在工作场所使用未经授权的人工智能正在将公司数据、系统和商业关系置于风险之中。以下是如何将员工对人工智能的好奇心转向可接受的使用方式——以及组织价值。
图源:ALEX FROM THE ROCK(图片上传者,可以译为用户ALEX FROM THE ROCK,或者ALEX FROM THE ROCK) / SHUTTERSTOCK
就像所有与技术相关的东西一样,shadow IT(影子IT,也称为Stealth IT、Client IT、Fake IT,是组织中的信息技术/IT系统是由组织内部建立并且使用,但没有正式的组织核可,而系统是由IT部门以外的部门订定规格并且布署。有些人认为影子IT是重要的创新来源,这些系统可做为是未来核可IT方案的原型。)也在发展。
影子IT不再只是一个处理一些员工特殊需求的SaaS(一般指软件运营服务。是指用户获取软件服务的一种新形式。它不需要用户将软件产品安装在自己的电脑或服务器上。)应用程序,或者销售团队偷偷带入的几部移动手机,以便在外出时访问工作文件,今天的影子IT更有可能涉及人工智能,因为员工在未经IT部门知情或批准的情况下尝试各种人工智能工具。
根据数据保护软件制造商Cyberhaven(是一家总部位于美国的数据分析服务商,允许公司检测并阻止对其最重要数据的最关键内部威胁,保护传统数据丢失防护/DLP、内部风险和数据安全态势管理/DSPM工具无法识别和保护的知识产权,例如源代码、产品设计和客户记录等数据。)的研究,shadow AI(影子人工智能,是指在没有IT部门明确知识或监督的情况下在组织内使用人工智能应用程序和工具。)的体量惊人。根据其春季2024 AI Adoption and Risk Report/2024年人工智能采用和风险报告,74%的工作场所ChatGPT(是人工智能技术驱动的自然语言处理工具,它能够通过理解和学习人类的语言来进行对话,还能根据聊天的上下文进行互动,真正像人类一样来聊天交流,甚至能完成撰写邮件、视频脚本、文案、翻译、代码,写论文等任务)使用是通过非公司账户,Google Gemini(是谷歌公司发布的人工智能大模型,能够在从数据中心到移动设备等不同平台上运行。包括一套三种不同规模的模型:Gemini Ultra是最大、功能最强大的类别,被定位为GPT-4的竞争对手;Gemini Pro是一款中端型号,能够击败GPT-3.5,可扩展多种任务;Gemini Nano用于特定任务和移动设备。“双子座”Ultra版本是首个在“MMLU/大规模多任务语言理解”领域超越人类专家的模型。2023年12月6日,Gemini 的初始版本已在Bard中提供,开发人员版本将于12月13日通过 Google Cloud的API提供。)的使用有94%是通过非公司账户,而Bard(是谷歌在一个大型语言模型基础上,推出的聊天机器人。其背后的力量是Google的对话应用语言模型,又名LaMDA。Bard是基于LaMDA的轻量级版本,使用更少的计算能力,使其能够扩展到更多的人,并提供额外的反馈。)的非公司账号使用率则高达96%。结果就是,未授权的人工智能正在吞噬您的公司数据,这都要感谢那些将法律文件、人力资源数据、源代码和其他敏感公司信息输入到未经IT部门批准使用的人工智能工具中的员工。
研究公司Gartner(高德纳,Gartner Group公司成立于1979年,它是第一家信息技术研究和分析的公司。它为有需要的技术用户来提供专门的服务。Gartner已经成为了一家独立的咨询公司,Gartner公司的服务主要是迎合中型公司的需要,它希望使自己的业务覆盖到IT行业的所有领域,从而让自己成为每一位用户的一站式信息技术服务公司。)的杰出副总裁分析师Arun Chandrasekaran(阿伦·钱德拉斯卡兰)表示,影子人工智能几乎是不可避免的。员工们对人工智能工具很好奇,认为它们是减轻繁忙工作、提高生产力的一种方式。其他人想要精通这些工具的使用,认为这是防止被技术取代的方法。还有一些人已经习惯了为个人任务使用人工智能,现在他们希望在工作中也能使用这项技术。
一、可能会出什么问题?
