如何有效管理影子人工智能?
图片来源:Shutterstock
随着员工自行尝试生成式人工智能工具,CIO们面临着与影子AI的熟悉挑战。虽然这通常是出于善意的创新,但也可能带来数据隐私、合规和安全方面的严重风险。数字化转型网www.szhzxw.cn
根据1Password 2025年年度报告《访问与信任差距》,影子人工智能增加了组织的风险,因为43%的员工在个人设备上使用AI应用工作,而25%的人在工作中使用未经批准的AI应用。
尽管存在这些风险,专家表示,影子人工智能并非完全可以消除的。相反,它是需要理解、引导和管理的东西。以下是六个策略,可以帮助CIO鼓励负责任的实验,同时保护敏感数据安全。
一、建立明确的界限,留有实验空间
管理影子人工智能首先要明确哪些内容是允许的,哪些是不允许的。West Shore Home的首席技术官Danny Fisher建议CIO将AI工具分为三类:批准、受限和禁止。
“批准的工具经过审核和支持,”他说。“受限工具可以在受控空间使用,且有明确限制,比如只使用虚拟数据。禁用工具通常是公开或未加密的人工智能系统,应在网络或API层面被封锁。”
他补充说,将每种AI使用方式匹配到安全的测试空间,比如内部OpenAI工作空间或安全的API代理,使团队能够自由实验,而不冒着公司数据的风险。数字化转型网www.szhzxw.cn
SAP公司LeanIX的首席企业架构师Jason Taylor表示,在当今快速变化的人工智能世界中,明确的规则至关重要。
他说:“要明确哪些工具和平台是获批的,哪些不是。”“还要明确哪些场景和用例是获批的,哪些不被批准,以及员工在使用人工智能时如何处理公司数据和信息,比如一次性上传,而不是剪贴或深度集成。”
Taylor补充说,公司还应制定一份清晰的清单,说明哪些类型的数据安全,哪些不适合使用,以及在何种情况下使用。现代数据丢失预防工具可以通过自动查找和标记数据,以及对谁可以访问内容实施最低权限或零信任规则来提供帮助。
巴布森学院首席信息官帕蒂·帕特里亚指出,CIO们为无代码/低代码AI工具和氛围编码平台建立具体的保护措施也很重要。数字化转型网www.szhzxw.cn
她说:“这些工具使员工能够快速原型设计想法并尝试AI驱动的解决方案,但它们在连接专有或敏感数据时也带来了独特的风险。”
为应对这一问题,Patria表示,公司应建立安全层,允许人们安全地自行实验,但每当有人想将AI工具连接到敏感系统时,仍需额外审查和批准。
“例如,我们最近为员工制定了明确的内部指导,明确何时应让安全团队参与应用审查,以及何时可以自主使用这些工具,确保创新和数据保护都被优先考虑,”她说。“我们还维护一份支持的AI工具清单,如果风险太大就不推荐使用。”
二、保持持续的可见性和库存跟踪
CIO无法管理他们看不见的东西。专家表示,保持准确、最新的AI工具库存是抵御影子AI最重要的防御措施之一。
费舍尔说:“最重要的是营造一种让员工愿意分享使用而非隐瞒的文化。”他的团队将季度调查与自助登记册相结合,员工记录他们使用的人工智能工具。IT部门随后通过网络扫描和API监控验证这些条目。
品牌制造商Bamko的IT副总裁Ari Harrison表示,他的团队采取分层方法来保持可见性。
“我们通过从 Google Workspace 的连接应用视图中提取这些事件,并将这些事件传输到我们的 SIEM(安全信息与事件管理系统)中,来维护一个连接应用的活注册表,”他说。“Microsoft 365 提供了类似的遥测功能,云访问安全代理工具可以在需要时补充可见性。”
这种分层的方法为Bamko提供了清晰的地图,清楚知道哪些AI工具正在接触企业数据,谁授权它们,以及它们拥有哪些权限。数字化转型网www.szhzxw.cn
云端iPaaS Boomi产品高级副总裁Mani Gill认为,手工审计已不再足够。
他说:“有效的库存管理需要超越定期审计,实现对整个数据生态系统的持续自动化可视化,”并补充说,良好的治理政策确保所有AI代理,无论是获批还是内置于其他工具中,都通过一个中心平台发送数据。这让组织能够即时、实时地了解每个代理的作、使用了多少数据以及是否遵守规则。
Tanium首席安全顾问Tim Morris同意,持续在每个设备和应用中进行发现是关键。“人工智能工具可能一夜之间出现,”他说。“如果你的环境中出现新的AI应用或浏览器插件,你应该立刻知道。”
三、加强数据保护和访问控制
在防止数据暴露于影子AI暴露方面,专家们都强调同一基础:数据丢失防护(DLP)、加密和最小权限。
费舍尔说:“使用DLP规则阻止个人信息、合同或源代码上传到未经批准的域名。”他还建议在敏感数据离开组织前对其进行隐藏,并启用日志和审计追踪,以追踪经批准的AI工具中的每一个提示和响应。
Harrison也呼应了这一做法,指出Bamko关注的是实际中最重要的安全控制:外发DLP和内容检测以防止敏感数据外泄;OAuth 治理,将第三方权限保持在最低权限;以及限制访问权限,限制机密数据只能上传其生产力套件中获批准的AI连接器。数字化转型网www.szhzxw.cn
