Shadow AI je jedan od najbrže rastućih bezbedonosnih izazova u savremenom poslovanju, u celom rasponu industrija od kreativnih do inženjeriskih grana, ali i u svim uslužnim i servisnim delatnostima u kojima se operiše internim dokumentima. Kada god se interni dokument, deo kreiranog materijala, bio on muzički zapis, likovno delo ili programerski kod, ubaci u AI alat, postoji mogućnost gubitka kontrole nad tim podacima. U većini slučajeva, sami AI alati nedvosmisleno u uslovima korišćenja naglašavaju da se ovim postupkom odričete intelektualnih, autorskih i svih drugih prava nad unetim materijalom. Ono na šta mnogi koji koriste AI alate, takođe ne obraćaju pažnju je i da u istim uslovima korišćenja često stoji da ne postoji garancija da AI kreiran sadržaj ne podleže autorskim i drugim pravima, i ekplicitno očekuju da korisnik na sebe preuzme potvrđivanje da je sadržaj slobodan za korišćenje.
Iluzija privatnosti
U tekstu sa preporukama koji smo dobili od kompaanije PULSEC, navodi se da mnogi korisnici veruju da aktiviranjem opcija za privatnost ili „isključivanjem treniranja AI modela“ postaju potpuno zaštićeni, ali da su po njihovom saznanju detaljne analize uslova korišćenja pokazale da provajderi AI servisa ipak zadržavaju određena prava nad podacima, uključujući njihovo čuvanje, a potencijalno i buduću upotrebu. Izgleda čak i da se kod komercijalnih enterprise verzija vrši određeni nivo obrade, ali i da se čuvaju metapodaci. Ako je ovo istina, oprez je ovde više nego opravdan, budući da je tehnologija nova i da nema razrađene zakonske regulative i poznate prakse.
Šta je „Shadow AI“ i zašto je opasniji nego što mislite?
„Problem nastaje onog trenutka kada podaci napuste kontrolisano okruženje kompanije, jer tada više ne postoji jasan uvid gde se ti podaci nalaze, kako se obrađuju i ko im može pristupiti. Svi podaci uneti u alate kao što su ChatGPT, Claude ili Gemini obrađuju se i skladište na infrastrukturi provajdera. Često završavaju na serverima u različitim jurisdikcijama, što dodatno komplikuje pitanje kontrole nad tim informacijama. Treba biti svestan činjenice da internet pamti – uneti podaci neće magično nestati, već se negde skladište i obrađuju, i da otvaranje „incognito” prozora u brauzeru ne spašava stvar”, navode u kompaniji PULSEC i upoznaju nas sa najčešćim slučajem u praksi: „U praksi se sve češće detektuju upravo ovakvi obrasci ponašanja: zaposleni koriste AI kako bi ubrzali svakodnevni rad, bilo da skraćuju interne izveštaje ili traže pomoć u rešavanju tehničkih izazova. Kada zaposleni izvrše upload internih dokumenata, finansijskih izveštaja ili delova izvornog koda u javne AI alate, ti podaci prestaju da budu pod potpunom kontrolom kompanije.“ Tada nastaje problem koji se naziva Shadow AI.
Kako se kompanije mogu zaštititi?
Potpuna zabrana AI alata u praksi često ne daje rezultat. Zaposleni će, naročito ako vide da im tehnologija olakšava posao, pronaći način da je koriste. Zato je efikasniji pristup da kompanije uvedu jasna pravila, edukuju zaposlene i definišu odobrene alate. Jedan od načina je korišćenje izolovane cloud infrastrukture ili lokalno pokretanje AI modela unutar sopstvene mreže, čime se eliminiše slanje podataka eksternim servisima. Pitanje ažuriranja baze znanja, odnosno modela, kao i kontrola ovakvog rešenja može predstavljati izazov.
Savetuje se kompanijama da proaktivno upravljaju rizicima kroz sledeće korake:
- Definišite politiku upotrebe: Jasno propisivanje koji su AI alati dozvoljeni i u koje svrhe, uz striktnu zabranu unošenja poverljivih informacija kao što su lozinke ili podaci o klijentima.
- Klasifikujte podataka: Uvedite sistem podele na Public, Internal i Confidential podatke, pri čemu je za potonju kategoriju korišćenje AI servisa strogo zabranjeno.
- Neka ljudska verifikacija bude standard: Nijedan tekst ili tehnička dokumentacija generisani uz pomoć AI ne smeju napustiti kompaniju bez stručne ljudske verifikacije, s obzirom na poznati problem „halucinacija“ i netačnih informacija.
- Edukujte zaposlene: Redovne obuke o opasnostima Shadow AI-a i primerima iz prakse pomažu u izgradnji kulture digitalne odgovornosti.
- Uvedite princip najmanjih privilegija: Pristup naprednim AI alatima treba da bude limitiran potrebama radnog mesta.
