Pomiń nawigację

11 kwietnia 2025 r.

Czym jest shadow AI i czy firmy powinny się go obawiać?

Obecnie jedną z najszybciej rozwijających się nowych technologii jest sztuczna inteligencja, której rozwiązania w coraz szybszym tempie przenikają różne dziedziny życia, zarówno prywatnego, jak i zawodowego. Ta rewolucja technologiczna niesie ze sobą nowe wyzwania i zagrożenia, z którymi muszą mierzyć się pracodawcy. Jednym z takich zagrożeń jest shadow AI.

Termin shadow AI oznacza każde wykorzystanie narzędzi i rozwiązań sztucznej inteligencji w trakcie pracy bez wiedzy i zgody przełożonych lub działu IT. Jest to zjawisko pokrewne do shadow IT, czyli wykorzystania niezatwierdzonego oprogramowania i technologii. Według badania z 2024 r. przeprowadzonego przez CybSafe w 7 krajach, 38% z badanych pracowników dzieliło się danym wrażliwymi z narzędziami AI bez wiedzy pracodawcy[1].

Jako przykłady takich niebezpiecznych zachowań można wymienić:

  • Wykorzystanie zewnętrznych modeli AI do analizy danych wrażliwych – np. wykorzystanie ChatGPT do generowania raportów na podstawie danych firmowych przekazanych bez zgody przełożonego.
  • Wykorzystanie narzędzi do automatyzacji marketingu – w przypadku braku odpowiedniego nadzoru mogą generować nieprawidłowe informacje oraz zagrażać bezpieczeństwu danych osobowych klientów firmy.
  • Wykorzystanie narzędzi do wizualizacji danych – wprowadzanie danych firmy do niesprawdzonych narzędzi może prowadzić do generowania niepoprawnych i niedokładnych wizualizacji oraz potencjalnych problemów z bezpieczeństwem danych.

Jako przykład nieodpowiedzialnego korzystania z narzędzi AI można podać sprawę z kwietnia 2023 r., kiedy to w mediach pojawiła się informacja o pracowniku firmy Samsung Electronics, który wykorzystał ChatGPT w celu optymalizacji wrażliwego kodu źródłowego. W odpowiedzi na potencjalny wyciek danych i ich potencjalne wykorzystanie do dalszego trenowania tego modelu AI, Samsung Electronics zdecydował się na wprowadzenie zakazu wykorzystywania narzędzi generatywnej AI przez pracowników[2].

Co jednak powoduje, że pracownicy decydują się na wykorzystanie sztucznej inteligencji bez wiedzy i nadzoru działu IT i przełożonych? Obecnie wielki nacisk kładzie się na zwiększanie produktywności, a użycie narzędzi AI pozwala na szybsze wykonywanie powierzonych zadań, zmniejszanie kosztów i poprawę wydajności. Sztuczna inteligencja pozwala na automatyzację wybranych czynności, szybkie generowanie treści i obrazów (np. raportów i prezentacji), a także wspiera w podejmowaniu decyzji i rozwiązywaniu bieżących problemów. Wykorzystanie narzędzi AI po prostu ułatwia codzienną pracę i pozwala pracownikom oszczędzić czas.

Kolejnym powodem sięgania po nieautoryzowane narzędzia AI może być brak oficjalnych strategii, polityk i regulacji dotyczących wykorzystania AI w organizacji. Shadow AI jest więc nie tylko problemem technologicznym, ale również organizacyjnym i strategicznym. W celu zapobiegania tego typu działaniom kadra zarządzająca powinna opracować strategię wdrażania sztucznej inteligencji, która uwzględnia ogólnodostępne narzędzia AI wykorzystywane przez pracowników w celu poprawy produktywności. Opracowane regulacje powinny podkreślać znaczenie cyberbezpieczeństwa i zgodności z przepisami prawnymi, co pozwoli na minimalizację ryzyka związanego z wykorzystaniem sztucznej inteligencji w działaniach firmy.

