Connect with us

思想领袖

企业如何应对人工智能应用过载?

mm
Published
Updated

不那么个人化的计算

多年来,技术发展的驱动力是使计算更加便捷。从智能手机到平板电脑、笔记本电脑和可穿戴技术,有一个 общ的趋势,即使计算机和其功能更加个人化。仅需考虑行业基石的命名: “个人计算机”或PC;“i”Pod、Pad、Phone等。每一个设备都是为了作为个人伴侣,帮助简化用户的数字体验,并扩展到他们的生活。

人工智能(AI)的发展——特别是大型语言模型(LLMs)和代理解决方案——也主要朝着同一方向发展。像PC和iPhone一样,AI工具如ChatGPT使计算活动如搜索、编辑和头脑风暴更加便捷地面向大众。但是,当这种便捷性推动了使用率的增加时,它也增加了风险。

无论是通过有毒连接器还是意外的搜索引擎索引,私人AI使用的威胁变得越来越难以防范。添加不确定性,谁使用哪些工具,企业面临着日益增长的威胁和不充分的保护的完美风暴。考虑到AI工具的承诺和如何保护它们的不确定性,技术先进的企业该怎么办?

未经批准的AI应用的增长

700万日活跃用户,ChatGPT的使用量在2025年增长了4倍。即使如此,只有500万用户是付费的商业客户。这使得其他695万或更多的用户要么是个人用户,要么是未经批准的商业用户。这个数字看起来很大,直到你记得ChatGPT并不是市场上唯一的AI解决方案。事实上,它远远不是——当代AI和机器学习的爆发式发展已经产生了成千上万的新模型和解决方案,无论是公开的还是私有的。

对于企业来说,AI解决方案的指数级增长引发了一个新的网络威胁维度,称为“暗影AI”。像“暗影IT”现象一样,这个概念是基于员工在未经组织事先审查和明确批准的情况下使用AI解决方案。这完全绕过了所有IT和安全监督,导致员工可能使用潜在危险或不安全的解决方案进行敏感工作。

暗影AI的使用既普遍又正在扩大。一个报告发现,平均每个企业都有超过320个未经批准的AI应用。每一个未经批准的应用及其使用都进一步扩大了威胁范围。

AI过载的固有风险

与AI过载相关的威胁是多方面的,不幸的是,它们不断扩大。一些威胁,如数据中毒、提示注入、模型操纵和数据抓取,是众所周知的。这些直接尝试操纵和利用AI的行为可以使恶意行为者获得对敏感企业数据和内部系统的访问权限。鉴于这种风险,企业开始积极保护自己免受此类攻击。

但是,企业只能保护自己免受已知威胁的影响。想想保护一座中世纪城堡。墙壁、瞭望塔、门、护城河等都有助于保护城堡免受外部敌人和入侵者的攻击。但是,如果厨房工作人员有一条秘密通道可以绕过外墙?或者一个大声的守卫在当地酒馆被听到讨论换班?任何这些未知的威胁都可能帮助小偷绕过安全措施并突破内部墙壁。

暗影AI对企业数据安全有相同的影响。即使是善意使用未经批准的LLM和副驾驶,也可能对敏感数据保护造成灾难,因为任何不安全的解决方案都可能成为恶意行为者的门户。任何LLM的使用都固有地增加了数据保留、提示注入或模型偏差等问题的风险,每一个都需要自己的相关安全措施。这增加了数据泄露、合规违规和运营故障的风险,这些风险往往只有在损害已经造成之后才会被识别。

建立对AI解决方案的控制

随着AI的使用在个人和企业层面上不断增长,组织必须在采用之前建立对这些解决方案的控制。保护企业AI和防范未经批准的AI风险涉及:

  1. 获得全面可见性。 正如前面提到的,您无法保护自己免受未知威胁的影响。安全性从对所有AI解决方案的监督开始,无论是经批准还是未经批准的。这样做比说起来容易,但云访问安全代理(CASB)解决方案可以帮助建立对员工应用程序使用的持续可见性。
  2. 进行彻底的风险评估。 团队应该进行第三方风险管理(TPRM)工作,以确保所有AI解决方案都经过安全性和潜在风险的评估。这些工作还应扩展到第四方级别,因为即使是像CRM或生产力平台这样的批准应用程序也开始将外部LLM功能嵌入到其平台中。这些第四方解决方案必须遵守与任何内部批准应用程序相同的安全标准。
  3. 建立治理框架。 通过对解决方案的监督和理解,组织可以开发和部署一致的AI治理政策框架,涵盖整个应用程序生态系统。像数据访问一样,这些治理政策可以帮助控制员工可以访问哪些AI解决方案,员工可以与这些解决方案共享哪些信息,以及员工的日常使用的透明度。
  4. 自动化风险检测。 AI的指数级增长使得手动风险检测和响应几乎不可能。根据治理政策和预期的用户行为自动化这些过程,可以帮助主动识别异常并限制其更广泛的安全影响。
  5. 解释员工期望。 安全的AI采用和使用的最重要部分是您的员工。提供充分的培训并设定明确的期望,可以帮助同时防止风险的AI使用并执行批准和保护的解决方案的安全使用。

维持安全的AI采用

通过建立这些积极的安全措施,企业可以更全面地了解他们使用AI解决方案的方式,无论是批准的还是“暗影”的。这对安全性有立即的影响,帮助团队识别现有的风险和威胁,并采取行动来解决它们。

更重要的是,它为企业打下了长期AI成功的基础。通过创建安全AI采用和安全第一文化的技术基础,企业可以创建一个可持续的AI工具模型。有了技术支持和充分的培训,员工可以在不被AI固有的风险所累的情况下享受AI的好处。

早早做出这些改变的组织将最好地准备好迎接AI解决方案的未来,无论它们是什么。通过在前期做好基础工作来创建一个强大的基础——而不是简单地勾选AI采用这一项——团队将处于最佳位置,以实现持续的AI驱动成功。

Related Topics:
mm

Thyaga Vasudevan 是一位充满活力的软件专业人士,目前担任 Skyhigh Security 的产品执行副总裁,领导产品管理、设计、产品营销和 GTM 策略。凭借丰富的经验,他成功地为 SAAS 基础的企业软件(Oracle、Hightail - 前身为 YouSendIt、WebEx、Vitalect)和消费互联网(Yahoo! Messenger - 语音和视频)构建了产品。

他致力于识别底层的终端用户问题和用例,并以领导高科技产品和服务的开发为荣,以解决这些挑战,包括帮助组织在风险和机会之间找到微妙的平衡。Thyaga 喜欢教育和指导,并曾有幸在 RSA、Trellix Xpand、MPOWER、AWS Re:invent、Microsoft Ignite、BoxWorks 和 Blackhat 等著名活动中发言。他在技术和问题解决的交叉点茁壮成长,旨在推动创新,不仅解决当前的挑战,还能预测未来的需求。