如今,市場上有成千上萬種生成式AI工具,每月都有幾十種新的AI應用程式推出。事實上,一半以上的員工很可能已經在使用它來提高工作效率,而且隨著更多AI應用程式針對更多使用情境的推出,這種採用率預計還會增加。
問題在於這些第三方生成式AI應用程式中大多數未經審查或批准就被用於工作,這會給企業帶來嚴重的風險。IT和資訊安全團隊必須對企業技術生態中所使用的第三方應用程式進行審查和批准,這是因為他們需要瞭解正在使用的應用程式、它們是否安全,以及有哪些敏感的公司資料(如果有的話)進入了這些應用程式。還要考慮應用程式開發商如何處理漏洞等問題,以及有哪些控制措施可以將存取權限制或控制在僅限員工完成工作所需的範圍內等事項。
採用未經許可的生成式AI應用程式會導致資料洩露、惡意軟體等一系列網路安全問題。這是因為企業不知道誰在使用什麼應用程式、哪些敏感資訊會進入這些應用程式,以及這些資訊進入應用程式後會發生什麼。而且由於並非所有應用程式都是按照合適的企業安全標準構建的,因此它們也可能會提供惡意連結,並成為攻擊者進入企業網路訪問系統和資料的入口。所有這些問題都可能導致違規、敏感性資料洩露、智慧財產權被盜、營運中斷和經濟損失。雖然這些應用程式可以帶來巨大的生產力,但如果使用不安全,它們也會導致嚴重的風險和潛在後果,例如:
- 行銷團隊使用了一個未經許可的應用程式,該應用程式能夠使用AI生成精彩的圖像和影片內容。如果團隊將敏感資訊載入到該應用程式中,導致機密產品發佈細節洩露,會發生什麼情況?答案是您不願看到的病毒式傳播。
- 專案經理使用AI驅動的筆記應用程式來轉錄會議內容並生成摘要。但如果記錄的內容包含財報公佈前對季度財務業績的機密討論內容,會發生什麼情況?
- 開發人員使用AI助手和代碼優化服務加快產品構建。但如果從被入侵的應用中返回的最佳化代碼包含惡意腳本,該怎麼辦?