Ηγέτες σκέψης

Η Σκιά AI Είναι Ένα Σχεδιαστικό Λάθος, Όχι Ένα Πρόβλημα Ανθρώπων

Δημοσιεύτηκε

Θέλω να θυμάσαι μια γραμμή από αυτό το κομμάτι. Αν ξεχάσεις όλα τα άλλα, θύμησε αυτό: σκιά AI είναι το άμεσο αποτέλεσμα της δημιουργίας του ασφαλούς μονοπατιού ως του αργού μονοπατιού.

Αυτό δεν είναι ένα θερμό θέμα. Αυτό είναι ένα μοτίβο που έχω παρακολουθήσει για είκοσι πέντε χρόνια σε κάθε τομέα ασφαλείας — από την σκιά IT στο BYOD στο cloud sprawl. Και τώρα συμβαίνει ξανά με την AI, εκτός από το γεγονός ότι συμβαίνει γρηγορότερα και με υψηλότερους στοιχήματα.

Το χάσμα που πρέπει να σας κρατάει ξύπνιο τη νύχτα

Ο Δείκτης Τάσεων Εργασίας της Microsoft και του LinkedIn για το 2024 έδωσε σκληρά νούμερα σε κάτι που οι περισσότεροι ηγέτες ασφαλείας ήδη το ένιωθαν στο στομάχι τους: 75% των εργαζομένων γνώσεων χρησιμοποιούν εργαλεία AI στη δουλειά, και 78% από αυτούς τα φέρνουν μαζί τους. Αυτό δεν είναι πειραματισμός. Αυτό είναι μια εργατική δύναμη που αποφάσισε ότι δεν θα περιμένει την IT να την φτάσει.

Και εδώ είναι το μέρος που πονάει: η διακυβέρνηση δεν τηρεί το ρυθμό. Μια έρευνα του Checkmarx για το 2025 βρήκε ότι μόνο το 18% των οργανισμών έχουν πολιτικές διακυβέρνησης που καλύπτουν την AI-βοηθούμενη γεννήτρια κώδικα — παρά το γεγονός ότι η πλειονότητα των ομάδων μηχανικής ήδη χρησιμοποιεί αυτά τα εργαλεία καθημερινά. Αν το χάσμα είναι τόσο ευρύ για τον κώδικα, φανταστείτε τι μοιάζει για κάθε άλλη ροή εργασίας AI που τρέχουν οι ομάδες σας. Η υιοθέτηση δεν περιμένει τη διακυβέρνηση. Την ξεπερνά.

Οι άνθρωποί σας δεν είναι ασεβή. Είναι ρασιοναλιστές. Βρήκαν ένα εργαλείο που τους κάνει γρηγορότερους, και ο επίσημος δρόμος για να το χρησιμοποιήσουν ασφαλώς περιλαμβάνει την εγκατάσταση Python, τη δημιουργία έργων GCP, τη γεννήτρια λογαριασμών υπηρεσιών, τη λήψη πιστοποιητικών JSON στο laptop τους και τη διαμόρφωση τοπικών servers MCP. Πραγματική ιστορία. Πραγματικό αποτέλεσμα: ο άνθρωπος παραιτήθηκε τρία βήματα μέσα.

Η λειτουργία αποτυχίας που βλέπω συνεχώς

Ας κάνω το μοτίβο συγκεκριμένο. Έχω παρακολουθήσει ποικιλίες αυτού του σε δεκάδες οργανισμούς.

Μια διευθύντρια μάρκετινγκ διαβάζει ένα blog post: συνδέστε einen βοηθό AI με έναν сервер MCP του Google Analytics, εκτελέστε οποιοδήποτε rapport SEO σε δευτερόλεπτα. Ηχηρό. Θέλει να το κάνει.

Έτσι αρχίζει τον μη διαχειριζόμενο δρόμο. Εγκατάσταση εξαρτήσεων. Δημιουργία έργου cloud. Γεννήτρια λογαριασμού υπηρεσίας. Λήψη αρχείου πιστοποιητικού στο laptop της. Διαμόρφωση της ενσωμάτωσης τοπικά.

