Hrozba stínové AI ohrožuje bezpečnost podniků

Vzhledem k rychlému vývoji technologie AI se organizace potýkají s novým bezpečnostním rizikem: stínovými AI aplikacemi. Tyto neautorizované aplikace, vyvíjené zaměstnanci bez dohledu IT nebo bezpečnostního oddělení, se šíří po firmách a často zůstávají nepovšimnuty, jak zdůrazňuje nedávný článek na VentureBeat.

VentureBeat vysvětluje, že i když mnoho těchto aplikací není záměrně škodlivých, představují významná rizika pro firemní sítě, od úniků dat až po porušení pravidel pro dodržování předpisů.

Aplikace Shadow AI jsou často vytvářené zaměstnanci, kteří se snaží automatizovat rutinní úkoly nebo zefektivnit operace pomocí AI modelů, které byly vycvičené na firemních datech.

Tyto aplikace, které často využívají generativní AI nástroje jako je OpenAI’s ChatGPT nebo Google Gemini, postrádají základní bezpečnostní opatření, čímž se stávají vysoce náchylné k bezpečnostním hrozbám.

Podle Itamara Golana, generálního ředitele společnosti Prompt Security, „asi 40% těchto systémů automaticky trénuje na jakýchkoliv datech, které jim poskytnete, což znamená, že vaše duševní vlastnictví se může stát součástí jejich modelů,“ jak uvedl VentureBeat.

Přitažlivost stínové AI je jasná. Zaměstnanci, kteří se nacházejí pod stále větším tlakem kvůli splnění těsných termínů a zvládnutí složitých pracovních náloží, se obrací k těmto nástrojům, aby zvýšili produktivitu.

Vineet Arora, CTO ve společnosti WinWire, poznamenává pro VentureBeats, „Oddělení se vrhají na neschválená řešení AI, protože okamžité výhody jsou příliš lákavé na to, aby je ignorovali.“ Nicméně, rizika, která tyto nástroje přinášejí, jsou významná.

Golan srovnává stínovou AI s výkonností zvyšujícími drogami ve sportu a říká: „Je to jako doping na Tour de France. Lidé chtějí mít náskok, aniž by si uvědomovali dlouhodobé důsledky,“ jak bylo hlášeno VentureBeats.

Navzdory svým výhodám vystavují stínové AI aplikace organizace řadě zranitelností, včetně nechtěných úniků dat a rychlých injekčních útoků, které tradiční bezpečnostní opatření nedokážou detekovat.

Rozsah problému je ohromující. Golan prozradil VentureBeats, že jeho společnost denně katalogizuje 50 nových AI aplikací, přičemž jich je momentálně v provozu přes 12 000. „Nemůžete zastavit tsunami, ale můžete postavit loď,“ radí Golan, poukazujíc na fakt, že mnoho organizací je zaskočeno rozsahem používání stínové AI v rámci svých sítí.

Jedna finanční firma například během 10denního auditu objevila 65 neautorizovaných AI nástrojů, což je mnohem více než méně než 10 nástrojů, které jejich bezpečnostní tým očekával, jak uvedl VentureBeats.

Nebezpečí stínové AI jsou zvláště akutní pro regulované sektory. Jakmile se proprietární data načtou do veřejného AI modelu, stává se jejich kontrola obtížnou, což vede k potenciálním problémům s dodržováním předpisů.

Golan varuje: „Nadcházející zákon EU o AI by mohl ve výši pokut předčit i GDPR,“ zatímco Arora zdůrazňuje hrozbu úniku dat a tresty, kterým by se organizace mohly vystavit za nedostatečnou ochranu citlivých informací, jak uvedl VentureBeats.

Pro řešení narůstajícího problému se stínovou AI odborníci doporučují vícestranný přístup. Arora navrhuje, aby organizace vytvořily centralizované struktury pro správu AI, prováděly pravidelné audity a nasazovaly bezpečnostní opatření, která jsou schopna detekovat zneužití poháněné AI.

Navíc by firmy měly svým zaměstnancům poskytovat předem schválené nástroje AI a jasné zásady používání, aby snížily pokušení používat neschválená řešení.