具有讽刺意味的是，那些对AI（人工智能）了解最多的员工，往往是在工作中违反规则并采用未经授权的AI工具的人。因此，CIO（首席信息官）们正在重新思考治理、培训和工具配置，以在员工的实验探索与安全及监督之间取得平衡。

图源：Shutterstock

去年，一位在即时通讯应用公司工作的工程师在TeamBlind（面向经过验证的技术人员的匿名论坛）上发布了一个问题 ：是不是每家公司都限制使用ChatGPT、Claude和Gemini——还是只有他所在的公司这样？

当他所在的公司禁止使用这些工具时，提供了一个基于ChatGPT构建的内部替代工具，但这位工程师不喜欢，因为这让他的工作速度变慢了。“它有点没用，”他说。

TeamBlind上的这个帖子很快就收到了来自其他组织的技术人员的回复，他们和他一样感到沮丧，因为公司批准的AI工具受到了严格限制，或者删减了大量实用功能。

一周后，这位工程师回到论坛，带来了一个变通方案。他使用一个基于WebAssembly的LLM（大语言模型，Large - Language Model，一种能够生成自然语言文本的人工智能模型）引擎，成功地在浏览器内完全运行了一个编码模型，对话存储在本地，而且没有对外网络数据流量，雇主无法检测到。他在论坛上写道：“编码愉快。如需功能细节，请私信我。”

通常，那些最了解生成式AI能力的员工，也是最有可能无视、违反企业AI使用规范的人。工程师，以及可能与直觉相悖的是，其他接受过强制性AI培训的员工，往往不把官方的护栏视为严格的界限，而更多地将其视为为提升工作效率而试图突破的限制。LexisNexis最近的一份报告发现，接受过AI培训的员工中有74%使用未经授权的AI工具，而未接受培训的员工中这一比例仅为17%。

Nexis Solutions的产品副总裁Dani McCormick（达尼·麦考密克）表示：“问题在于员工的能力与企业级合规工具之间存在差距。那些对AI工具了解更多的人更有可能进行实验，并将其纳入他们的工作流程。”

培训似乎消除了员工最初对生成式AI可能感到的一些犹豫，而这种犹豫可能会成为采用的障碍。McCormick（麦考密克）补充说：“得出的结论不是培训带来了风险，而是它比许多组织准备好满足的速度更快地催生了大量使用需求。”

考虑到所有这些因素，CIO们需要在鼓励AI的采用和控制这些工具的使用方式之间把握好平衡尺度。这是一项艰巨的任务，需要重新思考。随着员工对生成式AI越来越适应，传统的方法，包括一刀切禁令，可能不再起作用，甚至可能适得其反。

P&G（宝洁公司，Procter & Gamble，全球知名消费品公司）的CIO Seth Cohen（塞思·科恩）表示，一种更有成效的方法是利用影子AI的潜在价值。使用受限的AI工具也可能表明员工看到了价值，并试图加快工作速度。“机会在于将这种学习融入一个适合公司且能够扩展的系统中，”他说。

但是，对于许多CIO来说，在鼓励实验探索的同时，还要保护敏感数据，并对日益碎片化的AI应用生态保持控制，弄清楚如何创建这样一个系统可能是一个挑战。

一、打造优质培训体系

组织在使用AI时面临的最大挑战之一是，其在整个业务中的应用可能极不均衡。虽然一些团队已经将AI深度融入他们的日常工作流程，但其他团队仍然犹豫不决或参与度不高。

McCormick（麦考密克）说：“这种不平衡往往是未经批准使用AI最明显的地方，也是缩小应用差距的最大机会所在。”

缩小这种差距的一种方法是通过实操式AI实训项目，这些项目既要涉及AI使用的技术层面，也要涵盖其伦理层面。这些项目应该教导员工如何将经授权的AI工具整合到他们的日常工作中，同时解释为什么使用这些经授权的平台很重要，从保护敏感数据、确保合规，到在整个组织中维护透明度和问责制等方面。

Seth Cohen（科恩）表示：“当员工能够在日常工作中应用培训内容时，实训是最有效的，无论是改进决策、加速创新还是加强执行。”

这些实训应该涵盖每一个人，而不仅仅是技术人员，因为生成式AI工具正变得越来越主流，几乎没有正式技术背景的员工也越来越多地自行尝试使用这些工具——许多CIO都注意到了这一趋势。

