זוכרים את עולם ה-Shadow IT? יש לו אח חדש ומשבש: בינה מלאכותית של צל. ככל שעובדים מתחילים להתרגל ליכולות חיסכון בזמן של מודלים של בינה מלאכותית גנרטיבית, הם נוהרים אליהם בעבודה. הבעיה היא שלא תמיד יש להם אישור.
בינה מלאכותית של צללים אינה רק בעיה תיאורטית, לפי דו"ח אבטחת הבינה המלאכותית של צ'ק פוינט ריסרץ' לשנת 2025; זה כאן עכשיו. שירותי בינה מלאכותית פעילים כעת בלפחות מחצית מהרשתות הארגוניות בכל חודש, כך גילה המחקר. במקביל, דו"ח נוסף מחקר של Cyberhaven Labs מצא בשנה שעברה כי שיתוף נתונים עם כלי בינה מלאכותית גדל כמעט פי חמישה בשנה אחת בין מרץ 2023 למרץ 2024. זה היה בסדר גמור אם כל השימוש היה מאושר. עם זאת, שלושה רבעים מהשימוש ב-ChatGPT במקום העבודה מתרחש דרך חשבונות אישיים שאינם מוגבלים על ידי בקרות אבטחה ארגוניות, אמר Cyberhaven.
עובדים לא תמיד דיסקרטיים לגבי מה שהם משתפים עם כלים אלה, כאשר כמעט אחד מכל ארבעה מודה כי הוא משתף איתם מידע רגיש של עבודה מאחורי גבו של הבוס. מחקר של צ'ק פוינט מצא כי 1.25% מכלל ההנחיות היוו סיכון גבוה לדליפת מידע רגיש, ועוד 7.5% מההנחיות הכילו מידע שעשוי להיות רגיש.
סוג המידע המגיע למערכות אלו נע בין מידע על תמיכת לקוחות (16.3%) ועד קוד מקור, חומרי מחקר ופיתוח ומסמכים פיננסיים, אמר Cyberhaven.
אירועים מהעולם האמיתי ממחישים מה מונח על כף המאזניים. באפריל 2023, סמסונג התמודד עם מבוכה גדולה כאשר מהנדסים שיתפו קוד מקור של מוליכים למחצה וסיכומי פגישה קנייניים.
האם הנתונים שלי באמת בסיכון?
ייתכן שחברות יסלחו על המחשבה שהנתונים שלהן נעולים בבטחה אם הם אכן מגיעים לסשן בינה מלאכותית, אך זה לא תמיד המקרה. ישנם מספר וקטורי דליפה. לדוגמה, שירותי בינה מלאכותית רבים משתמשים במפורש בנתוני קלט לאימון מודלים. זה כולל את גרסת ChatGPT החינמית של OpenAI ואת הגרסה החינמית של Microsoft Copilot עליה היא מבוססת. דבר זה עלול לחשוף שברי נתונים של החברה שלך למשתמשים אחרים באמצעות תגובות הבינה המלאכותית.
מתקפות הזרקה מהירה (Prompt Injection) יכולות להערים על מערכות בינה מלאכותית ולגרום להן לחשוף שיחות קודמות או נתוני אימון, ובכך למעשה להפעיל את הבינה המלאכותית נגד עצמה כדי לחלץ מידע שאסור לה לשתף. מתקפות אלו מדורגות כעת כסיכון האבטחה מספר 1 של OWASP בנוגע לבינה מלאכותית, בשל השפעתן הפוטנציאלית. הן מאפשרות לתוקפים לתמרן מערכות בינה מלאכותית על ידי יצירת הנחיות מושחזות בקפידה שחולצות נתוני אימון רגישים או עוקפות אמצעי בטיחות.
פרצות נתונים אצל ספקי בינה מלאכותית יוצרות סיכוני חשיפה. כאשר חברות אלו נפרצות, ההנחיות הרגישות שלכם הופכות לחלק ממאגר הנתונים הגנוב. OpenAI נאלצה להזהיר משתמשים בשנת 2023 לאחר באג במסד הנתונים Redis שלה. חשוף צ'אטים של חלק מהמשתמשים עם אחרים. עם OpenAI כעת תחת פקודות לא למחוק שאילתות משתמש כחלק מתיק משפטי של הניו יורק טיימס, היא שומרת כעת שיחות פרטיות שעלולות להיות פגיעות לפריצה מוצלחת.
