Lãnh đạo tư tưởng

Trí tuệ nhân tạo bóng tối là một thất bại trong thiết kế, không phải vấn đề của con người

Đã xuất bản

Tôi muốn bạn nhớ một dòng từ bài viết này. Nếu bạn quên mọi thứ khác, hãy nhớ điều này: trí tuệ nhân tạo bóng tối là kết quả trực tiếp của việc tạo ra con đường an toàn nhưng chậm chạp.

Điều đó không phải là một quan điểm nóng. Đó là một mẫu mà tôi đã theo dõi trong 25 năm qua trên mọi lĩnh vực bảo mật – từ công nghệ thông tin bóng tối đến BYOD đến sự phình to của đám mây. Và bây giờ nó đang xảy ra lại với trí tuệ nhân tạo, nhưng nhanh hơn và với những rủi ro cao hơn.

Khoảng cách mà bạn nên mất ngủ vì

Chỉ số Xu hướng Lao động của Microsoft và LinkedIn năm 2024 đã đưa ra những con số cụ thể về điều mà hầu hết các nhà lãnh đạo bảo mật đã cảm nhận được trong ruột: 75% nhân viên tri thức sử dụng công cụ trí tuệ nhân tạo tại nơi làm việc, và 78% trong số họ tự mang theo. Đó không phải là một thử nghiệm. Đó là một lực lượng lao động đã quyết định không chờ đợi bộ phận CNTT theo kịp.

Và đây là phần mà gây khó chịu: quản lý không theo kịp. Một khảo sát Checkmarx năm 2025 cho thấy chỉ 18% tổ chức có chính sách quản lý bao gồm việc tạo mã có sự hỗ trợ của trí tuệ nhân tạo – mặc dù đa số các đội ngũ kỹ sư đã sử dụng những công cụ này hàng ngày. Nếu khoảng cách là rộng như vậy đối với mã, hãy tưởng tượng nó sẽ trông như thế nào đối với mọi quy trình làm việc khác được hỗ trợ bởi trí tuệ nhân tạo mà các đội của bạn đang chạy. Việc áp dụng không chờ đợi quản lý. Nó đang vượt qua quản lý.

Nhân viên của bạn không đang hành động một cách liều lĩnh. Họ đang hành động một cách hợp lý. Họ đã tìm thấy một công cụ giúp họ nhanh hơn, và con đường chính thức để sử dụng nó một cách an toàn liên quan đến việc cài đặt Python, tạo dự án GCP, tạo tài khoản dịch vụ, tải tệp tin chứng nhận xuống máy tính xách tay và cấu hình máy chủ MCP cục bộ. Câu chuyện thực. Kết quả thực: người đó đã bỏ cuộc sau ba bước.

Chế độ thất bại mà tôi thường thấy

Hãy để tôi làm cho mẫu này trở nên cụ thể. Tôi đã theo dõi các biến thể của mẫu này trên hàng chục tổ chức.

Một giám đốc tiếp thị đọc một bài đăng trên blog: kết nối một trợ lý trí tuệ nhân tạo với máy chủ MCP của Google Analytics, chạy bất kỳ báo cáo SEO nào trong vài giây. Nghe có vẻ tuyệt vời. Cô muốn làm điều đó.

Để bắt đầu, cô đi theo con đường không được quản lý. Cài đặt các依赖. Tạo một dự án đám mây. Tạo một tài khoản dịch vụ. Tải tệp tin chứng nhận xuống máy tính xách tay. Cấu hình tích hợp cục bộ.

Cô bỏ cuộc. Ba bước vào. Quá nhiều ma sát. Công cụ sai cho người sai.

Bây giờ hãy nghe điều tôi vừa nói. Vấn đề không phải là giám đốc tiếp thị. Cô ấy thông minh. Cô ấy có động lực. Cô ấy chính xác là loại người bạn muốn áp dụng các công cụ trí tuệ nhân tạo. Vấn đề là con đường an toàn chậm hơn con đường không an toàn.

Đó là chế độ thất bại của mọi chương trình truy cập di sản mà tôi đã từng thấy. Khi con đường được quản lý khó hơn con đường không được quản lý, mọi người sẽ tìm con đường không được quản lý. Mọi lúc. Và bạn sẽ phát hiện ra về nó tại thời điểm xảy ra sự cố, không phải trước đó.

Năm ngôi mộ

Tôi đã thấy các tổ chức cố gắng giải quyết vấn đề này theo năm cách khác nhau trước khi tìm ra giải pháp thực sự hiệu quả. Mỗi cách tiếp cận đều thất bại vì cùng một lý do gốc rễ: nó thêm ma sát mà không tăng tốc.

Cố gắng đầu tiên là cho phép mỗi đội chọn công cụ trí tuệ nhân tạo của riêng họ. Kết quả là 14 đăng ký chồng chéo và không có dấu vết kiểm toán. Bạn đã dân chủ hóa việc áp dụng và tập trung hóa không có gì.

Cố gắng thứ hai là đặt mọi thứ sau SSO. SSO giải quyết vấn đề đăng nhập. SSO không giải quyết vấn đề hành động. Một khi đại lý được xác thực, lớp SSO của bạn sẽ mù đối với những gì nó làm tiếp theo.

