影子AI是在组织内未经IT治理或风险领域知晓、批准或监督而使用AI系统或工具。
影子AI是组织面临的最重要新兴风险之一。员工使用生成式AI工具、第三方API或自有模型而不经过组织的风险评估、隐私和安全流程。可能暴露机密数据、产生法律风险并损害关键流程的完整性。
员工将机密数据输入外部AI工具可能违反隐私政策、保密协议和GDPR等法规。
ISO 42001要求维护所有使用中AI系统的清单。影子AI代表逃脱该清单的系统。
缓解需要明确的AI使用政策、员工培训和技术检测控制机制。
影子AI是Shadow IT中特定于AI工具的子集。共享相同的治理风险,但增加了偏见、幻觉和向外部模型暴露数据等AI特有风险。
通过监控流向已知AI API的网络流量、员工调查、订阅费用审查和浏览日志分析。
需要此领域的评估?