Chandrasekaran(钱德拉斯卡兰)承认,这些原因似乎是有道理的,但它们并不能证明人工智能给该组织带来的阴影风险是合理的。
他说:“大多数组织都希望避免使用影子人工智能,因为其风险是巨大的。”
例如,Chandrasekaran(钱德拉斯卡兰)说,敏感数据很有可能被暴露出来,专有数据可以帮助人工智能模型(尤其是开源模型)变得更智能,从而帮助可能使用相同模型的竞争对手。
与此同时,许多员工缺乏有效使用人工智能所需的技能,这进一步提高了风险水平。他们可能不够熟练,无法向人工智能模型提供正确的数据来生成高质量的输出;用正确的输入提示模型产生最优输出;并验证输出的准确性。例如,员工可以使用生成式人工智能来创建计算机代码,但如果他们不理解代码的语法或逻辑,他们就不能有效地检查代码中的问题。“这可能是相当有害的,”Chandrasekaran(钱德拉斯卡兰)说。
同时,他表示,影子人工智能可能会对劳动力造成干扰,因为秘密使用人工智能的员工可能比那些没有使用此类工具的员工拥有不公平的优势。Chandrasekaran(钱德拉斯卡兰)说:“现在这还不是一个主导趋势,但这是我们在(与组织领导人)讨论中听到的一个担忧。”
影子人工智能也可能引入法律问题。例如,未经批准的人工智能可能非法访问了他人的知识产权,让该组织对侵权行为负责。它可能会带来有偏见的结果,与反歧视法律和公司政策相冲突。或者,它可能会产生错误的输出,并将其传递给客户和客户。所有这些情况都可能给该组织带来责任,该组织将因此受到任何违规行为或损害。
事实上,当人工智能系统出现故障时,组织已经面临后果。举个例子:加拿大法庭于2024年2月裁定,加拿大航空公司应对其人工智能聊天机器人向消费者提供的错误信息负责。
在这种情况下,聊天机器人是经过授权的技术组件,IT领导人表示,这正好说明即使是官方技术也存在足够高的风险,为什么还要通过放任影子IT未经检查来增加更多风险呢?
二、防止灾难发生的10种方法
就像过去的影子IT一样,没有一个现成的解决方案可以阻止未经批准的人工智能技术的使用或其使用的可能后果。
然而,首席信息官可以采取各种策略来帮助消除未经批准的人工智能的使用,预防灾难,并在出现问题时限制暴雷半径。在这里,IT领导者分享了首席信息官可以做到这一点的10种方法。
1.为人工智能设置可接受的使用策略
Wells Fargo(美国富国银行,创立于1852年,总部设在旧金山,是美国唯一一家获得AAA评级的银行。创始人是HENRY WELLS和WILLIAM FARGO,全球市值最高银行。美国富国银行是一家提供全能服务的银行,业务范围包括社区银行、投资和保险、抵押贷款、专门借款、公司贷款、个人贷款和房地产贷款等。)隐私合规执行董事、非营利治理协会ISACA(国际信息系统审计协会,是全球公认的IT治理、网络安全、审计与鉴证、风险控制、数据隐私保护以及标准合规的领导组织,会员遍布逾180多个国家,总数超过150,000人。)新兴趋势工作组成员David Kuo(大卫·郭)表示,重要的第一步是与其他高管合作,制定一个可接受的使用政策,明确人工智能何时、何地以及如何使用,并重申该组织全面禁止使用未经IT批准的技术。这听起来很明显,但大多数组织还没有动作。2024年3月,ISACA对3270名数字信托专业人士进行的一项民意调查发现,只有15%的组织制定了人工智能政策(尽管70%的受访者表示他们的员工使用人工智能,60%的受访者表示员工使用生成式人工智能)。
2.建立对风险和后果的认识
Kuo(郭)承认第一步的局限性:“您可以制定一个可接受的使用政策,但人们会违反规则。”所以要警告他们可能发生的事情。
全球专业服务和解决方案公司Genpact(简柏特,简柏特全球集团是由美国通用电气/GE和另外两家美国投资公司共同出资成立的一家从事业务流程外包/BPO的专业集团公司,它在全球范围内为客户提供高质量的业务和技术服务,通过卓越的实践经验,协助全球客户增加收入,降低成本,提高企业综合竞争力。公司共有员工65,000余人,分布于美国,墨西哥、印度,中国、匈牙利、罗马尼亚的30多家分支机构。)的人工智能/机器学习服务全球负责人Sreekanth Menon(斯里坎斯·梅农)表示:“整个组织都必须提高对人工智能风险的认识,首席信息官需要更积极地解释风险,并在整个组织中传播对风险的认识。”概述与人工智能相关的总体风险,以及未经批准使用该技术所带来的更高风险。
