Shadow AI, tajni razvoj i upotreba generativne vještačke inteligencije od strane zaposlenih bez odobrenja IT odjeljenja, predstavlja značajan sigurnosni rizik za kompanije. Ova pojava, koja sve više uzima maha, može dovesti do curenja osjetljivih podataka, kršenja propisa o zaštiti podataka i nepredviđenih troškova.
Zaposleni se često okreću Shadow AI alatima kako bi poboljšali svoju produktivnost i automatizovali zadatke, ne razmišljajući o potencijalnim opasnostima. Neupućenost u sigurnosne politike kompanije ili želja za brzim rješenjima mogu ih navesti da koriste alate koji nisu prošli potrebne provjere.
Jedan od glavnih problema je taj što ovi alati često zahtijevaju unos povjerljivih informacija kompanije, kao što su poslovne strategije, financijski podaci ili lični podaci klijenata. Kada se ti podaci unesu u spoljne AI modele, postoji rizik da postanu dio obuke tih modela, čime se otvara mogućnost njihovog daljeg korištenja ili čak curenja.
Osim rizika od curenja podataka, Shadow AI može ugroziti i usklađenost kompanije sa zakonskim i regulatornim zahtjevima, poput Opšte uredbe o zaštiti podataka (GDPR) u Evropskoj uniji. Neovlašteno korištenje AI alata može dovesti do kazni i pravnih posljedica.
Da bi se suočile sa ovim izazovima, kompanije bi trebale uspostaviti jasne politike o korištenju generativne vještačke inteligencije. Ove politike bi trebale definisati koje alate je dozvoljeno koristiti, kako se povjerljivi podaci smiju obrađivati i koje sigurnosne mjere moraju biti na snazi. Edukacija zaposlenih o rizicima povezanim sa Shadow AI i promocija odgovornog korištenja AI alata ključna je za smanjenje potencijalnih šteta.
Pored toga, IT odjeljenja bi trebala aktivno pratiti i identificirati korištenje neovlaštenih AI alata unutar kompanije. Implementacija alata za nadzor i upravljanje softverom može pomoći u otkrivanju i sprečavanju razvoja Shadow AI.
Balansiranje inovacija i sigurnosti je ključno. Kompanije trebaju podržati sigurno i odgovorno korištenje AI alata, pružajući zaposlenima odobrene i provjerene resurse. Na taj način se može iskoristiti potencijal generativne vještačke inteligencije, istovremeno štiteći osjetljive podatke i ugled kompanije. Umjesto zabrane, fokus bi trebao biti na uspostavljanju sigurnih okvira i edukaciji kako bi se rizici minimizirali, a prednosti maksimalno iskoristile.
Sigurnosna firma SlowMist izdala je nedavno upozorenje o rastućoj pojavi prevara koje uključuju lažne QR kodove, posebno u kripto zajednicama. Prevaranti sve češće pribjegavaju postavljanju naljepnica s manipuliranim QR kodovima preko originalnih na javnim površinama i lokacijama gdje se okupljaju kripto entuzijasti. Cilj ovih akcija je navesti korisnike da skeniraju kompromitovani kod umjesto legitimnog, što im omogućava krađu kriptovaluta ili ličnih podataka.
Ova vrsta napada je posebno opasna jer se oslanja na trenutnu popularnost i upotrebu QR kodova za brz i jednostavan pristup web stranicama, aplikacijama ili novčanicima. Prevaranti pametno ciljaju mjesta gdje su ljudi u žurbi ili manje oprezni, kao što su izložbe, konferencije ili javni punktovi za prijenos informacija. Jednostavnom naljepnicom iznad originalnog koda, oni preusmjeravaju potencijalne žrtve na lažnu stranicu koja izgleda identično pravoj. Tu se žrtve obično mole da unesu svoje privatne ključeve, lozinke ili druge osjetljive podatke pod izgovorom hitne verifikacije računa, ažuriranja sigurnosti ili promocije. Učinkovitost ovakvih prevara leži u njihovoj jednostavnosti i mogućnosti da se brzo implementiraju na više lokacija istovremeno, te u tome što se oslanjaju na ljudsku želju za praktičnošću i povjerenjem u vizualne oznake.