此外,公司将广泛的权限(如对文档或电子邮件的读写访问)视为高风险且需要明确批准,而狭义的只读权限则能更快推进,Harrison补充道。
“目标是让日常创意安全,同时减少一次点击让AI工具获得超出预期能力的可能性,”他说。
Taylor补充说,安全性必须在不同环境中保持一致。“加密所有静止、使用中和移动中的敏感数据,采用最小权限和零信任策略来管理数据访问权限,并确保DLP系统能够扫描、标记和保护敏感数据。”
他指出,企业应确保这些控制在桌面、移动和网页上保持一致,并持续检查和更新,以应对新情况。
四、明确界定并传达风险承受能力
定义风险承受能力不仅是控制,更是沟通。费舍尔建议CIO将风险承受能力与数据分类挂钩,而非意见。他的团队采用简单的颜色编码系统:绿色代表低风险活动,如营销内容;黄色表示必须使用批准工具的内部文件;红色表示客户或财务数据,这些数据无法与AI系统一起使用。
莫里斯说:“风险承受能力应建立在商业价值和监管义务之上。”和费舍尔一样,莫里斯建议将人工智能的使用划分为明确的类别:哪些允许,哪些需要批准,哪些是禁止的,并通过领导层简报、入职培训和内部门户传达这一框架。数字化转型网www.szhzxw.cn
Patria表示,巴布森的人工智能治理委员会在这一过程中发挥着关键作用。“当潜在风险出现时,我们会将其提交委员会讨论,并协作制定减缓策略,”她说。“在某些情况下,我们决定禁止教职员工使用工具,但允许它们在课堂内使用。这种平衡有助于管理风险,同时抑制创新。”
五、促进透明度和信任文化
透明度是良好管理影子人工智能的关键。员工需要知道监控的内容及其原因。
“透明度意味着员工始终知道什么是允许的、哪些内容被监控以及原因,”费舍尔说。“在公司内联网发布你的治理方法,并包含真实的AI善用和风险案例。这不是抓人的问题。你正在建立对使用人工智能安全且公平的信心。”数字化转型网www.szhzxw.cn
泰勒建议发布一份官方认可的AI产品列表并保持更新。他说:“明确交付尚未可用能力的路线图,并提供请求例外或新工具的流程。这种开放表明治理的存在是为了支持创新,而非阻碍创新。
Patria表示,除了技术控制和明确政策外,设立专门的治理小组,如人工智能治理委员会,可以大大提升组织管理影子人工智能风险的能力。
“当潜在风险出现,比如对DeepSeek和 Fireflies.AI 等工具的担忧时,我们会协作制定缓解策略,”她说。
Patria补充说,该治理小组不仅审视并处理风险,还解释其决策及其背后原因,帮助创造透明度和共同责任。数字化转型网www.szhzxw.cn
莫里斯同意了。“透明意味着没有意外。员工应了解哪些AI工具获批、决策过程,以及问题或新想法该去哪里,“他说。
六、构建连续的基于角色的人工智能训练
培训是防止人工智能工具意外滥用的最有效方法之一。关键是简洁、相关且反复出现。
“训练要简短、视觉化且针对特定角色,”费舍尔说。“避免冗长的幻灯片,使用故事、快速演示和清晰的示例。”数字化转型网www.szhzxw.cn
Patria表示,Babson将AI风险意识融入年度信息安全培训,并定期发送关于新工具和新兴风险的通讯。
她补充道:“定期培训旨在确保员工了解获批的人工智能工具和新兴风险,同时鼓励部门AI倡导者促进对话并分享实践经验,强调人工智能采用的益处与潜在风险。”
Taylor 建议将培训嵌入浏览器中,让员工能直接在所用工具中学习最佳实践。“剪切粘贴到网页浏览器或拖放演示文稿似乎无害,直到你的敏感数据离开了你的生态系统,”他说。
吉尔指出,培训应将负责任的使用与绩效成果相结合。
“员工需要明白合规与生产力是协同工作的,”他说。“获批的工具相比影子人工智能,能带来更快的结果、更高的数据准确性以及更少的安全事件。基于角色的持续培训可以展示护栏和治理如何保护数据和效率,确保AI加速工作流程而非制造风险。”
归根结底,管理影子AI不仅仅是为了降低风险,更是为了支持负责任的创新。专注于信任、沟通和透明度的首席信息官(CIO)可以将潜在问题转化为竞争优势。
“当系统给出他们想要的东西时,人们通常不会试图反抗系统,尤其是当用户在采用影子AI方法时会遇到更多阻力,”泰勒说。数字化转型网www.szhzxw.cn
莫里斯也同意。“目标不是吓唬人们,而是让他们在行动前三思,”他说。“如果他们知道批准的路径既简单又安全,他们就会选择。”
这正是CIO们应努力的未来:一个人们可以安全创新、被信任去尝试并保护数据的地方,因为负责任的AI使用不仅仅是合规,更是良好的商业行为。
若您对人工智能感兴趣,可添加数字化转型网小助手思思微信加入人工智能交流群。若您在寻找人工智能供应商,可联系数字化转型网小助手思思(17757154048,微信同号)
若您为人工智能服务商,可添加数字化转型网小助手Nora,加入人工智能行业交流群。
若您为人工智能创业者,可添加数字化转型网社群主理人Carina,加入人工智能创业交流群。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于CIO.COM;编辑/翻译:数字化转型网(Professionalism Achieves Leadership 专业造就领导者)默然