Kuo(郭)补充道:“这不能是一次性的培训,也不能只是说‘不要这样做’。”您必须教育您的员工。告诉他们其在(影子人工智能)方面可能遇到的问题以及他们不良行为的后果。”
3.管理期望
领导力咨询公司Russell Reynolds Associates(罗盛咨询,是一家全球性人才搜寻与领导力咨询公司。该公司拥有超过520名顾问,分布在47个办事处,与各个行业的公共、私人和非营利组织合作。提供的服务包括董事会和高管咨询、多元化和包容性、高管人才搜寻、继任规划、家族企业咨询、领导力评估、企业文化咨询和数字化转型等。此外,该公司还与专业领导力测评工具霍根测评/Hogan Assessments合作,共同引入了领导力跨度模型,以提升高管选择、继任和培养决策的精度。)的全球人工智能实践负责人Fawad Bajwa(法瓦德·巴杰瓦)表示,尽管人工智能的应用率正在迅速上升,但研究表明,高管们对利用智能技术力量的信心已经下降。Bajwa(巴杰瓦)认为,这种下降的部分原因是对人工智能的期望与其实际交付能力之间的不匹配。
他建议首席信息官就人工智能在何处、何时、如何以及在多大程度上提供价值进行教育。
他说:“在整个组织中对您想要实现的目标保持一致,有助于您校准信心。”这反过来可能会阻止工人们自己寻找人工智能解决方案,希望找到解决所有问题的灵丹妙药。
4.审查,加强访问控制
数字化转型解决方案公司UST(前身为UST Global,是一家数字技术和转型、信息技术和服务提供商,总部位于美国加州亚里索维耶荷,致力于为全球大型私有和公有企业提供先进的计算和数字服务。UST在25个国家和地区设有35个办事处,其业务涉及银行和金融服务、医疗保健、保险、零售、技术、制造、航运和电信。)的首席战略官兼首席信息官Krishna Prasad(克里希纳·普拉萨德)表示,人工智能的最大风险之一是数据泄露。
当然,这种风险存在于计划中的人工智能部署中,但在这种情况下,首席信息官可以与业务、数据和安全同事合作来降低风险。但当工人在没有他们参与的情况下部署人工智能时,他们就没有同样的风险审查和缓解机会,从而增加了敏感数据暴露的机会。
为了防止这种情况发生,Prasad(普拉萨德)建议技术、数据和安全团队审查他们的数据访问策略和控制措施,以及他们的整体数据丢失预防计划和数据监控能力,以确保它们足够强大,可以通过未经批准的人工智能部署防止泄漏。
5.阻止访问人工智能工具
Kuo(郭)说,另一个可以帮助的步骤是:将人工智能工具列入黑名单,如OpenAI的ChatGPT,并使用防火墙规则阻止员工使用公司系统进行访问。制定防火墙规则,防止公司系统访问这些工具。
6.争取盟友参与
Kuo(郭)说,首席信息官不应该是唯一致力于防止影子人工智能的人。他们应该招募他们的高管同事——他们都与保护组织免受任何负面后果有利害关系——并让他们参与教育员工使用人工智能工具的风险,这些工具违反了官方的IT采购和人工智能使用政策。
“Better protection takes a village(要实现更好的保护,需要团队中每个人的共同努力和参与,类似“众人拾柴火焰高”或“团结就是力量”),”Kuo(郭)补充道。
7.创建一个IT AI路线图,以推动组织的优先事项和战略
员工通常会引入他们认为可以帮助他们更好地完成工作的技术,而不是因为他们试图伤害雇主。因此,首席信息官可以通过提供人工智能功能来减少对未经批准的人工智能的需求,这些功能最有助于员工实现为其角色设定的优先事项。
Bajwa(巴杰瓦)表示,首席信息官们应该将此视为一个机会,通过设计不仅与业务重点保持一致,而且实际制定战略的人工智能路线图,带领他们的组织走向未来的成功。“这是一个重新定义业务的时刻,”Bajwa(巴杰瓦)说。
8.不要成为“禁止部门”
