В последните години изкуственият интелект (AI) се превърна в ключов инструмент за бизнеса, но с това се появиха и нови рискове, свързани с неговото използване. Един от тях е явлението Shadow AI – създаването и внедряването на AI приложения от служители без одобрение и контрол от страна на ИТ и отделите по сигурност. Последното изследване, базирано на анализа на 2 000 изложени Vibe-Coded приложения, хвърля светлина върху мащаба и последствията от този феномен.
Какво се случи?
Shadow AI вече не означава само служители, които използват ChatGPT или други AI инструменти за лични или служебни задачи без надзор. Този термин обхваща и случаи, в които служители създават пълноценни AI базирани приложения, свързват ги с производствени системи и ги публикуват в интернет, без да информират отделите по сигурност или ИТ. Анализът на 2 000 Vibe-Coded приложения, които са били публично достъпни и изложени на потенциални атаки, показва, че тези приложения често съдържат уязвимости, които могат да бъдат използвани от злонамерени лица.
Защо това е важно?
Този феномен променя традиционната представа за киберсигурност в организациите. Докато досега фокусът беше върху защитата на официално одобрените системи и приложения, сега се появява ново поле на уязвимост – приложения, създадени и внедрени извън контрола на ИТ отделите. Това увеличава повърхността на атаки и затруднява управлението на риска, тъй като тези приложения могат да обработват чувствителни данни или да влияят на бизнес процеси без необходимите защитни механизми.
По-широк контекст
Развитието на AI технологиите и лесният достъп до инструменти за създаване на приложения стимулират иновациите, но същевременно изискват нови подходи към сигурността. Shadow AI е част от по-голямата тенденция за демократизация на технологиите, при която всеки служител може да създава и внедрява решения. Това налага организациите да преразгледат своите политики и да интегрират механизми за откриване и контрол на неофициални AI приложения.
Какво може да последва?
За да се справят с предизвикателствата на Shadow AI, компаниите трябва да инвестират в обучение на служителите, въвеждане на системи за мониторинг и автоматизирани инструменти за откриване на неоторизирани приложения. Възможно е също така да се развият нови стандарти и практики за управление на AI приложенията, които да включват по-строги изисквания за сигурност и съвместимост с корпоративните политики. В дългосрочен план това ще помогне да се намалят рисковете и да се използва пълният потенциал на AI технологиите по безопасен и контролиран начин.
