استفاده روزافزون از هوش مصنوعی در محیط کار باعث افزایش سریع مصرف داده شده و توانایی شرکت برای حفاظت از داده های حساس را به چالش می کشد.
گزارشی که در ماه مه از شرکت امنیت داده Cyberhaven با عنوان «مقصران اتاقک» منتشر شد، روند پذیرش هوش مصنوعی و ارتباط آنها با افزایش ریسک را روشن می کند. تجزیه و تحلیل Cyberhaven از مجموعه داده ای از الگوهای استفاده از سه میلیون کارگر برای ارزیابی پذیرش هوش مصنوعی و پیامدهای آن در محیط شرکت استفاده کرد.
رشد سریع هوش مصنوعی از تغییرات دگرگون کننده قبلی مانند اینترنت و رایانش ابری تقلید می کند. به گفته هاوارد تینگ، مدیرعامل Cyberhaven، درست همانطور که پذیرندگان اولیه ابر چالشهای جدید را دنبال میکردند، شرکتهای امروزی نیز باید با پیچیدگیهای ایجاد شده توسط پذیرش گسترده هوش مصنوعی مقابله کنند.
او به TechNewsWorld گفت: «تحقیق ما در مورد استفاده و خطرات هوش مصنوعی نه تنها تأثیر این فناوریها را برجسته میکند، بلکه بر خطرات نوظهوری که میتواند به موازات آنهایی که در جریان تحولات مهم فناوری در گذشته با آن مواجه شدهاند، تأکید کند».
یافتهها هشدار میدهند که احتمال سوءاستفاده از هوش مصنوعی وجود دارد
گزارش Cubicle Culprits شتاب سریع پذیرش هوش مصنوعی در محیط کار و استفاده توسط کاربران نهایی را نشان می دهد که از فناوری اطلاعات شرکت ها پیشی می گیرد. این روند، به نوبه خود، حساب های مخاطره آمیز “هوش مصنوعی سایه”، از جمله انواع بیشتری از داده های حساس شرکت را تحریک می کند.
محصولات سه غول فناوری هوش مصنوعی – OpenAI، گوگل و مایکروسافت – بر استفاده از هوش مصنوعی غالب هستند. محصولات آنها 96 درصد از استفاده از هوش مصنوعی در محل کار را تشکیل می دهند.
طبق این تحقیق، کارگران در سراسر جهان دادههای حساس شرکتی را به ابزارهای هوش مصنوعی وارد کردند که از مارس 2023 تا مارس 2024 به میزان نگران کننده 485 درصد افزایش یافت. ما هنوز در مراحل اولیه پذیرش هستیم. تنها 4.7 درصد از کارکنان شرکت های مالی، 2.8 درصد در رشته های داروسازی و علوم زیستی و 0.6 درصد در شرکت های تولیدی از ابزارهای هوش مصنوعی استفاده می کنند.
73.8 درصد قابل توجهی از استفاده از ChatGPT در محل کار از طریق حساب های غیر شرکتی انجام می شود. برخلاف نسخههای سازمانی، این حسابها دادههای مشترک را در مدلهای عمومی ترکیب میکنند که خطر قابلتوجهی برای امنیت دادههای حساس به همراه دارد.»
بخش قابل توجهی از داده های حساس شرکتی به حساب های غیر شرکتی ارسال می شود. این شامل تقریباً نیمی از کد منبع (50.8٪)، مواد تحقیق و توسعه (55.3٪) و سوابق منابع انسانی و کارکنان (49.0٪) است.
داده های به اشتراک گذاشته شده از طریق این حساب های غیر شرکتی در مدل های عمومی گنجانده می شوند. درصد استفاده از حساب غیر شرکتی برای Gemini (94.4٪) و Bard (95.9٪) حتی بیشتر است.
خونریزی غیرقابل کنترل داده های هوش مصنوعی
این روند نشان دهنده یک آسیب پذیری بحرانی است. تینگ گفت که حسابهای غیرشرکتی فاقد اقدامات امنیتی قوی برای محافظت از این دادهها هستند.
