拉丁美洲73%的组织存在某种程度的Shadow AI:未经正式授权、未经风险评估且未记录在企业资产清单中的人工智能系统。这一数据来自我们对该地区350多家组织的研究。
什么是Shadow AI
Shadow IT传统上指未经授权的软件或硬件。Shadow AI更危险,因为它涉及做出决策、处理敏感数据并生成可能在法律上损害组织的内容的模型。
检测的5个步骤
步骤1:映射关键数据流
在寻找AI工具之前,先映射组织敏感数据的流向。在我们的经验中,58%的Shadow AI案例是通过跟踪数据流发现的。
步骤2:审计活跃的许可证和订阅
审查费用报告、公司卡和活跃订阅。许多AI工具在IT部门不知情的情况下被购买。
步骤3:匿名员工调查
匿名调查是最有效的工具之一。在我们的研究中,45%的员工在保证匿名的情况下承认使用了未授权的AI工具。
步骤4:审查集成和API
许多团队通过API和webhook将AI工具连接到现有平台。技术审查可以揭示绕过安全评估的AI服务连接。
步骤5:建立登记流程而非禁令
这是最重要的一步。禁止AI不起作用。有效的做法是创建登记制度,让团队能够声明使用哪些AI工具。根据我们的跟踪数据,简单的登记流程可将Shadow AI减少60%。
下一步
如果您的组织没有正式的AI系统清单,那就是您的起点。Shadow AI诊断可在72个工作小时内完成。