OpenAI’nin ChatGPT aracının 2023’te büyük başarı elde etmesinin ardından yapay zekâ kullanıcılarının yüzde 78’i artık kendi araçlarını iş yerine getiriyor. Microsoft bu durumun kurumsal yapılarda güvenlik risklerini beraberinde getirdiğini tahmin ediyor. ESET, gölge yapay zekâyı mercek altına aldı.
Gölge yapay zekâ, kurumsal denetim olmaksızın kullanılan yetkisiz yapay zekâ araçlarını ve teknolojilerini ifade ediyor. ChatGPT, Gemini veya Claude gibi popüler sohbet robotları, cep telefonlarına veya evden çalışma dizüstü bilgisayarlarına kolayca indirilip kullanılabiliyor. Bu robotlar bazı çalışanlara iş yükünü azaltma ve teslim tarihlerini kolaylaştırma gibi cazip olasılıklar sunuyor.
ChatGPT gibi bağımsız uygulamalar gölge yapay zekâ sorunlarının büyük bir kısmını oluşturuyor. Ancak bu uygulamalar sorunun tüm boyutunu temsil etmiyor. Bu teknoloji tarayıcı uzantıları aracılığıyla da işletmelere sızabilir. Hatta kullanıcıların BT departmanının bilgisi olmadan etkinleştirdiği meşru iş yazılımı ürünlerinde de bulunabilir.
Gölge yapay zekâ, kuruluşlar için büyük potansiyel güvenlik ve uyumluluk riskleri oluşturuyor. Her komutta çalışanların hassas veya düzenlemeye tabi verileri paylaşma riski vardır. Bu veriler toplantı notları, fikri mülkiyet, kod veya müşteri ya da çalışanların kişisel olarak tanımlanabilir bilgileri olabilir. Girilen her şey modeli eğitmek için kullanılır, üçüncü taraf sunucularda saklanır.
Chatbot geliştiricisinin çalışanları bu hassas bilgileri görebilir. Veriler sağlayıcılar tarafından sızdırılabilir veya ihlal edilebilir. Sohbet robotları kuruluşu farkında olmadan hedefli tehditlere maruz bırakan yazılım güvenlik açıkları veya arka kapılar içerebilir. Kodlama araçlarının izinsiz kullanımı çıktının uygun şekilde incelenmemesi durumunda müşteriye sunulan ürünlere istismar edilebilir hatalar getirebilir.
Risklerle başa çıkmak için bulunan her yeni gölge yapay zekâ aracını reddetme listesine eklemek yeterli olmayacaktır. Bu teknolojilerin kullanıldığını kabul etmek, ne kadar yaygın ve hangi amaçlarla kullanıldığını anlamak gerekir. Gerçekçi bir kabul edilebilir kullanım politikası oluşturulmalıdır.
Belirli araçların yasaklandığı durumlarda kullanıcıları bu araçlara geçmeye ikna edebilecek alternatifler bulunmalıdır. Çalışanlara eğitim verilerek gölge yapay zekâ kullanarak alınabilecek riskler anlatılmalıdır. Veri sızıntısı risklerini azaltmak ve yapay zekâ kullanımına ilişkin görünürlüğü artırmak için ağ izleme ve güvenlik araçları değerlendirilmelidir.
