Shadow AI: Làm thế nào để giảm thiểu rủi ro tiềm ẩn của AI tạo sinh tại nơi làm việc

Bài viết được trình bày bởi Zscaler

---

Đối với nhiều người, AI tạo sinh (GenAI) bắt đầu như một thử nghiệm cá nhân tại nhà và trên các thiết bị cá nhân. Tuy nhiên, hiện nay, AI đã ăn sâu vào thói quen làm việc, tạo ra những lợi ích về năng suất, nhưng cũng khiến các tổ chức phải đối mặt với những lỗ hổng bảo mật đáng kể. Dữ liệu nhạy cảm của công ty, vô tình hay cố ý, thường xuyên xâm nhập vào các hệ thống AI công cộng, khiến các nhà lãnh đạo CNTT và an ninh mạng phải vật lộn để ứng phó.

Khi dữ liệu độc quyền được xử lý bởi một công cụ AI công cộng, nó có thể trở thành một phần của dữ liệu huấn luyện mô hình, phục vụ cho những người dùng khác trong tương lai. Ví dụ: vào tháng 3 năm 2023, một nhà sản xuất điện tử đa quốc gia đã báo cáo rằng đã xảy ra một số sự cố nhân viên nhập dữ liệu bí mật, bao gồm mã nguồn sản phẩm, vào ChatGPT. Các ứng dụng AI tạo sinh, chẳng hạn như các mô hình ngôn ngữ lớn, được thiết kế để học hỏi từ các tương tác. Không công ty nào muốn huấn luyện các ứng dụng AI công cộng bằng dữ liệu độc quyền của mình.

Đối mặt với nguy cơ mất bí mật thương mại hoặc các dữ liệu có giá trị khác, cách tiếp cận mặc định của nhiều tổ chức là chặn quyền truy cập vào các ứng dụng gen AI. Điều này dường như cho phép các công ty ngăn chặn dòng thông tin nhạy cảm vào các nền tảng không được phép, nhưng đã tỏ ra không hiệu quả và chỉ đơn giản là thúc đẩy hành vi rủi ro ngấm ngầm, dẫn đến một điểm mù ngày càng tăng được gọi là “Shadow AI” (AI bóng tối). Nhân viên tìm cách giải quyết bằng cách sử dụng thiết bị cá nhân, gửi email dữ liệu đến tài khoản riêng hoặc thậm chí chụp ảnh màn hình để tải lên bên ngoài các hệ thống được giám sát.

Tệ hơn nữa, bằng cách chặn quyền truy cập, các nhà lãnh đạo CNTT và an ninh mạng mất khả năng hiển thị những gì thực sự đang xảy ra, mà không thực sự quản lý các rủi ro về bảo mật và quyền riêng tư dữ liệu. Động thái này bóp nghẹt sự đổi mới và tăng năng suất.

Một cách tiếp cận chiến lược để giải quyết các rủi ro AI

Việc giảm thiểu hiệu quả các rủi ro do nhân viên sử dụng AI đòi hỏi một cách tiếp cận nhiều mặt tập trung vào khả năng hiển thị, quản trị và trao quyền cho nhân viên.

Bước đầu tiên là có được một bức tranh hoàn chỉnh về cách các công cụ AI đang được sử dụng trong toàn tổ chức của bạn. Khả năng hiển thị cho phép các nhà lãnh đạo CNTT xác định các mẫu hoạt động của nhân viên, gắn cờ các hành vi rủi ro (chẳng hạn như các nỗ lực tải lên dữ liệu nhạy cảm) và đánh giá tác động thực sự của việc sử dụng ứng dụng AI công cộng. Nếu không có kiến thức nền tảng này, các biện pháp quản trị chắc chắn sẽ thất bại vì chúng sẽ không giải quyết được phạm vi thực tế của các tương tác của nhân viên với AI.