Cố gắng thứ ba là chia sẻ một tài khoản dịch vụ trên các đại lý. Một sự cố xảy ra, và bạn sẽ không có khả năng quy kết. Bạn không thể xác định được đại lý nào đã làm gì khi mọi thứ trở nên tồi tệ.

Cố gắng thứ tư là viết một chính sách trí tuệ nhân tạo và đặt nó trên wiki. Tôi đã theo dõi một tổ chức dành sáu tuần để tạo ra một chính sách sử dụng trí tuệ nhân tạo toàn diện, gửi nó đến tất cả nhân viên, và sau đó phát hiện ra ba tháng sau rằng ít hơn một phần ba nhân viên đã mở tài liệu. Không ai đọc tài liệu. Mọi người đọc mặc định. Bất cứ điều gì dễ dàng là điều được thực hiện – và một trang wiki không bao giờ là điều dễ dàng.

Cố gắng thứ năm là thiết lập một hội đồng xem xét tập trung cho mọi dự án trí tuệ nhân tạo. Bạn nghĩ bạn đang có trách nhiệm. Bạn đang trở thành một nút thắt. Trong một quý, các đội sẽ tìm cách tránh bạn – và bạn đã tạo ra chính xác vấn đề trí tuệ nhân tạo bóng tối mà bạn đang cố gắng ngăn chặn.

Mỗi ngôi mộ này có cùng một bia mộ: thông tin đăng nhập phân tán trên máy tính xách tay, không có dấu vết kiểm toán, và nhiều ngón tay交叉.

Sự đảo ngược thực sự hiệu quả

Giải pháp không phải là thêm ma sát. Đó là một sự đảo ngược.

Bảo mật truyền thống xây dựng ma sát để ngăn chặn hành vi xấu. Người dùng sẽ tìm cách tránh nó. Trí tuệ nhân tạo bóng tối xuất hiện. Bạn sẽ phát hiện ra về nó tại thời điểm xảy ra sự cố.

Đảo ngược nó. Làm cho con đường được cung cấp nhanh hơn con đường không được quản lý.

Điều đó trông như thế nào trong thực tế? Cùng giám đốc tiếp thị – thay vì vật lộn với Python và tài khoản dịch vụ – yêu cầu truy cập Google Analytics từ trong trợ lý trí tuệ nhân tạo của cô. Yêu cầu đó sẽ đánh vào một động cơ chính sách. Rủi ro thấp, công cụ được biết, người dùng được biết – được tự động phê duyệt. Thông tin đăng nhập được lưu trữ, phạm vi và thời gian tồn tại ngắn. Nó không bao giờ chạm vào máy tính xách tay của cô. Mọi truy vấn đều được ghi lại. Cô đang chạy báo cáo trong dưới một phút.

Cùng người. Cùng kết quả mà cô muốn. Một phần nhỏ của thời gian. Dấu vết kiểm toán đầy đủ. Khuyến khích khác. Kết quả khác.

Đó là gì trí tuệ nhân tạo quản lý truy cập trông như khi nó được xây dựng đúng. Con đường nhanh nhất trở thành con đường an toàn nhất. Khuyến khích để đi vòng quanh bộ phận CNTT biến mất – không phải vì bạn đã thực thi tuân thủ nghiêm ngặt hơn, mà vì bạn đã làm cho việc tuân thủ dễ dàng hơn so với lựa chọn thay thế. Khi con đường được quản lý của bạn thực sự nhanh hơn con đường không được quản lý, trí tuệ nhân tạo bóng tối bắt đầu tự giải quyết.

Đo lường những gì quan trọng

Đây là chỉ số mà không bao giờ biến mất: con đường được quản lý có nhanh hơn con đường không được quản lý không? Khoảnh khắc con đường không được quản lý nhanh hơn con đường được quản lý, trí tuệ nhân tạo bóng tối sẽ trở lại và bạn sẽ bắt đầu lại từ đầu.

Đó không phải là một phép đo một lần. Đó là một tín hiệu liên tục. Mỗi khi bạn thêm một bước, một xem xét, một phê duyệt – hãy hỏi liệu bạn vừa làm cho con đường bóng tối trở nên hấp dẫn hơn.

Tự phục vụ không phải là một tính năng về năng suất. Đó là một tính năng về bảo mật. Đó là một dòng mà đảo ngược cách nghĩ của hầu hết các đội bảo mật về quản lý truy cập, và đó là sự tái định hình quan trọng nhất mà tôi có thể đề xuất. Ma sát tạo ra rủi ro – mọi lúc.

Nếu bạn muốn một hành vi, hãy làm cho nó trở thành mặc định. Nếu bạn không muốn một hành vi, hãy làm cho nó khó hơn so với lựa chọn thay thế. Xây dựng dựa trên nguyên tắc đó, và hầu hết vấn đề trí tuệ nhân tạo bóng tối của bạn sẽ tự giải quyết.

Kevin Paige là một nhà lãnh đạo an ninh với hơn 30 năm kinh nghiệm trên các lĩnh vực quân đội Mỹ, Salesforce, MuleSoft, Flexport và ConductorOne. Ông viết về quản lý danh tính trong thời đại trí tuệ nhân tạo có khả năng hành động.