تهدید رو به افزایش هوش مصنوعی سایه‌ای

برنامه‌های هوش مصنوعی بدون کنترل و نظارتی که کارمندان شما استفاده می‌کنند، در حال تبدیل به تهدید واقعی برای استقرارهای ابری هستند، اما ممنوع کردن آن‌ها مؤثر نخواهد بود. این‌جا کاری که باید انجام دهید.

کارمندان یک سازمان مالی بزرگ شروع به توسعه ابزارهای هوش مصنوعی کردند تا کارهای زمان‌بر مانند تولید گزارش هفتگی را خودکار کنند. آن‌ها به این فکر نکردند که چه چیزی می‌تواند اشتباه شود. در عرض چند ماه، برنامه‌های غیرمجاز از فقط چند مورد به ۶۵ عدد افزایش یافت. نکته مهم این است که تمام این ابزارهای هوش مصنوعی بر روی داده‌های حساس شرکت، حتی اطلاعات شناسایی شخصی، آموزش می‌بینند.

یک تیم از یک راه‌حل هوش مصنوعی سایه‌ای ساخته‌شده بر پایه ChatGPT استفاده کرد تا تصویری‌سازی‌های پیچیده داده‌ها را ساده‌سازی کند. این به‌طور ناخواسته مالکیت معنوی شرکت را در معرض مدل‌های عمومی قرار داد. طبیعتاً، مأموران انطباق هشدارهایی درباره احتمال نفوذ به داده‌ها و تخلفات نظارتی دادند. (چرا این افراد این موارد را پیشگیری نمی‌کنند ولی پس از وقوع مشکل واکنش نشان می‌دهند؟)

رهبری شرکت نیاز حیاتی به حاکمیت متمرکز هوش مصنوعی را درک کرد. آن‌ها یک ممیزی جامع انجام دادند و یک دفتر هوش مصنوعی مسئولانه ایجاد کردند تا ریسک‌ها را کاهش دهند و در عین حال به کارمندان امکان استفاده از ابزارهای هوش مصنوعی معتبر را بدهند. شاید این کار خیلی کم و خیلی دیر باشد؟

از سایه‌ها دور باشید

مدیران امنیت ابری به‌طور فزاینده‌ای با رشد هوش مصنوعی سایه‌ای مواجه هستند. کارمندان، تحت فشارهای کارهای پرتقاضا و مهلت‌های فشرده، از برنامه‌های هوش مصنوعی بدون تأیید یا نظارت IT استفاده می‌کنند. پیامدهای امنیتی عمیق و چالش‌برانگیز هستند. هوش مصنوعی سایه‌ای نمایانگر یک چالش اساسی برای مرزهای امنیتی به‌دقت ساخته‌شده ما است. شرکت‌ها سیاست‌های نسبتاً محدود کننده‌ای در استفاده از هوش مصنوعی از زمان ظهور هوش مصنوعی مولد و ChatGPT توسعه داده‌اند. همان‌طور که احتمالاً حدس می‌زنید، این منجر به یک درهم‌ریختگی آشوب‌گونه از برنامه‌ها می‌شود که می‌تواند خطرات امنیتی قابل‌ملاحظه‌ای ایجاد کند.

بر اساس یافته‌های اخیر، بیش از ۱۲,۰۰۰ برنامهٔ مشابه شناسایی شده‌اند و روزانه ۵۰ برنامهٔ جدید ظاهر می‌شوند. به‌طرز نگران‌کننده‌ای، بسیاری از این ابزارها پروتکل‌های امنیتی تعیین‌شده را دور می‌زنند. من حدس می‌زنم که مدیران امنیت از اکثر آن‌ها آگاهی ندارند و در بسیاری از موارد هرگز نخواهند دانست. ممیزی‌های امنیتی که من در آن‌ها شرکت می‌کنم اغلب به این نتیجه می‌رسند که حدود ۷۵٪ تهدیدها شناسایی نشده‌اند. از آنجا که این برنامه‌های هوش مصنوعی سایه‌ای اغلب بر روی یا اطراف سیستم‌های ابری اجرا می‌شوند، این مسائل مشکل‌سازتر می‌شوند. استقرارهای ابری بسیار پیچیده‌تر هستند، چرا که خطرات همچنین به ارائه‌دهنده یا ارائه‌دهندگان ابری نیز اشاره دارند.

چه کاری باید انجام داد؟

این برنامه‌های غیرمجاز خطرات حیاتی را باز می‌کنند که حتی مجرب‌ترین مدیران امنیت هنوز به‌طور کامل درک نکرده‌اند. اولین و مهم‌ترین خطر، نقض داده‌هاست. وقتی کارمندان اطلاعات حساس شرکت را در برنامه‌های هوش مصنوعی بدون بررسی وارد می‌کنند، به‌طور ناخواسته این داده‌ها در معرض نشت احتمالی قرار می‌گیرند. برنامه‌های هوش مصنوعی به‌تنهایی همیشه عامل مخرب نیستند؛ داده‌ها اغلب به سرورهای راه دور منتقل می‌شوند و در بسیاری از موارد خارج از کشور هستند.