מקורם ואבטחתם של דגמים אלה מוטלים לעיתים בספק. עם יותר דגמים סיניים זמינים כעת ו דאגות עמוקות מעל אבטחת המודל הסיני DeepSeek, בינה מלאכותית של צללים מהווה איום ברור וקבוע.
ניטור בינה מלאכותית של צללים קשה
קל לבינה מלאכותית צללית לחמוק מתחת לטלסקופ, במיוחד כאשר שירותים אלה מושקים מהר יותר ממה שמחלקות IT יכולות להעריך אותם. יכולות בינה מלאכותית המוטמעות ביישומים מאושרים יהיו בלתי נראות למערכות גילוי קונבנציונליות, וייתכן שיהיה מאתגר לחסום הפעלות מבוססות דפדפן. רשימות חסימה עשויות לא להיות מודעות לכל שירותי הבינה המלאכותית, ובכל מקרה, חלק מהעובדים עשויים להיות מורשים להשתמש בהם בעוד שאחרים לא. בנוסף, ישנן אינטראקציות מבוססות API ותקשורת מוצפנת שיש לקחת בחשבון.
אילוף חיית הבינה המלאכותית
בהתחשב בהבטחה של בינה מלאכותית להגברת הפרודוקטיביות, איסור מוחלט עליה נראה לא אינטואיטיבי. במקום זאת, נטייה זהירה לשימוש בבינה מלאכותית על ידי יצירת מדיניות שימוש בבינה מלאכותית היא מציאותית יותר, במיוחד בהתחשב בלהיטותם של העובדים להשתמש בשירותים אלה. מחקר של Software AG באוקטובר האחרון. מצא שכמעט מחצית מכלל העובדים ימשיכו להשתמש בכלי בינה מלאכותית אישיים גם אם המעסיק שלהם יאסור עליהם.
כלים כמו מסגרת ניהול הסיכונים של בינה מלאכותית של NIST מספקים לארגונים את ההזדמנות לרתום את היתרונות של בינה מלאכותית תוך הפחתת הסיכונים שלה. מסגרת NIST משתמשת בגישה של "ממשל, מיפוי, מדידה וניהול", המשלבת צעדים תחת כל אחת מהכותרות הללו כדי לאפשר לארגונים לאמץ גישה אסטרטגית לניהול השימוש בבינה מלאכותית בקרב עובדים. מסגרת ISO 42001:2023 מציעה גם כיצד ליצור ולתחזק מערכות ניהול בינה מלאכותית באחריות בתוך ארגונים.
רבים מאותם עקרונות המשמשים למאבק ב-Shadow IT מסורתי חלים. הקמת חנויות אפליקציות פנימיות של בינה מלאכותית עם קטלוגי כלים מאושרים יכולה לסייע לספק למשתמשים יותר אפשרויות תוך שמירה על מעקות בטיחות סבירים לשימוש. זה גם נותן לכם אחיזה רבה יותר בקביעת מדיניות שימוש מקובלת עבור בינה מלאכותית, אשר אומרת לעובדים אילו סוגי שאילתות מותר (ואילו לא מותר) לבצע. תוכניות הכשרה לעובדים יסייעו לבסס את המדיניות הזו, וגם יהפכו אותם לפרודוקטיביים יותר על ידי מילוי תרחישי שימוש חכמים של בינה מלאכותית.
עבור ארגונים מסוימים, המעבר למערכות בינה מלאכותית פרטיות המשתמשות במודלים של שפות גדולות המאוחסנות באופן עצמאי יסייע למזער את הסיכון של יישומי בינה מלאכותית חיצוניים. עם זאת, עבור רבים, זו עדיין תהיה משימה גדולה, שתדרוש מומחיות ותקציב משמעותיים.
בכל פעם שטכנולוגיה חדשה מגיעה למיינסטרים, עובדים בוודאי ירצו להתנסות. ראינו זאת עם מכשירים ניידים ואז עם הענן. בינה מלאכותית לא תהיה האחרונה. המפתח הוא לאמץ עמדה מקבלת ואחראית לשימוש בטכנולוגיה ולהחזיר אותם לעבודה.