Do konsekwencji wykorzystania shadow AI zalicza się:

  • Większe ryzyko utraty kontroli nad danymi – większość pracowników nie zdaje sobie sprawy, w jaki sposób dane wprowadzone przez nich do narzędzi AI są przechowywane, przetwarzane i udostępniane. Brak kontroli nad danymi może prowadzić do wycieku informacji i naruszeń prywatności, a także wykorzystania danych w sposób niezgodny z politykami ochrony danych organizacji. Narzędzia AI działają zazwyczaj na serwerach zewnętrznych i w chmurze, co jeszcze bardziej zwiększa niebezpieczeństwo ich ujawnienia osobom nieautoryzowanym.
  • Naruszenie przepisów i regulacji prawnych – regulacje takie jako RODO wymagają, aby firmy sprawowały kontrolę i chroniły dane osobowe klientów. Wykorzystanie narzędzi AI może prowadzić do łamania tych przepisów, a co za tym idzie skutkować konkretnymi konsekwencjami prawnymi (w tym karami finansowymi).
  • Większa podatność na cyberzagrożenia – przekazywanie danych do narzędzi AI może prowadzić do przejęcia ich przez cyberprzestępców, a następnie wykorzystanie ich w atakach na infrastrukturę organizacji. Rozwiązania AI niesprawdzone przez dział IT mogą nie spełniać wymogów cyberbezpieczeństwa organizacji, czyli stanowić słabe ogniwo w systemie ochrony danych.
  • Niższa jakość analiz i zniekształcanie procesów decyzyjnych – rozwiązania i modele AI nie są nieomylne, a treści przez nie generowane mogą być oparte na niepełnych, przestarzałych lub niewiarygodnych danych. Mogą być też wynikiem tzw. halucynacji – narzędzie AI z pełnym przekonaniem podaje nieprawdziwe informacje, których generowanie spowodowane jest brakami w wiedzy modelu[3]. Niezweryfikowane informacje wygenerowane przez AI mogą prowadzić do podejmowania błędnych decyzji, które będą mieć negatywny wpływ na działalność firmy np. poprzez tworzenie błędnych strategii biznesowych lub nieefektywne zarządzanie zasobami.
  • Konsekwencje wizerunkowe – wycieki danych, problemy prawne, ataki cyberprzestępców oraz upublicznianie błędnych danych i informacji. Wszystkie te konsekwencje wykorzystania shadow AI mogą również skutkować obniżeniem zaufania klientów do firmy i nadszarpnięciem jej reputacji. Może to nieść ze sobą również problemy finansowe związane z utratą potencjalnych zamówień i pogorszeniem pozycji rynkowej.

Jak więc można zapobiegać lub minimalizować zagrożenia związane z shadow AI? Najważniejszym krokiem jest opracowanie kompleksowych strategii i polityk wykorzystywania sztucznej inteligencji w działalności organizacji. Dokumenty tego typu powinny nie tylko definiować sposoby ochrony danych, ale również zawierać procedury zatwierdzania i autoryzacji narzędzi AI. Należy jednak pamiętać, że zbyt skomplikowane procedury nie rozwiążą problemu – zbyt długi czas oczekiwania na akceptację narzędzia może popychać pracowników do ich nieautoryzowanego użycia. Dlatego też równie ważne jest też uświadamianie i edukacja pracowników w zakresie niebezpieczeństw związanych z użyciem niesprawdzonych narzędzi AI. Firmy powinny również pamiętać o regularnych audytach zgodności ciągle zmieniających się rozwiązań.

W trakcie wdrażania narzędzi sztucznej inteligencji w organizacji, należy pamiętać o zachowaniu równowagi pomiędzy innowacyjnością i korzyściami biznesowymi, a bezpieczeństwem. Brak kontroli nad wykorzystywanymi narzędziami AI może nieść ze sobą poważne konsekwencje. Dlatego też regulacje, edukacja i inwestowanie w cyberbezpieczeństwo powinno być priorytetem dla każdej organizacji, która chce w bezpieczny i odpowiedzialny sposób korzystać z rozwiązań sztucznej inteligencji.

 

Źródła: mitsmr.pl, www.ibm.com, wit.pwr.edu.pl, www.infosecurity-magazine.com, www.forbes.com

[1] https://www.infosecurity-magazine.com/news/third-employees-sharing-work-info/

[2] https://www.forbes.com/sites/siladityaray/2023/05/02/samsung-bans-chatgpt-and-other-chatbots-for-employees-after-sensitive-code-leak/

[3] https://wit.pwr.edu.pl/aktualnosci/od-halucynacji-do-samoswiadomosci-sztucznej-inteligencji-306.html

Może Cię zainteresować

23 kwietnia 2025

Czy AI pisze lepsze raporty niż eksperci? Przełomowa publikacja PARP i USWPS pokazuje...
14 kwietnia 2025

Polityka rozwoju polskiego sektora półprzewodników – wstępne wyniki konsultacji s...
14 kwietnia 2025

Nowe technologie w ochronie przestrzeni powietrznej – grant NATO dla projektu badaczk...

Więcej aktualności

Opublikowano: 11.04.2025 12:56
Poprawiono: 11.04.2025 10:55
Modyfikujący: sebastian_lodzinski
Udostępniający: sebastian_lodzinski
Autor dokumentów: