影子人工智能：重塑未来，但代价是什么？

探索影子人工智能对商业的影响：风险、战略以及对安全、创新未来的追求。企业将如何驾驭这一新领域？

2023 年 12 月，亚马逊推出了最新的人工智能企业 Q，承诺为 ChatGPT 等以消费者为中心的聊天机器人提供更安全的替代方案。然而，兴奋是短暂的。公告发布仅仅三天后，Amazon Q 就陷入了争议。员工们对其安全和隐私措施不足感到震惊，称 Q 未达到亚马逊严格的企业标准。批评者强调了其“幻觉”和泄露敏感信息的倾向，包括AWS数据中心位置、未发布的产品功能和内部折扣计划。亚马逊的工程师被迫进入损害控制模式，解决标记为“sev 2”紧急情况的关键问题，以防止未来的后果。

大约在同一时间，三星电子公司正在努力解决人工智能带来的头痛问题。敏感的内部源代码进入 ChatGPT，暴露了明显的安全漏洞。我们很快做出了回应：通过一份内部备忘录传达了全公司范围内禁止生成人工智能工具的禁令。三星的决定凸显了在 Google Gemini 和 Microsoft Copilot 等外部人工智能平台上管理数据的困难，这些平台对数据检索和删除的控制难以捉摸。此举反映了65% 的三星员工的担忧，他们将这些人工智能服务视为数字特洛伊木马。尽管禁令对生产力产生了影响，但三星仍然坚定不移，选择开发用于翻译、文档摘要和软件开发的内部人工智能解决方案，直到建立安全的人工智能使用环境。

苹果也加入了这场争论，禁止其员工使用 ChatGPT 和类似的人工智能工具。该禁令的部分原因是这些工具与直接竞争对手微软的关系，引发了人们对苹果敏感数据安全的担忧。这种趋势并非科技巨头独有。摩根大通、德意志银行、富国银行等金融巨头也限制了人工智能聊天机器人的使用，旨在保护敏感的金融信息不被第三方看到。

然而，这些限制无意中催生了一种“影子人工智能”文化，即员工在工作中使用个人设备来追求效率和节省时间，这突显了人工智能使用方面的重大政策与实践差距。

影子 AI：看不见的威胁

尽管具体数据很少，但受人工智能限制的公司中的许多人都承认采用了此类变通办法——这些只是公开的！这种影子人工智能的使用在许多组织中都很普遍，鼓励以与公司政策相矛盾或违反公司政策的方式使用人工智能，从而成为员工被迫隐瞒的活动。

当我更深入地研究这个问题时，我发现最近的一些研究证实，尽管有很多关于公司限制在工作场所使用 genAI 的故事， 但员工似乎并没有减少使用它。戴尔最近的研究表明，91% 的受访者在生活中以某种方式涉足过生成式人工智能，另有 71% 的受访者表示他们在工作中专门使用过它。

ISACA进行的研究突显了人工智能在工作场所的采用与澳大利亚和新西兰管理其使用的正式政策之间存在巨大差距。虽然这些地区 63% 的员工利用人工智能来完成各种任务，但只有 36% 的组织正式允许这样做。调查显示，人工智能正在应用于创建书面内容（51%）、提高生产力（37%）、自动化重复任务（37%）、改进决策（29%）和客户服务（20%）。然而，只有 11% 的组织制定了全面的人工智能使用政策，21% 的组织无意制定任何政策。

此外，ISACA 的研究表明，组织内部缺乏人工智能相关培训，只有 4% 的组织向所有员工提供培训，57% 的组织不提供任何培训，甚至不向那些直接受人工智能技术影响的人员提供培训。这种情况引发了与影子 IT 类似的担忧，即员工未经正式批准就使用 IT 资源，可能会给组织安全和治理带来风险。

探索风险与责任的新领域

就像影子 IT 悄然侵入企业一样，影子 AI 已经存在，迫使组织正面面对 GenAI 的立场，同时仍在弄清楚如何使用它。

专家认为，护栏不会阻止员工使用人工智能工具，因为它们可以显着提高生产力并节省时间。因此，公司首席信息官必须面对这个问题，并探索与其组织的风险承受能力相一致的缓解策略。不可避免的是，善意的员工会利用这些工具来提高效率，因此企业技术领导者可以通过主动应对这一趋势并有效管理来防止对组织造成任何潜在损害。

