文:LC、鄒家彥
自從 ChatGPT 出現之後,百工各業都在使用 AI 協助工作,尤其當企業 IT 部門無法即時提供合適解方時,員工往往選擇「自帶工具」上陣,私下導入各種 AI 應用協助工作。這種未經授權、管理層毫不知情的現象,被稱為「影子 AI」(Shadow AI)。
根據德國軟體公司 Software AG 的調查,約有 50% 的知識工作者正使用個人 AI 工具。雖然這股趨勢顯著提升了生產力,但也帶來資訊外洩、資安漏洞等風險。
影子 AI 雖然帶給工作者便利,但也隱藏重大風險
影子 AI 的使用並非偶發現象,而是反映員工實際需求與企業工具供給的落差。軟體工程師 John 表示,儘管公司提供 GitHub Copilot,他仍偏好使用 Cursor,因為效率更高,開發流程更流暢。
Software AG 的調查進一步顯示,46% 的知識工作者甚至表示,即使公司完全禁止,他們也不願放棄個人 AI 工具。這讓企業更難透過強硬政策完全杜絕影子 AI 的存在。
現代 AI 工具通過吸收大量資料來訓練,而 Harmonic Security 的數據顯示,約 30% 的 AI 會使用用戶輸入的資料進行訓練。等於企業的敏感資料可能會被員工暴露在企業無法控制的外部服務中,甚至可能因資料外洩或被其他用戶獲取而暴露商業機密。
軟體公司 The Adaptavist Group 的 CEO Simon Haighton-Williams 則建議,企業應耐心了解員工使用影子 AI 的原因,並尋求將其納入管理而非直接禁止。他認為,企業若不跟上 AI 的發展,可能會落後於競爭對手。
面對影子 AI,企業可採取的實用控管策略
不過,影子 AI 的興起雖然反映了 AI 工具在提升生產力方面的巨大潛力,但同時也暴露了企業在資訊安全和工具管理上的挑戰。
目前一些企業已開始採取相關措施,例如,美國一家從事測繪技術開發和應用的科技公司Trimble 自己就開發了內部 AI 工具 Trimble Assistant,基於與 ChatGPT 相似的模型,供員工使用。Trimble 鼓勵員工探索個人 AI 工具,但也強調專業環境需要更高的資料安全意識。
除了自己開發工具,企業還可採取其他務實作法,包括選用具備資安保證、明確承諾不將輸入資料用於訓練的商用 AI 工具,並導入企業級帳號與授權管理;建立「AI 工具白名單」與清楚的使用準則;強化員工資安教育與 AI 使用倫理;甚至尋求可信賴的外部顧問協助,導入整合型 AI 解決方案。這些措施將有助於企業在風險可控的前提下,有效擁抱 AI 帶來的生產力。
從長期來看,影子 AI 問題必定會成為企業 AI 策略的一部分。企業應主動監控影子 AI 的使用,建立明確的政策,確保工具的安全性與合規性,同時利用員工的創新力轉化為競爭優勢。
立即報名 5/13 「台灣 AI 策略發展高峰會」,台灣大型製造業與金融業將親自分享 AI 轉型升級實戰經驗!
【推薦閱讀】
◆ 美 103 家銀行監管機構 15 萬封機敏 email 遭駭!原因竟是一個帳號沒開 MFA
◆ 【企業瀏覽器能做什麼】Island 升級瀏覽器角色,從逛網頁到守護公司機密
◆ 【網路安全不是 IT 的事】企業資安常見 5 大錯誤,台灣可從哪 3 點補強?
*本文開放合作夥伴轉載,參考資料:《BBC》、《softwareag》,首圖來源:Unsplash