نرخ پذیرش هوش مصنوعی به سرعت در حال رسیدن به بخش های جدید است و از مواردی که شامل داده های حساس است استفاده می کنند. حدود 27 درصد از دادههایی که کارمندان در ابزارهای هوش مصنوعی قرار میدهند حساس هستند، در مقایسه با 10.7 درصد در سال گذشته.
به عنوان مثال، 82.8 درصد از اسناد حقوقی که کارمندان در ابزارهای هوش مصنوعی قرار دادهاند، به حسابهای غیرشرکتی میروند و به طور بالقوه اطلاعات را در معرض دید عموم قرار میدهند.
تینگ هشدار داد که گنجاندن مطالب ثبت شده در محتوای تولید شده توسط ابزارهای هوش مصنوعی خطرات فزاینده ای دارد. درج کد منبع تولید شده توسط هوش مصنوعی خارج از ابزارهای کدگذاری می تواند خطر آسیب پذیری را ایجاد کند.
برخی از شرکتها از توقف جریان دادههای غیرمجاز و حساس صادر شده به ابزارهای هوش مصنوعی خارج از دسترس فناوری اطلاعات بیاطلاع هستند. آنها به ابزارهای امنیتی داده های موجود تکیه می کنند که فقط محتوای داده ها را اسکن می کنند تا نوع آن را شناسایی کنند.
«آنچه گم شده است، زمینه این است که داده ها از کجا آمده اند، چه کسی با آن تعامل داشته است، و کجا ذخیره شده است. مثالی را در نظر بگیرید که یک کارمند کد را در یک حساب هوش مصنوعی شخصی قرار می دهد تا به رفع اشکال آن کمک کند. آیا این کد منبع از یک مخزن است؟ آیا این اطلاعات مشتری از یک برنامه SaaS است؟
کنترل جریان داده ممکن است
به گفته تینگ، آموزش کارگران در مورد مشکل نشت داده، اگر به درستی انجام شود، بخشی قابل اجرا از راه حل است. اکثر شرکت ها آموزش های دوره ای آگاهی از امنیت را راه اندازی کرده اند.
با این حال، ویدئوهایی که کارگران باید دو بار در سال ببینند به زودی فراموش می شوند. آموزشی که بهترین نتیجه را دارد اصلاح رفتار بد بلافاصله در لحظه است.»
Cyberhaven دریافت که وقتی کارگران یک پیام بازشو دریافت می کنند که آنها را در طول فعالیت های مخاطره آمیز راهنمایی می کند، مانند چسباندن کد منبع در یک حساب شخصی ChatGPT، رفتار بد مداوم تا 90٪ کاهش می یابد.
فناوری شرکت او، تشخیص داده و پاسخ (DDR) میداند که چگونه دادهها حرکت میکنند و از آن زمینه برای محافظت از دادههای حساس استفاده میکنند. این فناوری همچنین تفاوت بین حساب شرکتی و شخصی برای ChatGPT را درک می کند.
این قابلیت شرکتها را قادر میسازد تا سیاستی را اعمال کنند که کارمندان را از چسباندن دادههای حساس به حسابهای شخصی مسدود میکند و در عین حال اجازه میدهد این دادهها به حسابهای سازمانی جریان پیدا کنند.
پیچ و تاب شگفت انگیز در چه کسی مقصر است
Cyberhaven شیوع خطرات داخلی را بر اساس ترتیبات محل کار، از جمله از راه دور، در محل و ترکیبی تجزیه و تحلیل کرد. محققان دریافتند که موقعیت مکانی یک کارگر بر روی انتشار داده ها هنگام وقوع یک حادثه امنیتی تأثیر می گذارد.
“تحقیق ما پیچش شگفت انگیزی را در روایت کشف کرد. کارمندان در دفتر که به طور سنتی امنترین شرط در نظر گرفته میشدند، اکنون در استخراج دادههای شرکتی پیشرو هستند.»
به طور متضاد، کارکنان مستقر در دفتر 77 درصد بیشتر از همتایان از راه دور خود احتمال دارد داده های حساس را استخراج کنند. با این حال، به گفته Ting، زمانی که کارکنان اداری از خارج از سایت وارد می شوند، 510 درصد بیشتر از زمانی که در محل هستند، داده ها را استخراج می کنند، که این زمان را به خطرناک ترین زمان برای داده های شرکت تبدیل می کند.