每个员工与人工智能工具的交互都可能成为潜在的漏洞点。

Shadow IT 的历史上曾发生过重大数据泄露事件，例如涉及不安全的 Amazon S3 存储桶的臭名昭著的事件，该事件导致 30,000 人的个人数据被公开曝光。这些历史先例起到了警示作用，强调了人工智能时代严格数据治理的必要性。

出于多种原因，影子 AI 是比影子 IT 更艰巨的挑战。首先，人工智能工具使用的分散性意味着数据滥用或泄露的可能性不仅限于员工的技术子集（例如开发人员），而是遍及整个组织。此外， AIaaS（人工智能即服务）模型本质上是从它们处理的数据中学习，从而产生双层风险：人工智能供应商访问敏感数据的可能性以及不良行为者发现和利用暴露数据的能力增强。

应对影子人工智能的策略

欧洲、中东和非洲和亚洲区域副总裁兼 SAS 数字化转型主管Amir Sohrabi表示，具有数据优先思维的技术领导者将能够在 2024 年及以后提高效率。这是因为，最大限度地发挥生成式人工智能工具的优势取决于组织良好的数据，因此需要包括数据访问、卫生和治理在内的强大数据管理实践。

戴尔科技集团的 Gen AI 和云传播者领导者 Nick Brackney 在发表于 CIO.com 的文章中指出，企业应使用“三种规范性方法”来成功对抗 Shadow AI。

首先，建立生成式人工智能使用的集中策略，让行政领导层定义用例、创建安全访问和保护数据。这种方法简化了整个组织的实施和扩展，同时需要努力构建和确定轻松的胜利以确保成功。

其次，保持数据井井有条，并了解哪些类型不应放置在公共或托管私有云人工智能产品中，例如商业秘密和敏感信息。使用允许完全控制或不保留这些类型数据的对话日志的人工智能解决方案。

第三，通过将人工智能服务引入您的数据（无论是在本地还是通过安全的云解决方案）来控制人工智能服务，以利用治理、员工生产力和安全数据访问方面的优势。这种方法增强了最终用户体验，确保合规性并降低数据泄露的风险。

制定明确的人工智能可接受使用政策对于描述可能损害您的组织的不当人工智能实践以及指导人工智能应用程序根据数据安全协议和风险管理策略进行集成至关重要。该政策作为基准，允许决策者根据既定指南评估组织内人工智能工具的使用情况，迅速查明任何风险暴露，并确定必要的纠正措施。

宾夕法尼亚大学沃顿商学院教授伊森·莫里克（Ethan Mollick）提出了另一种发人深省的方法。他认为，传统的整合新技术的方法由于其集中性和缓慢的速度而对人工智能无效，这使得IT部门很难开发有竞争力的内部人工智能模型，也很难让顾问提供具体指导。人工智能应用的真正潜力在于那些在自己的工作领域是专家的员工，这表明组织要真正从人工智能中受益，就必须让员工（又名“秘密机器人”）参与使用人工智能技术。

首先，品牌应该承认任何级别的员工都可以拥有宝贵的人工智能技能，无论他们的正式角色或过去的表现如何。在发现精通人工智能的员工中存在秘密的电子人后，公司必须营造一种集体学习环境，例如众包提示图书馆，并通过提供不会因人工智能而失业的保证、促进使用人工智能来创建一种文化，以减少对人工智能的担忧。人工智能可以消除平凡的任务并鼓励更具吸引力的工作。

建立心理安全对于鼓励员工开放人工智能使用至关重要。

雇主应该能够为发现人工智能可以帮助组织的重要机会提供丰厚的奖励。这可能包括经济激励、晋升或灵活的工作条件，并通过游戏化来处理。

当今的组织应迅速采取行动，确定如何利用人工智能带来的生产力提升、如何根据人工智能功能重组工作流程，以及如何管理与人工智能使用相关的潜在风险，例如数据幻觉和知识产权问题。这就需要采取积极主动的方法来制定全面的人工智能政策，让各级员工充分利用他们的见解，并培育一种奖励人工智能驱动创新的文化。

当技术爱好者和企业应对人工智能集成的复杂性时，您将部署哪些策略来在您的组织或个人项目中负责任地、创新地利用这种变革性技术，确保隐私、安全和效率的平衡方法？

不要忘记查看我之前的文章来发现人工智能的肮脏秘密！