ในยุคที่เครื่องมือ AI เข้าถึงได้ง่ายขึ้น พนักงานหลายคนเริ่มนำมาใช้โดยไม่ผ่านการอนุมัติจากทีม IT และความปลอดภัย แม้เครื่องมือเหล่านี้จะช่วยเพิ่มประสิทธิภาพการทำงาน แต่ก็มักทำงานนอกสายตาของทีมรักษาความปลอดภัย สร้างช่องโหว่ใหม่ที่เรียกว่า Shadow AI ซึ่งต่างจาก Shadow IT ตรงที่เกี่ยวข้องกับระบบที่ประมวลผล สร้าง และอาจเก็บข้อมูลสำคัญไว้ ทำให้เกิดความเสี่ยงด้านการรั่วไหลของข้อมูล การขยายพื้นที่โจมตี และความอ่อนแอในการรักษาความปลอดภัยตัวตน

Shadow AI แพร่กระจายอย่างรวดเร็วเพราะใช้งานง่ายและได้ผลทันที โดยไม่มีการควบคุมที่ชัดเจน จากการสำรวจของ Salesforce ในปี 2024 พบว่า 55% ของพนักงานใช้เครื่องมือ AI ที่องค์กรไม่ได้อนุมัติ พนักงานอาจใช้เครื่องมือเช่น ChatGPT หรือ Claude ในงานประจำ ซึ่งอาจนำไปสู่การแบ่งปันข้อมูลสำคัญโดยขาดการตรวจสอบ ในระดับแผนก การผสานรวม AI API หรือโมเดลจากภายนอกโดยไม่ผ่านการทบทวนความปลอดภัย อาจเปิดเผยข้อมูลภายในและสร้างช่องโจมตีใหม่ องค์กรจึงต้องจัดการความเสี่ยงนี้อย่างจริงจังแทนที่จะพยายามกำจัดให้หมดไป

ที่มา: The Hacker News

คำศัพท์เทคนิคที่น่าสนใจ

• Shadow AI – การใช้เครื่องมือ AI โดยไม่ผ่านการอนุมัติจากทีม IT และความปลอดภัยขององค์กร
• Shadow IT – การใช้ซอฟต์แวร์หรือบริการ IT โดยไม่ได้รับอนุญาตจากองค์กร
• API – อินเทอร์เฟซที่ช่วยให้แอปพลิเคชันสื่อสารกันได้
• Data leak – การรั่วไหลของข้อมูลสำคัญออกนอกองค์กร
• Attack surface – พื้นที่ที่อาจถูกโจมตีในระบบขององค์กร