ภัยคุกคามจาก AI ที่ซ่อนอยู่ในเครือข่ายองค์กร

ทีม IT ในองค์กรต่างทราบดีว่าพนักงานใช้เครื่องมือ AI โดยไม่ได้รับอนุญาต และพวกเขากำลังเร่งปกป้องเครือข่ายของตน

ทำไมเรื่องนี้ถึงสำคัญ?

ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ให้ความสำคัญกับ "Shadow AI" ในปีนี้ โดยเปิดตัวเครื่องมือใหม่เพื่อรับมือกับปัญหาที่สามารถจัดการได้อย่างตรงไปตรงมา

อะไรเกิดขึ้นบ้างล่ะทีนี้

• การเติบโตของ DeepSeek ซึ่งเป็น AI จากจีน ก่อให้เกิดความกังวลเรื่องความปลอดภัยของข้อมูลในองค์กรอเมริกัน

• ผู้บริหารด้านความปลอดภัยเตือนว่าพนักงานอาจดาวน์โหลดแอปพลิเคชันนี้และป้อนข้อมูลองค์กรเข้าสู่โมเดล AI แบบโอเพ่นซอร์ส

• Pentagon และกองทัพเรือสหรัฐฯ สั่งห้ามใช้ DeepSeek เนื่องจาก "มีความเสี่ยงด้านความปลอดภัยและจริยธรรม"

• การใช้เครื่องมือ AI โดยไม่ได้รับอนุญาตในที่ทำงานไม่ใช่เรื่องใหม่ แต่ตอนนี้มีชื่อเรียกเฉพาะว่า "Shadow AI"

• คล้ายกับปัญหา "Shadow IT" ซึ่งเป็นการใช้เทคโนโลยีโดยไม่ผ่านการอนุมัติจากองค์กร

• ตัวอย่าง ได้แก่ พนักงานใช้ DeepSeek เวอร์ชันฟรีเพื่อรวบรวมบันทึกภายใน หรือโปรแกรมเมอร์ใช้ ChatGPT เพื่อช่วยเขียนโค้ด โดยไม่มีการควบคุมจากฝ่าย IT

ตัวเลขที่น่าสนใจ

• โดยเฉลี่ยแล้ว องค์กรมีเครื่องมือ Generative AI ถึง 67 ตัวที่ทำงานอยู่ในระบบ

• 90% ของเครื่องมือเหล่านี้ไม่มีใบอนุญาตหรือการอนุมัติอย่างถูกต้อง

• 65% ของพนักงานที่ใช้ ChatGPT ใช้เวอร์ชันฟรี ซึ่งอาจทำให้ข้อมูลขององค์กรถูกใช้ในการฝึกโมเดล AI

ประเด็นที่ต้องระวัง

• องค์กรกังวลว่าพนักงานอาจป้อนข้อมูลที่ละเอียดอ่อนเข้าสู่ AI ซึ่งอาจถูกใช้ในการฝึกโมเดล

• นอกจากนี้ยังมีความเสี่ยงที่โมเดล AI อาจเปิดเผยข้อมูลที่จำกัดการเข้าถึงให้กับพนักงานที่ไม่มีสิทธิ์

• DeepSeek เพิ่มความเสี่ยงเพิ่มเติม เนื่องจากนโยบายความเป็นส่วนตัวระบุว่าการประมวลผลข้อมูลเกิดขึ้นบนเซิร์ฟเวอร์ในจีน ซึ่งอยู่ภายใต้กฎหมายจีน

วิธีการรับมือ

• การแบนเครื่องมือ AI ไม่ได้ผล ทำให้ทีมความปลอดภัยต้องเปลี่ยนไปใช้แนวทางการกำกับดูแล AI แทน

• หลายองค์กรลงทุนในเครื่องมือที่สามารถควบคุมข้อมูลที่ถูกป้อนเข้า AI และป้องกันการรั่วไหล แทนที่จะปิดกั้นการเข้าถึงโดยสิ้นเชิง

มุมมองจากผู้เชี่ยวชาญ

• Itamar Golan ซีอีโอของ Prompt Security ระบุว่า "องค์กรส่วนใหญ่มองว่าพนักงานใช้แค่ ChatGPT, Gemini หรือ Microsoft Copilot แต่ในความเป็นจริง เราตรวจพบเครื่องมือ AI กว่าพันรายการ รวมถึงจากประเทศที่ไม่มีการรับประกันด้านกฎหมายและความเป็นส่วนตัว"

• Shannon Murphy จาก Trend Micro ชี้ว่า "Shadow AI คล้ายกับปัญหา Shadow IT ในอดีต และองค์กรสามารถใช้เครื่องมือเดิมเพื่อตรวจสอบและประเมินความเสี่ยง"

• Daniel Kendzior จาก Accenture เตือนว่าความท้าทายด้าน AI จะขยายไปยังอุปกรณ์มือถือ เนื่องจากพนักงานใช้แอป AI บนโทรศัพท์มากขึ้น

การดำเนินการของ Cisco

• Cisco กำลังลงทุนในความปลอดภัยของ AI โดยเปิดตัวชุดเครื่องมือด้านความปลอดภัยที่ขับเคลื่อนด้วย AI เพื่อต่อสู้กับ Shadow AI

• DJ Sampath รองประธานฝ่ายผลิตภัณฑ์และซอฟต์แวร์ AI ของ Cisco กล่าวว่า "เราสามารถมองเห็นการใช้งานได้อย่างละเอียด และสามารถควบคุมการเข้าถึงโมเดล AI ได้"

• Cisco ยังเปิดตัวเครื่องมือ "Algorithmic Red-Teaming" เพื่อตรวจสอบจุดอ่อนของโมเดล AI ในองค์กร

อนาคตของ Shadow AI

• การเติบโตของ AI agents และการใช้โมเดล AI ที่เกี่ยวข้องกับจีนมีแนวโน้มทำให้ปัญหา Shadow AI เป็นประเด็นที่ใหญ่ขึ้นสำหรับทีม IT ในปีนี้

ข้อมูลจาก https://www.axios.com/newsletters/axios-codebook-38f09de0-e257-11ef-8ac2-05372d4f3eec?utm_source=chatgpt.com