执行顾问表示,首席信息官(及其高管同事)不能在采用人工智能方面拖拖拉拉,因为这会损害组织的竞争力,并增加影子人工智能的机会。然而,根据Genpact和HFS Research(是一家知名的全球研究机构,专注于提供对业务和IT服务行业的深入分析和研究。该机构以其独特的研究方法和对行业趋势的洞察而闻名,帮助客户在快速变化的市场中做出明智的决策。HFS Research 提供的服务包括市场调研、竞争分析、战略咨询等,覆盖了多个领域,如云计算、人工智能、自动化和数字化转型等。)研究,在某种程度上许多地方都在发生这种情况。他们2024年5月的报告显示,45%的组织对生成式人工智能采取了“观望”立场,23%的组织是对生成式人工智能持怀疑态度的“怀疑论者”。
Prasad(普拉萨德)说:“如今,限制人工智能的使用完全适得其反。”他表示,首席信息官必须启用企业已在使用的平台内提供的人工智能功能,培训员工使用和优化这些功能,并加快采用人工智能工具,以提供最佳ROI(投资回报率,是指通过投资而应返回的价值,即企业从一项投资活动中得到的经济回报。它涵盖了企业的获利目标。利润和投入经营所必备的财产相关,因为管理人员必须通过投资和现有财产获得利润。),让各级员工放心,IT部门致力于实现人工智能的未来。
9.提供工具和培训,让员工使用人工智能
ISACA3月份的调查发现,80%的人认为,许多工作岗位将会因为人工智能而被改变。EY Consulting(安永,成立于1989年,是一家总部位于英国伦敦的跨国性专业服务公司,全称是安永会计师事务所,为国际四大会计师事务所之一。)的全球数据和人工智能的领导者Beatriz Sanz sáiz(贝亚特丽兹·桑斯·赛斯)表示,如果是这样的话,就给员工提供使用人工智能的工具来进行修改,以改善他们的工作。
她建议首席信息官为整个组织(不仅仅是IT部门)的员工提供工具和培训,让他们创建或与IT部门共同创建一些自己的智能助理。她还建议首席信息官建立一个灵活的技术堆栈,以便他们能够快速支持和实现这些工作,并在员工需求出现时转向新的large language models(大型语言模型。是使用深度学习算法处理和理解自然语言的基础机器学习模型。这些模型在大量文本数据上进行训练,以学习语言中的模式和实体关系。LLM可以执行多种类型的语言任务,例如翻译语言、分析情绪、聊天机器人对话等。)和其他智能组件,从而使员工更有可能求助于IT(而非外部来源)来构建解决方案。
10.对新的、创新的用途保持开放态度
人工智能并不是什么新鲜事,但快速上升的应用率正在显示出更多的问题和潜力。想要帮助组织利用潜力(且远离所有问题)的首席信息官应该对使用人工智能的新方法持开放态度,这样员工就不需要独自行动。
Bajwa(巴杰瓦)提供了一个关于人工智能hallucinations(幻觉,指模型生成不基于实际数据或与现实显著不同的内容的现象。)的例子:是的,幻觉几近声名狼藉,但是Bajwa(巴杰瓦)指出,幻觉在营销等创意领域可能很有用。
他说:“幻觉可以产生我们以前从未想过的想法。”
首席信息官们对这些潜力持开放态度,然后制定正确的防护措施,例如关于需要何种程度的人力监督的规则,他们将更有可能邀请IT参与此类人工智能创新,而不是将其排除在外。这难道不是应用AI的目标吗?
作者:Mary K. Pratt(玛丽·K·普拉特)
Mary K. Pratt(玛丽·K·普拉特)是马萨诸塞州的一名自由撰稿人。
译者:宝蓝
【睿观:未经授权的人工智能正在吞噬您的公司数据
员工在未经IT部门批准的情况下使用各种人工智能工具,将公司数据、系统和商业关系置于风险之中。
这被称为“影子人工智能”。
影子人工智能的风险包括数据泄露、偏见结果和法律问题。
如何防止影子人工智能
制定可接受的使用策略
提高对风险和后果的认识
管理期望
审查并加强访问控制
阻止访问人工智能工具
争取盟友参与
创建一个IT AI路线图
不要成为“禁止部门”
提供工具和培训,让员工使用人工智能
对新的、创新的用途保持开放态度
结论
首席信息官可以采取各种策略来帮助消除未经批准的人工智能的使用,预防灾难,并在出现问题时限制暴雷半径。
目标是利用人工智能的潜力,同时避免所有风险。】
