Sjena umjetne inteligencije (Shadow AI) je neovlaštena upotreba AI alata od strane zaposlenika bez znanja ili odobrenja IT ili sigurnosnog tima. Kada zaposlenici zalijepe osjetljive podatke u ChatGPT, pošalju vlasnički kod asistentu za AI kodiranje ili koriste AI alate temeljene na pregledniku na osobnim računima, ta aktivnost je nevidljiva većini sigurnosnih kontrola poduzeća. Rezultat je curenje podataka, rizik od usklađenosti i rastuća slijepa točka koju tradicionalni mrežni i krajnji alati nisu dizajnirani da zatvore.

Zašto je teško otkriti umjetnu inteligenciju u sjeni?

Umjetna inteligencija u sjeni sve je veći sigurnosni problem u današnjem radnom okruženju usmjerenom na preglednike jer koristi iste alate koje zaposlenici svakodnevno koriste - web preglednike - kako bi zaobišla sigurnosne kontrole poduzeća. Budući da većina alata umjetne inteligencije u potpunosti radi unutar preglednika, korisnici mogu prenositi osjetljive podatke, lijepiti povjerljivi sadržaj ili dijeliti interni kod s modelima trećih strana - često bez otkrivanja ili odobrenja. To uvodi velike sigurnosne rizike umjetne inteligencije - uključujući curenje podataka, kršenja usklađenosti i neprovjereno ponašanje modela. Budući da se korištenje umjetne inteligencije u sjeni događa izvan odobrenih sustava, teško ju je pratiti, kontrolirati ili osigurati, što kontrole temeljene na pregledniku čini ključnima za upravljanje ovom rastućom prijetnjom. 

Koji su ključni rizici Shadow AI-a za poduzeća?

U današnjim poduzećima koja su prvenstveno digitalna, preglednik je postao primarno radno mjesto. S porastom prihvaćanja generativne umjetne inteligencije, preglednik je sada i odskočna daska za neovlaštenu upotrebu umjetne inteligencije - uvodeći novu kategoriju prijetnji: Shadow AI temeljen na pregledniku. To su alati umjetne inteligencije kojima se pristupa izravno putem kartica preglednika bez IT vidljivosti, kontrole ili upravljanja. Iako takvi alati nude stvarne prednosti produktivnosti, oni predstavljaju ozbiljne izazove za sigurnost i usklađenost koje organizacije ne mogu ignorirati. 

1. Izloženost osjetljivih podataka

Jedan od najkritičnijih rizika Shadow AI-a je nenamjerno curenje osjetljivih podataka. Zaposlenici često lijepe vlasničke informacije, podatke o kupcima ili povjerljive dokumente u alate umjetne inteligencije temeljene na pregledniku poput ChatGPT-a kako bi generirali odgovore, sažetke ili kod. Međutim, mnogi od ovih alata, kada im se pristupa putem korisničkih računa, pohranjuju te podatke na poslužiteljima trećih strana ili se obučavaju na poslanim unosima, stvarajući dugoročni rizik ponovnog pojavljivanja povjerljivih podataka u budućim upitima jer postaju dio baze znanja modela i mogu procuriti neovlaštenim stranama, konkurentima ili čak javnosti. 

Prema izvješću o sigurnosti LayerX Enterprise GenAI za 2025. godinu, Gotovo 90% prijava na AI SaaS aplikacije obavlja se s osobnim računima ili korporativnim računima koji nisu podržani SSO-om.

2. Kršenje propisa i usklađenosti

Organizacije regulirane GDPR-om, HIPAA-om, PCI-DSS-om ili propisima specifičnim za industriju suočavaju se s povećanim rizicima kada zaposlenici komuniciraju s alatima umjetne inteligencije izvan odobrenih sustava. Ove radnje mogu nenamjerno rezultirati pohranjivanjem ili prijenosom osobnih podataka ili zaštićenih zdravstvenih podataka preko granica ili u okruženja koja nisu u skladu s propisima. Takvi problemi s usklađenošću s umjetnom inteligencijom mogu izazvati regulatorni nadzor, novčane kazne i štetu ugledu. Čak i dobronamjerna upotreba alata umjetne inteligencije u sjeni za poslovne zadatke može kršiti politike o prebivalištu ili zadržavanju podataka ako se ne regulira.

