Gölge AI: Onaylanmamış yapay zeka uygulamalarının güvenliği tehdit etmesi

Güvenlik liderleri ve CISOs, gölgede kalan yapay zeka (AI) uygulamalarının ağlarını tehlikeye attığını ve bazı durumlarda bunun bir yıldan fazla sürdüğünü keşfediyor.

Bu uygulamalar, tipik saldırganların işleyiş tarzına benzemiyor. Aksine, güvenilir çalışanlar, IT ve güvenlik departmanlarının denetimi ve onayı olmadan AI uygulamaları geliştirmekte. Bu uygulamalar, geçmişte manuel olarak oluşturulan raporları otomatikleştirmekten, pazarlama otomasyonu, görselleştirme ve ileri düzey veri analizine kadar geniş bir yelpazede işlevler sunuyor. Şirketlerin özel verileri ile beslenen gölge AI uygulamaları, genel alan modellerini özel verilerle eğitiyor.

Gölge AI Nedir ve Neden Büyüyor?

Bu şekilde oluşturulan AI uygulamalarının çoğu, neredeyse hiç güvenlik önlemi olmadan çalışıyor. Gölge AI, kazara veri sızıntıları, uyum ihlalleri ve itibar kaybı gibi ciddi riskler oluşturuyor.

Gölge AI, kullanıcıların daha detaylı işleri daha az zamanda tamamlamasına olanak tanıyarak, sık sık son tarihleri de aşmalarını sağlıyor. Tüm departmanlar, daha az zamanda daha fazla verim almak için gölge AI uygulamalarına rağbet ediyor. WinWire CTO’su Vineet Arora, VentureBeat ile yaptığı bir röportajda, “Her hafta bunu görüyorum. Departmanlar, resmi onay olmadan AI çözümlerine atlıyor çünkü kısa vadeli yararları görmezden gelinemez,” diyor.

Itamar Golan, Prompt Security’nin CEO’su, yaptığı bir röportajda, “Günde 50 yeni AI uygulaması görüyoruz ve zaten 12,000’den fazla uygulama katalogladık,” diyor. “Bu uygulamaların yaklaşık %40’ı, beslediğiniz verilerle eğitimi varsayılan olarak alıyor, bu da fikri mülkiyetinizin modellerine dahil olabileceği anlamına geliyor.”

Öngörülemeyen Sanal Tsunami

“Bir tsunami durdurulamaz, ama bir tekne inşa edebilirsiniz,” diyor Golan. AI’nin var olduğunu yok saymak, şirketleri kör bırakıyor; örneğin, bir New York finans şirketinin güvenlik müdürü, şirkette 10’dan az AI aracının kullanıldığını düşünüyordu. 10 günlük bir denetim, 65 yetkisiz çözüm ortaya çıkardı ve bunların çoğu resmi lisans kullanımına sahip değildi.

Veriler, Arora ve Golan‘ın belirttiği gibi, çalışanların onaylanmış AI yollarına ve açık politikalara sahip olduğunda, yetkisiz araçlar kullanma ihtiyacını hissetmediklerini ortaya koyuyor. “Bu, hem riski hem de sürtüşmeyi azaltıyor,” diyorlar.

Gölge AI’nin Tehditleri

Gölge AI uygulamaları, hassas verilerin halka açık modellere girmesiyle daha büyük zorluklar yaratıyor. Özellikle önemli uyum ve düzenleyici gerekliliklere sahip şirketler için bu sorun daha da karmaşıklaşıyor. Golan, “Gelecek EU AI Yasası, GDPR’daki cezalardan bile daha büyük hale gelebilir,” diyor. Gölge AI uygulamaları, birçok şirketin güvenlik çeperlerini yavaş yavaş yok ediyor; birçokları, organizasyonlarındaki bu artışın farkında bile değil.

Gölge AI’nin Tehditleriyle Başa Çıkma Yöntemleri

Arora, bunları denetim altına almak için şu önerilerde bulunuyor:

• Resmi bir gölge AI denetimi yapın. Yetkisiz AI kullanımını belirlemek için detaylı bir denetim gerçekleştirin.
• Sorumlu AI Ofisi oluşturun. Politika oluşturma ve risk değerlendirmelerini merkezi hale getirin.
• AI-bilinçli güvenlik kontrollerini uygulayın. Geleneksel araçlar metin tabanlı istismarları gözden kaçırıyor, bu nedenle AI odaklı veri kaybı önleme (DLP) sistemleri benimseyin.
• Merkezi bir AI envanteri oluşturun. Onaylı AI araçlarının bir listesini oluşturmak, düzensiz hizmetlerin kullanılmasını azaltabilir.
• Çalışanları eğitin. Gölge AI’nin iş dünyasına neden zarar verebileceği konusunda bilgilendirim yapın.

Sonuç olarak, Arora ve Golan, bir merkezden yönetim, kullanıcı eğitimi ve proaktif izleme kombinasyonu ile şirketlerin yapay zekanın potansiyelinden yararlanmalarını önereceklerini belirtiyor. “Kapsamlı politika ve merkezi yönetim, yeniliği teşvik eder ve kurumsal verileri korur,” diyor Arora. Gölge AI burada kalmayı vaat ediyor; bu nedenle, onu tamamen yasaklamak yerine, güvenli üretkenliği teşvik eden yaklaşımlar benimsemek en iyisi olacaktır.