Παραιτείται. Τρία βήματα μέσα. Πολύ τριβή. Λάθος εργαλείο για τον λάθος άνθρωπο.

Τώρα ακούστε τι μόλις είπα. Το πρόβλημα δεν είναι η διευθύντρια μάρκετινγκ. Είναι έξυπνη. Είναι мотιβέ. Είναι ακριβώς ο τύπος ανθρώπου που θέλετε να υιοθετήσει εργαλεία AI. Το πρόβλημα είναι ότι ο ασφαλής δρόμος ήταν πιο αργός από τον μη ασφαλή.

Αυτό είναι η λειτουργία αποτυχίας κάθε προγράμματος πρόσβασης που έχω δει. Όταν ο διαχειριζόμενος δρόμος είναι πιο δύσκολος από τον μη διαχειριζόμενο, οι άνθρωποι θα βρουν τον μη διαχειριζόμενο. Κάθε φορά. Και θα μάθετε γι’ αυτό στη διαρπαγή, όχι πριν.

Οι πέντε τάφοι

Έχω δει οργανισμούς να προσπαθούν να λύσουν αυτό το πρόβλημα με πέντε διαφορετικούς τρόπους πριν φτάσουν σε αυτό που πραγματικά λειτουργεί. Κάθε προσπάθεια απέτυχε για τον ίδιο ριζικό λόγο: πρόσθεσε τριβή χωρίς να προσθέσει ταχύτητα.

Η πρώτη προσπάθεια είναι να αφήσει κάθε ομάδα να επιλέξει το δικό της εργαλείο AI. Το αποτέλεσμα είναι δεκατέσσερις επικαλυπτόμενες συνδρομές και κανένα αρχείο ελέγχου. Έχετε δημοκρατίσει την υιοθέτηση και κεντράρετε τίποτα.

Η δεύτερη προσπάθεια είναι να τοποθετήσετε mọiTHING πίσω από SSO. Το SSO λύνει την είσοδο. Το SSO δεν λύνει την ενέργεια. Μόλις ο πράκτορας αυθεντικοποιηθεί, το επίπεδο SSO σας είναι τυφλό σε ότι κάνει επόμενο.

Η τρίτη προσπάθεια είναι να μοιράσετε έναν λογαριασμό υπηρεσίας μεταξύ των πρακτόρων. Ένα περιστατικό αργότερα, έχετε μηδενική απόδοση. Δεν μπορείτε να πείτε ποιος πράκτορας έκανε τι όταν κάτι πάει στραβά.

Η τέταρτη προσπάθεια είναι να γράψετε μια πολιτική AI και να την τοποθετήσετε στο wiki. Έχω δει έναν οργανισμό να ξοδεύει έξι εβδομάδες για να δημιουργήσει μια綜合 πολιτική AI και να την κυκλοφορήσει σε όλους, και τότε να ανακαλύψει τρεις μήνες αργότερα ότι λιγότεροι από το ένα τρίτο των εργαζομένων είχαν ανοίξει το έγγραφο. Κανείς δεν διαβάζει έγγραφα. Οι άνθρωποι διαβάζουν προεπιλογές. Ό,τι είναι εύκολο είναι αυτό που γίνεται — και μια σελίδα wiki δεν είναι ποτέ αυτό που είναι εύκολο.

Η πέμπτη προσπάθεια είναι να στηθεί μια κεντρική επιτροπή αναθεώρησης για κάθε έργο AI. Νομίζετε ότι είστε υπεύθυνοι. Είστε ένα μποτλνεκ. Μέσα σε ένα τρίμηνο, οι ομάδες σας περνούν γύρω από εσάς — και έχετε δημιουργήσει ακριβώς το πρόβλημα σκιάς AI που προσπαθούσατε να προотвέψετε.

Κάθε ένας από αυτούς τους τάφους έχει την ίδια επιτάφιο: διαπιστευτήρια σκορπίσμένα σε laptops, κανένα αρχείο ελέγχου και πολλά σταυρωμένα δάχτυλα.

Η αναστροφή που λειτουργεί πραγματικά

Το φィξ δεν είναι περισσότερη τριβή. Είναι μια αναστροφή.

