Mối Đe Dọa AI Bí Ẩn Đối Với An Ninh Doanh Nghiệp

Với sự phát triển nhanh chóng của công nghệ AI, các tổ chức đang đối mặt với một mối đe dọa an ninh mới nổi: các ứng dụng AI ẩn. Những ứng dụng không được ủy quyền này, được phát triển bởi nhân viên mà không có sự giám sát của IT hoặc an ninh, đang lan rộng khắp các công ty và thường không được chú ý đến, như đã được nêu trong một bài viết gần đây trên VentureBeat.

VentureBeat giải thích rằng, mặc dù nhiều ứng dụng này không cố tình gây hại, nhưng chúng đều đặt ra những rủi ro đáng kể cho các mạng lưới doanh nghiệp, từ việc rò rỉ dữ liệu đến vi phạm tuân thủ.

Ứng dụng Shadow AI thường được xây dựng bởi các nhân viên muốn tự động hóa các công việc hàng ngày hoặc tối ưu hóa hoạt động, bằng cách sử dụng các mô hình AI được đào tạo trên dữ liệu độc quyền của công ty.

Những ứng dụng này, thường dựa vào các công cụ AI sinh thái như ChatGPT của OpenAI hoặc Google Gemini, thiếu các biện pháp bảo vệ cần thiết, khiến chúng dễ bị đe dọa an ninh đến mức cao.

Theo Itamar Golan, CEO của Prompt Security, “Khoảng 40% các mô hình này mặc định sẽ được huấn luyện trên bất kỳ dữ liệu nào bạn cung cấp cho chúng, có nghĩa là tài sản trí tuệ của bạn có thể trở thành một phần của mô hình của họ,” như được báo cáo bởi VentureBeat.

Sức hút của AI ẩn (shadow AI) rõ ràng. Nhân viên, đang chịu áp lực ngày càng tăng để đáp ứng các thời hạn chặt chẽ và xử lý các khối lượng công việc phức tạp, đang chuyển sang sử dụng những công cụ này để tăng năng suất công việc.

Vineet Arora, CTO tại WinWire, ghi chú cho VentureBeats, “Các phòng ban nhảy vào giải pháp AI không được phê duyệt bởi vì lợi ích tức thì quá hấp dẫn để có thể bỏ qua.” Tuy nhiên, những rủi ro mà những công cụ này đưa ra rất sâu sắc.

Golan so sánh AI ẩn với các loại thuốc tăng cường hiệu suất trong thể thao, nói rằng, “Đó giống như việc dùng doping trong Tour de France. Mọi người muốn có lợi thế mà không nhận ra hậu quả lâu dài,” như được báo cáo bởi VentureBeats.

Mặc dù có nhiều lợi thế, các ứng dụng AI ẩn đang đưa các tổ chức đối mặt với hàng loạt các lỗ hổng, bao gồm cả rò rỉ dữ liệu do tai nạn và các cuộc tấn công tiêm nhanh mà các biện pháp bảo mật truyền thống không thể phát hiện.

Quy mô của vấn đề này thực sự là đáng kinh ngạc. Golan tiết lộ với VentureBeats rằng công ty của anh ta mỗi ngày đăng ký 50 ứng dụng AI mới, với hơn 12.000 ứng dụng đang được sử dụng hiện nay. “Bạn không thể ngăn chặn một trận sóng thần, nhưng bạn có thể xây dựng một con thuyền,” Golan khuyên rằng, chỉ ra rằng nhiều tổ chức đang bị lừa mù quáng bởi quy mô của việc sử dụng AI ẩn trong mạng lưới của họ.

Ví dụ, một công ty tài chính đã phát hiện ra 65 công cụ AI không được phép trong một cuộc kiểm toán kéo dài 10 ngày, nhiều hơn nhiều so với dưới 10 công cụ mà đội ngũ an ninh của họ đã dự kiến, theo báo cáo của VentureBeats.

Nguy cơ của AI ẩn trở nên đặc biệt nghiêm trọng đối với các ngành được điều tiết. Một khi dữ liệu độc quyền được đưa vào một mô hình AI công khai, nó trở nên khó kiểm soát, dẫn đến những vấn đề tuân thủ tiềm ẩn.

Golan cảnh báo, “Luật AI sắp tới của EU có thể khiến cả GDPR cũng phải nhỏ bé trong việc phạt,” trong khi Arora nhấn mạnh mối đe dọa của việc rò rỉ dữ liệu và những hình phạt mà các tổ chức có thể đối mặt nếu không bảo vệ thông tin nhạy cảm, như được báo cáo bởi VentureBeats.

Để giải quyết vấn đề ngày càng phức tạp của shadow AI, các chuyên gia đề xuất một cách tiếp cận đa diện. Arora đề nghị các tổ chức tạo ra cấu trúc quản trị AI tập trung, tiến hành kiểm toán định kỳ, và triển khai các biện pháp kiểm soát bảo mật nhận biết được AI để phát hiện các cuộc tấn công do AI điều khiển.

Thêm vào đó, các doanh nghiệp nên cung cấp cho nhân viên những công cụ AI đã được phê duyệt trước và các chính sách sử dụng rõ ràng để giảm thiểu sự cám dỗ sử dụng các giải pháp chưa được chấp thuận.