelentős kockázatokat hordoznak.

Golan az árnyék AI-t a sportban alkalmazott teljesítményfokozó szerekhez hasonlítja, azt mondja: „Ez olyan, mint a dopping a Tour de France-n. Az emberek előnyt szeretnének szerezni anélkül, hogy a hosszú távú következményeket mérlegelnék” – írja a VentureBeats.

Annak ellenére, hogy előnyöket kínálnak, az árnyék AI alkalmazások sebezhetőségek széles skálájának teszik ki a szervezeteket, beleértve a véletlenszerű adatszivárgásokat és az azonnali befecskendező támadásokat, amelyeket a hagyományos biztonsági intézkedések nem képesek észlelni.

A probléma mértéke megdöbbentő. Golan a VentureBeatsnek elárulja, hogy cégük naponta 50 új AI alkalmazást katalogizál, jelenleg több mint 12 000-et használnak. “Nem tudod megállítani a cunamit, de építhetsz egy hajót” – tanácsolja Golan, utalva arra a tényre, hogy sok szervezetet meglep az árnyék AI alkalmazások használatának mértéke hálózataikon belül.

Egy pénzügyi cég például egy 10 napos audit során 65 engedély nélküli AI eszközt talált, ami messze több, mint a biztonsági csapat által várt 10-nél kevesebb eszköz, ahogy a VentureBeats is beszámolt róla.

A shadow AI veszélyei különösen súlyosak a szabályozott szektorok számára. Amint a saját adatokat beépítik egy nyilvános AI modellbe, nehézzé válik azok kontrollálása, ami potenciális megfelelőségi problémákat vet fel.

Golan figyelmeztet: „Az előkészületben lévő EU-s mesterséges intelligencia törvény még a GDPR bírságait is felülmúlhatja”, míg Arora adataink kiszivárgásának veszélyére, és azokra a büntetésekre hívja fel a figyelmet, amelyekkel a szervezeteknek szembe kell nézniük, ha nem védenek megfelelően bizalmas információkat, ahogy a VentureBeats is jelentette.

A mesterséges intelligencia árnyékának egyre növekvő problémájának kezelésére a szakértők többoldalú megközelítést javasolnak. Arora azt javasolja, hogy a szervezetek hozzanak létre központi mesterséges intelligencia kormányzati struktúrákat, végezzenek rendszeres ellenőrzéseket, és alkalmazzanak olyan mesterséges intelligencia-tudatú biztonsági ellenőrzéseket, amelyek képesek felismerni a mesterséges intelligencia által vezérelt kihasználásokat.

Ezenkívül a cégeknek előzetesen jóváhagyott mesterséges intelligencia eszközökkel és egyértelmű használati szabályzatokkal kellene ellátniuk a munkavállalóikat, hogy csökkentsék a nem jóváhagyott megoldások használatának kísértését.