L’IA Ombra Minaccia la Sicurezza delle Imprese

Man mano che la tecnologia AI si evolve rapidamente, le organizzazioni si stanno confrontando con una nuova minaccia alla sicurezza: le app AI ombra. Queste applicazioni non autorizzate, sviluppate da dipendenti senza il controllo dell’IT o della sicurezza, si stanno diffondendo nelle aziende e spesso passano inosservate, come evidenziato in un recente articolo su VentureBeat.

VentureBeat spiega che, sebbene molte di queste app non siano intenzionalmente malevole, rappresentano rischi significativi per le reti aziendali, che vanno dalle violazioni dei dati alle violazioni della conformità.

Le app Shadow AI vengono spesso sviluppate da dipendenti che cercano di automatizzare compiti di routine o razionalizzare le operazioni, utilizzando modelli di AI addestrati sui dati proprietari dell’azienda.

Queste app, che si basano frequentemente su strumenti AI generativi come l’OpenAI’s ChatGPT o il Google Gemini, mancano di salvaguardie essenziali, rendendole altamente vulnerabili alle minacce alla sicurezza.

Secondo Itamar Golan, CEO di Prompt Security, “Circa il 40% di questi si addestra su qualsiasi dato tu gli fornisci, il che significa che la tua proprietà intellettuale può diventare parte dei loro modelli”, come riportato da VentureBeat.

L’attrattiva dell’IA ombra è evidente. I dipendenti, sotto crescente pressione per rispettare scadenze strette e gestire carichi di lavoro complessi, si stanno rivolgendo a questi strumenti per aumentare la produttività.

Vineet Arora, CTO di WinWire, fa notare a VentureBeats, “I dipartimenti si buttano su soluzioni AI non autorizzate perché i benefici immediati sono troppo allettanti per essere ignorati.” Tuttavia, i rischi introdotti da questi strumenti sono profondi.

Golan paragona l’AI in ombra agli steroidi nel mondo dello sport, dicendo, “È come il doping nel Tour de France. Le persone cercano un vantaggio senza rendersi conto delle conseguenze a lungo termine,” come riportato da VentureBeats.

Nonostante i loro vantaggi, le applicazioni shadow AI espongono le organizzazioni a una serie di vulnerabilità, tra cui perdite di dati accidentali e attacchi di iniezione immediata che le tradizionali misure di sicurezza non riescono a rilevare.

L’entità del problema è sconcertante. Golan rivela a VentureBeats che la sua azienda cataloga quotidianamente 50 nuove app di AI, con oltre 12.000 attualmente in uso. “Non puoi fermare uno tsunami, ma puoi costruire una barca,” consiglia Golan, sottolineando il fatto che molte organizzazioni vengono colte alla sprovvista dall’ampiezza dell’utilizzo dell’AI shadow all’interno delle loro reti.

Ad esempio, una società finanziaria ha scoperto 65 strumenti AI non autorizzati durante un audit di 10 giorni, ben più degli meno di 10 strumenti che il loro team di sicurezza si aspettava, come riportato da VentureBeats.

I pericoli dell’AI ombra sono particolarmente acuti per i settori regolamentati. Una volta che i dati proprietari vengono inseriti in un modello di AI pubblico, diventa difficile da controllare, portando a potenziali problemi di conformità.

Golan avverte: “La prossima Legge UE sull’IA potrebbe superare persino il GDPR in termini di multe”, mentre Arora sottolinea la minaccia della fuga di dati e le sanzioni che le organizzazioni potrebbero affrontare per non aver protetto le informazioni sensibili, come riportato da VentureBeats.

Per affrontare il crescente problema dell’IA in ombra, gli esperti raccomandano un approccio multifaccettato. Arora suggerisce che le organizzazioni creino strutture di governance centralizzate per l’IA, conducano audit regolari e implementino controlli di sicurezza sensibili all’IA in grado di rilevare exploit guidati dall’IA.

Inoltre, le aziende dovrebbero fornire ai dipendenti strumenti AI pre-approvati e chiare politiche di utilizzo per ridurre la tentazione di utilizzare soluzioni non approvate.