生成式AI(GenAI)已经从个人在家庭或个人设备上的实验性应用,深入到我们的工作习惯之中,极大地提升了生产效率,但同时也给组织带来了重大的安全风险。敏感的公司数据,无论是故意还是无意,经常流入公共AI系统,这让IT和网络安全负责人疲于应对。
一旦专有数据被公共AI工具处理,它可能成为模型训练数据的一部分,供其他用户后续使用。例如,在2023年3月,据报道,一家跨国电子制造商发生了多起员工将包括产品源代码在内的机密数据输入ChatGPT的事件。生成式AI应用,如大型语言模型,被设计为从交互中学习。没有哪家公司愿意用专有数据来训练公共AI应用。
面对失去商业秘密或其他有价值数据的风险,许多组织的默认做法是阻止员工访问生成式AI应用。这似乎阻止了敏感信息流入未经授权的平台,但事实证明,这种方法无效,它只是将风险行为转入地下,导致了一个日益增长的盲区——“影子AI”。员工通过使用个人设备、将数据通过电子邮件发送到私人账户,甚至截图后上传至不受监控的系统,来找到规避方法。
更糟糕的是,通过封锁访问,IT和安全负责人失去了对实际发生情况的可见性,而没有真正管理数据安全和隐私风险。这一举措抑制了创新和生产力提升。
应对AI风险的战略方法
有效缓解员工使用AI带来的风险,需要采取一个多方面的方法,重点在于可见性、治理和员工赋能。
第一步是全面了解AI工具在整个组织中的使用情况。可见性使IT负责人能够识别员工活动的模式,标记出风险行为(如尝试上传敏感数据),并评估公共AI应用使用的实际影响。没有这些基础知识,治理措施注定会失败,因为它们无法解决员工与AI交互的真实范围。
制定定制政策是下一个关键步骤。组织应避免全面禁令,而应强调情境感知控制。对于公共AI应用,可以使用浏览器隔离技术,允许员工执行一般任务,但不能上传某些类型的公司数据。或者,可以将员工重定向到经企业批准的、具有可比功能的AI平台,确保生产力,同时避免专有信息泄露。虽然某些角色或团队可能需要特定应用的细微访问权限,但其他角色或团队可能需要更严格的限制。
为防止滥用,组织应实施强大的数据丢失防护(DLP)机制,识别和阻止将敏感信息与公共或未经授权的AI平台共享的尝试。由于意外披露是导致AI相关数据泄露的主要原因,启用实时DLP执行可以成为一道安全网,降低组织受损的潜在可能。
最后,员工必须了解AI的固有风险以及为缓解这些风险而设计的政策。培训应强调实践指导——即使用AI时可以安全进行和不可以进行的活动——以及关于暴露敏感数据后果的清晰沟通。意识和责任与技术驱动的保护措施相辅相成,共同构成完整的防御策略。
平衡创新与安全
生成式AI从根本上改变了员工的工作方式和组织的运作方式,提供了变革性的机遇,但同时也伴随着显著的风险。答案不是拒绝这项技术,而是以负责任的态度拥抱它。专注于可见性、实施周到的治理政策并教育员工的组织,可以在促进创新的同时保护敏感数据,实现两者之间的平衡。
目标不应该是在安全和生产率之间做出选择,而是要创造一个两者共存的环境。成功实现这一平衡的组织将在快速演变的数字格局中占据领先地位。通过缓解影子AI的风险并促进安全、高效的AI采用,企业可以将生成式AI转变为机遇,而非负担,从而确保未来的成功。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/sheng-cheng-shi-ai-gong-zuo-zhong-de-yin-xing-feng-xian-ru