Phát triển các chính sách phù hợp là bước quan trọng tiếp theo. Các tổ chức nên tránh các lệnh cấm chung và thay vào đó, các chính sách nên nhấn mạnh các biện pháp kiểm soát nhận biết theo ngữ cảnh. Đối với các ứng dụng AI công cộng, bạn có thể triển khai các kỹ thuật cô lập trình duyệt cho phép nhân viên sử dụng các ứng dụng này cho các tác vụ chung mà không thể tải lên một số loại dữ liệu công ty nhất định. Ngoài ra, nhân viên có thể được chuyển hướng đến các nền tảng AI được phê duyệt ở cấp doanh nghiệp, cung cấp các khả năng tương đương, đảm bảo năng suất mà không làm lộ thông tin độc quyền. Trong khi một số vai trò hoặc nhóm có thể yêu cầu quyền truy cập sắc thái vào các ứng dụng cụ thể, những người khác có thể cần các hạn chế mạnh mẽ hơn.

Để ngăn chặn việc lạm dụng, các tổ chức nên thực thi các cơ chế ngăn chặn mất dữ liệu mạnh mẽ, xác định và chặn các nỗ lực chia sẻ thông tin nhạy cảm với các nền tảng AI công cộng hoặc không được phép. Vì việc tiết lộ vô tình là động lực hàng đầu gây ra các vi phạm dữ liệu liên quan đến AI, nên việc cho phép thực thi DLP theo thời gian thực có thể là một mạng lưới an toàn, giảm khả năng gây hại cho tổ chức.

Cuối cùng, nhân viên phải được đào tạo về những rủi ro vốn có của AI và các chính sách được thiết kế để giảm thiểu chúng. Đào tạo nên nhấn mạnh hướng dẫn thực tế - những gì có thể và không thể thực hiện một cách an toàn bằng cách sử dụng AI - cùng với thông tin liên lạc rõ ràng về hậu quả của việc tiết lộ dữ liệu nhạy cảm. Nhận thức và trách nhiệm giải trình đi đôi với các biện pháp bảo vệ do công nghệ điều khiển để hoàn thành chiến lược phòng thủ của bạn.

Cân bằng giữa đổi mới và bảo mật

Gen AI đã thay đổi cơ bản cách nhân viên làm việc và các tổ chức hoạt động, mang đến những cơ hội chuyển đổi cùng với những rủi ro đáng chú ý. Câu trả lời không phải là từ chối công nghệ này, mà là đón nhận nó một cách có trách nhiệm. Các tổ chức tập trung vào khả năng hiển thị, triển khai các chính sách quản trị chu đáo và giáo dục nhân viên của họ có thể đạt được sự cân bằng thúc đẩy sự đổi mới đồng thời bảo vệ dữ liệu nhạy cảm.

Mục tiêu không phải là lựa chọn giữa bảo mật và năng suất, mà là tạo ra một môi trường nơi cả hai cùng tồn tại. Các tổ chức đạt được sự cân bằng này một cách thành công sẽ định vị mình ở vị trí hàng đầu của một bối cảnh kỹ thuật số đang phát triển nhanh chóng. Bằng cách giảm thiểu các rủi ro của Shadow AI và cho phép áp dụng AI an toàn, hiệu quả, các doanh nghiệp có thể biến gen AI thành một cơ hội thay vì một trách nhiệm pháp lý, chứng minh thành công của họ trong tương lai.

Gen AI sẽ còn ở lại. Các tổ chức phát triển mạnh mẽ sẽ là những tổ chức hiểu rõ những rủi ro của nó, thực hiện các biện pháp bảo vệ phù hợp và trao quyền cho nhân viên của họ để khai thác nó một cách an toàn và có trách nhiệm.

Tìm hiểu thêm về cách Zscaler có thể giúp tổ chức của bạn giải quyết thách thức này tại đây.

Rob Sloan là Phó Chủ tịch Cybersecurity Advocacy tại Zscaler.

---

Các bài viết được tài trợ là nội dung do một công ty sản xuất, công ty này đang trả tiền cho bài đăng hoặc có quan hệ kinh doanh với VentureBeat và chúng luôn được đánh dấu rõ ràng. Để biết thêm thông tin, hãy liên hệ sales@venturebeat.com.

Nguồn ảnh: Adobe

Link bài viết gốc

• Tags:
• Ai
• June 25, 2025
• Venturebeat.com