如今，市场上有成千上万的生成式人工智能（GenAI）工具，每个月都有数十个新的AI应用推出。

事实上，你的员工中可能有超过一半的人已经在工作场所使用这些工具来提高生产力，随着更多AI应用为更多用例提供服务，这种采用趋势预计将会增长。

问题在于，这些第三方GenAI应用大多数没有经过审查或批准用于工作，这使公司面临严重风险。

IT和信息安全团队审查和批准在公司技术生态系统内使用的第三方应用程序是有原因的——他们需要了解正在使用哪些应用程序，它们是否安全，以及是否有敏感公司数据流入这些应用程序。

他们还会考虑应用程序开发者如何处理问题，比如漏洞，以及有哪些控制措施来限制或控制访问，以确保员工仅能访问完成工作所需的内容。

01 GenAI会导致哪些风险？

未经授权的GenAI应用程序的采用可能会导致一系列网络安全问题，从数据泄露到恶意软件。这是因为你的公司不知道谁在使用什么应用程序，哪些敏感信息被输入进去，以及这些信息一旦进入后会发生什么。

而且，并非所有应用程序都符合企业安全标准，它们还可能提供恶意链接，成为攻击者渗透公司网络、访问你的系统和数据的入口。所有这些问题都可能导致违反监管合规、敏感数据暴露、知识产权盗窃、运营中断和财务损失。

虽然这些应用程序提供了巨大的生产力潜力，但如果不安全地采用，它们也伴随着严重的风险和潜在后果。

以下是一些例子：

市场营销团队使用未经授权的App，该App用AI生成惊人的图像和视频内容。如果团队将敏感信息加载到应用程序中，而你机密产品发布的细节泄露了怎么办？这可不是你想要的那种“病毒式”传播。

项目经理使用AI驱动的笔记App来转录会议并提供有用的摘要。但如果笔记中包含了财报发布前关于本季度财务结果的机密讨论，会发生什么？

开发人员使用Copilot和代码优化服务来更快地构建产品。但如果从受损应用程序返回的优化代码包含恶意脚本怎么办？

这些只是出于好意使用GenAI无意中增加风险的几个方式。但遏制这些技术可能会限制你的企业获得竞争优势的能力，所以这也不是答案。

02 如何更安全地使用GenAI？

企业可以，也应该花时间考虑如何使他们的员工能够安全地使用这些应用程序。以下是一些考虑因素：

可见性——你无法保护你不知道的东西。IT团队面临的最大挑战之一是，未经授权的应用程序很难及时响应安全事件，增加了安全漏洞的潜在风险。每个企业都必须监控第三方GenAI应用程序的使用，并了解每种工具相关的特定风险。在了解哪些工具被使用的基础上，IT团队需要对流入和流出公司系统的数据有可见性。这种可见性也有助于检测安全漏洞，以便能够快速识别和纠正。

控制——IT团队需要有能力做出明智的决定，是否阻止、允许或限制对第三方GenAI应用程序的访问，无论是基于每个应用程序还是利用基于风险或分类的控制。例如，你可能想要阻止所有员工访问所有代码优化工具，但允许开发人员访问你的信息安全团队评估并批准内部使用的第三方优化工具。

数据安全——你的团队是否与应用程序共享敏感数据？IT团队需要阻止敏感数据泄露，以保护你的数据不被滥用和盗窃。如果你的公司受到监管或受数据主权法律的约束，这一点尤其重要。在实践中，这意味着监控发送到GenAI应用程序的数据，然后利用技术控制确保敏感或受保护的数据，如个人身份信息或知识产权，不会被发送到这些应用程序。

威胁预防——被你的团队使用的GenAI工具表面下可能潜伏着漏洞和漏洞的可能性。鉴于许多这些工具的开发和上市速度非常快，你通常不知道所使用的模型是否基于腐败模型构建，是否在错误或恶意数据上训练，或者是否受到广泛的AI特定漏洞的影响。建议的最佳实践是监控和控制从应用程序流向你组织的数据，以查找恶意或可疑活动。

虽然人工智能工具带来了难以置信的潜力，可以最大化员工的生产力，并使组织在增加收入的同时改善利润底线，但这些工具也带来了前所未有的复杂风险。

企业领导者和他们的IT团队的任务是，在确保员工在使用AI工具时受到意识、可见性、控制、数据保护和威胁预防的保护的同时，赋予他们信心。

一旦你的安全团队知道正在使用什么以及如何使用，他们就可以防止敏感数据泄露，并保护企业免受不安全或受损AI平台内部潜伏的威胁。

来源｜Forbes

编译｜郑惠敏

审核｜张羽翔

声明：本文来自上海市人工智能与社会发展研究会 ，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。