底特律市的CIO Art Thompson（阿特·汤普森）说：“我想说，大约30%未经培训的员工更好奇并在探索相关能力。”他补充说，真正的重点应该是让人们有能力负责任地使用技术。“如果不这样做，影子生态系统将会扩大，我们的可见性会比现在更低。”

一个强大的AI实训项目需要同时解决判断力、治理和信任问题，同时也要让员工更广泛地了解组织、其合作伙伴以及他们所使用的AI工具所处的更广泛的生态系统。员工需要了解他们的选择如何影响数据安全、客户信任、法规合规性以及业务关系。

Thompson（汤普森）发现，许多员工仍然不明白AI供应商是如何获取信息的，或者如何验证输出结果。他说：“制定规则是一个很好的开始，但人们需要理解相关指导，以便负责任地使用这些工具。让业务部门接受治理部分并融入IT文化，是帮助塑造这种理解的一个好方法。”

几位CIO认为，规则执行应该谨慎进行。AI治理、AI GRC（治理、风险与合规，Artificial - Intelligence Governance, Risk and Compliance，用于管理人工智能相关风险和确保合规的平台）平台LogicGate的CEO（首席执行官）兼联合创始人Matt Kunkel（马特·昆克尔）表示：“如果员工担心因尝试使用AI而受到纪律处分，他们不会停止使用，只是会隐藏起来。相反，组织应该创造一个环境，让员工在披露AI使用情况时感到自在，而不必担心遭到报复，并奖励那些标记出潜在AI风险的员工。”

二、满足员工的AI需求

设计更好的培训项目和更强有力的治理框架只是挑战的一半。组织还需要解决员工首先转向影子AI的根本原因，即寻找能够帮助他们更快工作并消除日常工作中的协作阻碍的工具。

在许多情况下，如果有人愿意自费采购AI工具，这可能意味着他们没有从组织的官方系统中得到所需的东西。

UKG公司的CIO Prakash Kota（普拉卡什·科塔）表示：“这既是一个风险问题，也是一个错失的机会。影子AI在员工准备做的事情和组织使他们能够做的事情之间的差距中滋生。”

据Kota（科塔）说，这应该被视为一个机会，以便更好地了解员工试图完成什么任务，以及官方工具在哪些方面存在不足。

IT服务提供商Blue Mantis的CIO Richard Amos（理查德·阿莫斯）认同这种方法。他说：“一般来说，我首先会试图了解经批准的工具是否难以使用、功能有限，或者提供速度缓慢。如果是这样，员工就会寻找替代品。人们自然会寻找更好地完成工作的方法。”

Amos（阿莫斯）补充说，在大多数情况下，使用未经授权的AI工具的员工并没有恶意。通常，影子AI并非源于反抗，而是源于好奇、沮丧或想要更快工作的愿望。“一旦理解了使用案例，这可能是一个在AI治理委员会进行审查并将其考虑列入需求待办队列的机会，”Amos（阿莫斯）补充道。

关注员工秘密使用的AI工具，还可以帮助CIO在这些工具引发更大的治理或安全问题之前发现新兴趋势。能够了解员工实验情况的组织，往往更有能力理解员工实际上认为哪些工具是有用的。

安全提供商Everon Solutions的CIO Ryan Fritts（瑞安·弗里茨）说：“你还会在新工具出现的那一刻就发现它们。”

三、加快步伐

一些组织在意识到员工正转向未经授权的替代品来填补现有系统的空白后，已经升级了他们的AI工具。但仅仅提供经批准的工具是不够的。这些平台还需要保持足够的灵活性和适应性，以便随着员工的需求以及人工智能创新的快速步伐而发展。Cohen（科恩）表示：“没有人会对在一个使用过时模型的平台上构建数字解决方案感到兴奋。”

一些组织甚至给予员工更大的灵活性，允许他们在几种最新的商用基础大模型中进行选择。其他组织则提供安全的AI环境，让员工可以安全地进行实验。

Cohen（科恩）说：“在一个框架内给予自由，并确保捕获积极的学习成果，以改进整体平台服务。”

潜在的挑战是在规则和自由之间找到正确的平衡，在保持监督的同时，给员工足够的空间将AI有效地融入他们的工作中。CIO们需要建立系统和文化，使团队能够学习，而不会使组织面临不必要的风险。

与其对新的AI应用程序进行无休止的被动排查，组织通过专注于他们的数据可能会收获更多。

Fritts（弗里茨）说：“真正起作用的工作是在数据方面，弄清楚哪些数据位于何处，并能够实时对其执行政策。正确处理数据安全态势，大多数对影子AI的恐慌就会自行平息。”