A cégek többsége ma már próbál valamilyen szabályrendszert húzni a mesterséges intelligencia munkahelyi használata köré, de egy friss kutatás szerint a legnagyobb kockázat nem feltétlenül ott van, ahol sokan keresik. A TrustedTech felmérése alapján a felső vezetők sokkal gyakrabban nyúlnak jóvá nem hagyott AI-eszközökhöz, mint a döntéshozói pozícióban nem lévő alkalmazottak, vagyis a shadow AI problémája nem alulról, hanem nagyon is felülről hajthatja szét a vállalati szabályokat. A shadow AI olyan mesterséges intelligenciás szolgáltatások használatát jelenti, amelyeket a cég nem engedélyezett vagy nem felügyel. Ez lehet egy nyilvános chatbot, egy ismeretlen dokumentumelemző, egy külső képgenerátor, egy automatizált meetingjegyzetelő vagy bármilyen olyan AI-eszköz, amelybe a dolgozó vállalati adatot másol be anélkül, hogy az IT, a jogi vagy a biztonsági csapat tudna róla. A kockázat önmagában is egyértelmű: ami egyszer kikerül egy külső szolgáltatásba, annál már sokkal nehezebb ellenőrizni, hol tárolják, ki férhet hozzá, mire használják fel, és megfelel-e a vállalat adatvédelmi, iparági vagy szerződéses kötelezettségeinek.
A TrustedTech globális és amerikai adatai szerint a döntéshozói szinten dolgozók több mint kétszer akkora arányban használnak jóvá nem hagyott AI-eszközöket, mint a nem döntéshozói alkalmazottak. A cég közlése szerint a globális döntéshozók 65 százaléka, az amerikai döntéshozók 67 százaléka nyúlt már ilyen eszközökhöz, miközben az összes megkérdezett dolgozó körében is közel minden második ember használ engedély nélküli AI-t a munkájához. Közben a válaszadók 77 százaléka elismeri, hogy az ilyen megoldások adatvédelmi vagy biztonsági kockázatot jelentenek.
A brit adatok még élesebben mutatják a kettősséget. A SecurityBrief UK összefoglalója szerint a brit felső vezetők 62 százaléka használ shadow AI-eszközöket, szemben a döntéshozói szinten nem lévő dolgozók 31 százalékával. Ugyanez a kutatás azt is kimutatta, hogy a vezetők 51 százaléka közben aggódik amiatt, hogy az alkalmazottak jóvá nem hagyott AI-t használnak. Vagyis ugyanaz a réteg, amelyik a leginkább félti a céges adatokat mások AI-használatától, maga is az egyik legaktívabb szabálykikerülő.
Ez nem csak képmutatási kérdés, hanem komoly biztonsági probléma. Egy felső vezető gyakran pénzügyi adatokhoz, HR-anyagokhoz, ügyféladatokhoz, jogi dokumentumokhoz, stratégiákhoz, felvásárlási tervekhez vagy belső döntés-előkészítő anyagokhoz fér hozzá. Ha ő másol be érzékeny tartalmakat egy nem engedélyezett AI-eszközbe, annak jóval nagyobb lehet a kára, mint amikor egy beosztott egy kevésbé érzékeny prezentációt próbál gyorsabban megírni. A shadow AI tehát nem attól veszélyes igazán, hogy létezik, hanem attól, hogy sokszor pont azok használják kontroll nélkül, akik a legértékesebb adatokhoz férnek hozzá. A kutatás szerint ráadásul ez a viselkedés gyakran nem véletlen. A brit válaszadók 22 százaléka azt mondta, akkor is folytatná az AI-eszközök használatát, ha a munkaadója tiltaná, és ezért fegyelmi következmény is járhatna, a vezetők körében pedig ez az arány 28 százalékra nő. Julian Hamood, a TrustedTech alapítója és chief visionary officere szerint a vállalatok sokszor úgy kezelik a shadow AI-t, mintha alulról érkező, alkalmazotti fegyelmezetlenség lenne, miközben a kutatás pont azt mutatja, hogy a jelenséget a vezetői szint gyorsítja fel.
A helyzetet az is bonyolítja, hogy a dolgozók nem pusztán felelőtlenségből választanak külső eszközöket. A kutatás szerint sokan azért kerülnek meg hivatalos megoldásokat, mert a céges AI-eszközök túl korlátozottak, lassan jutnak el hozzájuk, vagy egyszerűen kevésbé hatékonyak, mint azok a szolgáltatások, amelyeket maguktól találtak. A brit adatok szerint a nem jóváhagyott AI-t használók 24 százaléka az engedélyezett eszközök korlátozott hozzáférését említette okként, 21 százalék pedig azt, hogy a nem hivatalos megoldások hatékonyabbak.
A vállalatoknak ezért nem elég annyit mondaniuk, hogy tilos a ChatGPT, tilos a külső chatbot, tilos minden, amit az IT nem lát. A tiltás önmagában általában csak annyit ér el, hogy a használat még láthatatlanabb lesz. Ha a vezetők és az alkalmazottak is időt takarítanak meg az AI-val, akkor a cégeknek működő alternatívát kell adniuk: jóváhagyott eszközöket, világos adatkezelési szabályokat, érthető képzést és olyan belső folyamatokat, amelyek nem büntetik automatikusan azt, ha valaki hatékonyabban akar dolgozni. A TrustedTech adatai szerint az AI-használat már nem kísérleti mellékszál, hanem a napi munka része. A válaszadók jelentős része szerint a mesterséges intelligencia javítja a csapat teljesítményét, sokan heti több órát takarítanak meg vele, és egyre többen tekintenek rá alapvető munkaeszközként. A gond ott kezdődik, amikor a céges szabályok, az engedélyezett eszközök és a tényleges munkatempó között akkora szakadék nyílik, hogy a dolgozók és a vezetők is inkább a gyorsabb, de kockázatosabb utat választják.
A legfontosabb tanulság így nem az, hogy a cégeknek meg kell állítaniuk az AI-t. A tanulság az, hogy a mesterséges intelligencia használata már megtörtént, csak sok helyen még nem került vállalati kontroll alá. Ha pedig a szabályokat épp azok kerülik meg a leglátványosabban, akiknek példát kellene mutatniuk, akkor az AI-biztonság nem technológiai, hanem vezetői problémává válik.
