ה- AI הצלולי מאיים על אבטחת הארגונים

ככל שטכנולוגיית הAI מתפתחת במהירות, ארגונים נתקלים באיום אבטחה חדשני: אפליקציות AI צללים. אפליקציות לא מאושרות אלו, שפותחו על ידי עובדים ללא פיקוח IT או אבטחה, מתפשטות ברחבי החברות ולעיתים נשארות לא מוזהות, כפי שהודגש בכתבה אחרונה בVentureBeat.

VentureBeat מסביר שאמנם רבים מהאפליקציות אלה אינם נושאי נזק בכוונה, אך הם מהווים סיכון משמעותי לרשתות תאגידיות, המשתרע מנישורי מידע ועד להפרות תקנות.

אפליקציות "Shadow AI" נוצרות לעיתים על ידי עובדים שמחפשים לאוטומט את המשימות הרוטיניות או לשפר את תהליכי העבודה, באמצעות מודלים של AI שהוכשרו על נתונים הפרטיים של החברה.

אפליקציות אלו, שבהן משתמשים לעיתים בכלים גנרטיביים של AI כמו ChatGPT של OpenAI או Google Gemini, חסרות במנגנוני הגנה חיוניים, מה שהופך אותן לפגיעות במיוחד לאיומי אבטחה.

לדברי איתמר גולן, מנכ"ל Prompt Security, "כ-40% מהם מתאמנים כברירת מחדל על כל מידע שאת מזינה להם, מה שאומר שהרכוש הרוחני שלך יכול להפוך לחלק מהמודלים שלהם", כפי שדווח ב-VentureBeat.

משיכת האפשרויות של מלאכת הצל באינטיליגנציה מלאכותית היא ברורה. העובדים, שנמצאים תחת לחץ גבוה לעמוד בדדליינים קפואים ולהתמודד עם עומסי עבודה מורכבים, מפנים לכלים אלו כדי להגביר את היעילות.

ויניט ארורה, ה-CTO של WinWire, מעיר ל- VentureBeats, "המחלקות מבצעות קפיצה לפתרונות AI שאינם מאושרים מאחר והיתרונות המיידיים שהם מציעים מדי קשים להתעלם מהם." עם זאת, הסיכונים שמביאים עמם כלים אלו הם עמוקים.

גולן משווה את ה-AI הצללי לתרופות שמשדרגות ביצועים בספורט, אומר, "זה כמו דופינג בטור דה פראנס. אנשים רוצים יתרון בלי להבין את התוצאות לטווח הארוך," כפי שדיווח VentureBeats.

למרות היתרונות שלהם, אפליקציות ה-AI הצללי מחשפות ארגונים למגוון של פגיעויות, כולל דליפות נתונים בטעות והתקפות הזרקה מהירה שאמצעי האבטחה המסורתיים לא מצליחים לאתר.

הממדים של הבעיה מזעזעים. גולן מגלה ל-VentureBeats שהחברה שלו מקטלוגת 50 אפליקציות AI חדשות ביום, עם מעל ל-12,000 שמשמשות כיום. "אתה לא יכול לעצור צונאמי, אך אתה יכול לבנות סירה," מועץ גולן, מצביע על העובדה שארגונים רבים מתפתאים מההיקף של השימוש ב-AI הצללי בתוך הרשתות שלהם.

לדוגמה, חברת פיננסים אחת גילתה 65 כלים בלתי מורשים של מלאכות תודעה (AI) במהלך ביקורת של 10 ימים, הרבה יותר מפחות מ-10 הכלים שצוות האבטחה שלהם היה מצפה להם, כפי שדווח על ידי VentureBeats.

הסיכונים של מלאכות תודעה מבוססות צל (shadow AI) הם מיוחדים במיוחד עבור תחומים מוסדרים. לאחר שנתונים ייחודיים מוזנים לתוך מודל תודעה מלאכותית ציבורי, נהיה קשה לשלוט בו, מה שמוביל לבעיות התאמה פוטנציאליות.

גולן מזהירה: "החוק החדש של האיחוד האירופי בנושא מלאכותיות עשוי להחמיא אפילו את הקנסות של ה-GDPR", בעוד שארורה מדגישה את האיום של דליפת מידע ואת הענישות שארגונים עשויים להיחמש על כך שלא מגינים על מידע רגיש, כפי שדווח ב-VentureBeats.

כדי להתמודד עם הבעיה הגוברת של אי-אי (AI) המרחפת, מומחים ממליצים על גישה מרובה פנים. ארורה מציעה שארגונים ייצרו מבנים מרוכזים של ממשל על אי-אי, יבצעו ביקורות תקופתיות, ויפעילו שליטות אבטחה שמתחשבות באי-אי שיכולות לזהות פריצות שמונעות מאי-אי.

בנוסף, על העסקים לספק לעובדים את הכלים של הAI שאושרו מראש ומדיניות שימוש ברורה, כדי להפחית את הפיתוי להשתמש בפתרונות שלא קיבלו אישור.