Η παραδοσιακή ασφάλεια χτίζει τριβή για να αποτρέψει κακή συμπεριφορά. Οι χρήστες περνούν γύρω από αυτή. Η σκιά AI εμφανίζεται. Μάθετε γι’ αυτό στη διαρπαγή.

Αναστρέψτε το. Κάντε τον διαχειριζόμενο δρόμο πιο γρήγορο από τον μη διαχειριζόμενο.

Τι μοιάζει αυτό στην πράξη; Η ίδια διευθύντρια μάρκετινγκ — αντί να παλεύει με Python και λογαριασμούς υπηρεσίας — ζητά πρόσβαση Google Analytics από μέσα στο βοηθό AI της. Η αίτηση χτυπά ένα μηχανισμό πολιτικής. Χαμηλό ρίσκο, γνωστό εργαλείο, γνωστός χρήστης — αυτο-εγκεκριμένο. Το διαπιστευτήριο είναι θάλαμο, εύρος και βραχύβιο. Δεν αγγίζει ποτέ το laptop της. Κάθε ερώτηση είναι καταγεγραμμένη. Τρέχει αναφορές σε λιγότερο από ένα λεπτό.

Ιδιαίτερος άνθρωπος. Ιδιαίτερο αποτέλεσμα που ήθελε. Μια κλάσμα του χρόνου. Πλήρες αρχείο ελέγχου. Διαφορετική ενθάρρυνση. Διαφορετικό αποτέλεσμα.

Αυτό είναι τι μοιάζει η διαχείριση πρόσβασης AI όταν χτίζεται σωστά. Ο ταχύτερος δρόμος γίνεται ο ασφαλέστερος δρόμος. Η ενθάρρυνση να περάσετε γύρω από την IT εξαφανίζεται — όχι因为 εναρμονίσατε την συμμόρφωση πιο σκληρά, αλλά因为 είνατε τη συμμόρφωση πιο εύκολη από την εναλλακτική. Όταν ο διαχειριζόμενος δρόμος είναι πραγματικά πιο γρήγορος από τον μη διαχειριζόμενο, η σκιά AI αρχίζει να λύνει τον εαυτό της.

Μέτρηση όσων έχουν σημασία

Εδώ είναι το μέτρο που δεν φεύγει ποτέ: είναι ο διαχειριζόμενος δρόμος πιο γρήγορος από τον μη διαχειριζόμενο; Η στιγμή που ο μη διαχειριζόμενος είναι πιο γρήγορος από τον διαχειριζόμενο, η σκιά AI επιστρέφει και ξεκινάτε από την αρχή.

Αυτό δεν είναι ένα μονοχρόνο μέτρο. Αυτό είναι ένα συνεχές σήμα. Κάθε φορά που προσθέτετε ένα βήμα, μια αναθεώρηση, μια έγκριση — ρωτήστε αν μόλις κάνατε τον μη διαχειριζόμενο δρόμο πιο ελκυστικό.

Η αυτοεξυπηρέτηση δεν είναι μια λειτουργία παραγωγικότητας. Είναι μια λειτουργία ασφαλείας. Αυτή η γραμμή αναστρέφει τον τρόπο που σκέφτεται η mayoría των ομάδων ασφαλείας για τη διαχείριση πρόσβασης, και είναι η πιο σημαντική αναστροφή που μπορώ να προσφέρω. Η τριβή δημιουργεί ρίσκο — κάθε φορά.

Αν θέλετε μια συμπεριφορά, κάντε την προεπιλογή. Αν δεν θέλετε μια συμπεριφορά, κάντε την πιο δύσκολη από την εναλλακτική. Κτίστε για αυτή την αρχή, και το περισσότερο πρόβλημα σκιάς AI λύνεται από μόνο του.

Ο Kevin Paige είναι ένας ηγέτης ασφαλείας με 30+ χρόνια εμπειρίας σε διάφορους τομείς, όπως το αμερικανικό στρατό, το Salesforce, το MuleSoft, το Flexport και το ConductorOne. Γράφει για τη διακυβέρνηση ταυτοτήτων στην εποχή του agentic AI.