خطر دیگری این است که بسیاری از ابزارهای هوش مصنوعی سایه‌ای، مانند آن‌هایی که از ChatGPT اوپن‌AI یا Gemini گوگل استفاده می‌کنند، به‌طور پیش‌فرض بر روی هر داده‌ای که ارائه می‌شود آموزش می‌بینند. این به این معناست که داده‌های مالکیتی یا حساس می‌توانند پیشاپیش با مدل‌های عمومی ترکیب شوند. علاوه بر این، برنامه‌های هوش مصنوعی سایه‌ای می‌توانند منجر به نقض‌های انطباق شوند. برای سازمان‌ها ضروری است که کنترل سخت‌گیرانه‌ای بر این داشته باشند که داده‌هایشان کجا و چگونه استفاده می‌شود. چارچوب‌های قانونی نه تنها الزامات سخت‌گیرانه‌ای اعمال می‌کنند، بلکه برای محافظت از داده‌های حساس که در صورت سوءاستفاده می‌توانند به شهرت سازمان آسیب برسانند، نیز وجود دارند.

مدیران امنیت محاسبات ابری از این خطرات آگاه هستند. با این حال، ابزارهای موجود برای مقابله با هوش مصنوعی سایه‌ای به طرز چشمگیری ناکافی‌اند. چارچوب‌های امنیتی سنتی برای مقابله با سرعت و طبیعت خودجوش استقرار برنامه‌های هوش مصنوعی غیرمجاز مجهز نیستند. برنامه‌های هوش مصنوعی در حال تغییر هستند، که این به نوبه خود بردارهای تهدید را تغییر می‌دهد و به این معنی است که ابزارها نمی‌توانند به‌خوبی تمام تهدیدات متنوع را شناسایی کنند.

جلب مشارکت نیروی کار

ایجاد یک دفتر هوش مصنوعی مسئولانه می‌تواند نقش حیاتی در مدل حاکمیتی ایفا کند. این دفتر باید نمایندگانی از بخش‌های IT، امنیت، حقوقی، انطباق و منابع انسانی را شامل شود تا اطمینان حاصل شود که همه جنبه‌های سازمان در تصمیم‌گیری درباره ابزارهای هوش مصنوعی مشارکت دارند. این رویکرد مشترک می‌تواند به کاهش خطرات مرتبط با برنامه‌های هوش مصنوعی سایه‌ای کمک کند. شما باید اطمینان حاصل کنید که کارمندان ابزارهای امن و تأییدشده دارند. هوش مصنوعی را ممنوع نکنید—به افراد آموزش دهید چگونه به‌صورت ایمن از آن استفاده کنند. در واقع، رویکرد «منع تمام ابزارها» هرگز کار نمی‌کند؛ روحیه را پایین می‌آورد، باعث ترک شغل می‌شود و حتی ممکن است مشکلات قانونی یا منابع انسانی ایجاد کند.

فراخوان عمل واضح است: مدیران امنیت ابری باید به‌صورت پیشگیرانه به چالش هوش مصنوعی سایه‌ای بپردازند. این شامل ممیزی استفاده فعلی هوش مصنوعی در سازمان و نظارت مستمر بر ترافیک شبکه و جریان‌های داده برای هر نشانه‌ای از استقرار ابزارهای غیرمجاز می‌شود. بله، ما در حال ایجاد پلیس‌های هوش مصنوعی هستیم. با این حال، فکر نکنید که آن‌ها می‌توانند بپیش روند و انگشتان را به افراد اشاره کنند یا اجازه دهند ارائه‌دهندگان ابری به شما سرزنش کنند. این یکی از مسائلی است که فقط می‌تواند با برنامه آموزشی پیشگیرانه که هدف آن افزایش بهره‌وری کارمندان است و نترسیدن از اخراج، حل شود.

هوش مصنوعی سایه‌ای یک واژه‌گردان دیگر برای ردیابی است، اما بی‌شک یک مشکل در حال رشد برای مدیران امنیت محاسبات ابری است. نبود دفاع‌های کافی در برابر این برنامه‌های غیرمجاز یک نگرانی فوری است. با این حال، سازمان‌ها می‌توانند با حاکمیت متمرکز، آموزش و نظارت پیشگیرانه، این محیط جدید را پیمایش کنند و همزمان از مزایای فناوری‌های هوش مصنوعی بهره‌برداری کنند. ما باید هوشمندانه با این موضوع برخورد کنیم.