3. Rizici ponašanja i odluka neprovjerenog modela

Generativni AI modeli, posebno LLM-ovi (Large Language Models), su po svojoj prirodi probabilistički. Mogu generirati netočne, obmanjujuće ili pristrane izlaze - rizik koji se umnožava kada se poslovne odluke donose na temelju neprovjerenih AI odgovora. Alate shadow AI često ne testiraju ili ne validiraju interni timovi, pa organizacije nemaju uvid u kvalitetu izlaza, ograničenja ili strategije ublažavanja rizika. 

4. Izloženost trećim stranama i lancu opskrbe

Kada zaposlenici koriste AI alate ugrađene u proširenja preglednika, besplatne SaaS platforme ili neprovjerene API-je, oni proširuju digitalni lanac opskrbe organizacije - često nesvjesno. Ti pružatelji usluga trećih strana mogu imati vlastite sigurnosne propuste, nejasne politike zadržavanja podataka ili čak jurisdikcijske rizike ako se nalaze u zemljama s različitim zakonima o zaštiti podataka. To stvara široku površinu napada i povećava rizik od izlaganja podataka putem neizravnih vektora.

5. Gubitak odgovornosti i mogućnosti revizije

Mnoge alate umjetne inteligencije temeljene na pregledniku razvijaju treći dobavljači ili se hostiraju na infrastrukturi u nepoznatim jurisdikcijama. Ti pružatelji usluga trećih strana mogu imati vlastite sigurnosne propuste, nejasne politike zadržavanja podataka ili čak jurisdikcijske rizike ako se hostiraju u zemljama s različitim zakonima o zaštiti podataka. Kada zaposlenici koriste ove alate bez IT provjere, nesvjesno proširuju digitalni lanac opskrbe organizacije, povećavaju površinu napada i povećavaju rizik od izloženosti podataka putem neizravnih vektora.

Kako organizacije otkrivaju i kontroliraju umjetnu inteligenciju u sjeni?

Kako bi učinkovito spriječile rizike u sjeni umjetne inteligencije, a istovremeno omogućile sigurno i odgovorno usvajanje umjetne inteligencije, organizacije bi trebale slijediti ove ključne korake:

  • Definirajte jasne politike upravljanja umjetnom inteligencijom

Definirajte i dokumentirajte jasne okvire upravljanja umjetnom inteligencijom koji specificiraju koji su alati odobreni, za koje svrhe i pod kojim uvjetima. Dosljedno provodite ova pravila u svim odjelima, povezujući korištenje s identitetom i ulogom. Važno je kontinuirano procjenjivati i ažurirati svoj stav o riziku umjetne inteligencije. Kako se pojavljuju novi alati i slučajevi upotrebe, vaš okvir upravljanja mora se razvijati kako biste ostali ispred potencijalnih prijetnji.

  • Implementirajte rješenja za sigurnost preglednika

Tradicionalni alati za krajnje točke i mreže često propuštaju prijetnje na razini preglednika. Implementirajte moderne platforme za sigurnost preglednika - poput LayerX-a - koje pružaju uvid u korištenje AI alata u stvarnom vremenu, ograničavaju pristup neovlaštenim AI platformama, blokiraju rizične radnje (npr. kopiranje osjetljivih podataka u upite) i provode kontekstno svjesne politike.

  • Ograničite rizična AI proširenja

Provedite pravila za kontrolu koja se AI proširenja preglednika mogu instalirati. Koristite postupke ocjenjivanja rizika ili provjere proširenja kako biste osigurali da se koriste samo odobrena i sigurna AI proširenja radi sprječavanja neovlaštenog pristupa i curenja podataka.

  • Praćenje toka podataka pomoću DLP-a

Integrirajte rješenja za sprječavanje gubitka podataka (DLP) kako biste pratili i ograničili kretanje osjetljivih podataka na AI platforme. To osigurava da se regulirane ili vlasničke informacije nenamjerno ne dijele s modelima trećih strana.

  • Educirajte i obučite zaposlenike

Podignite svijest među zaposlenicima o rizicima neovlaštene upotrebe umjetne inteligencije, uključujući izloženost podataka i kršenje usklađenosti. Navedite primjere interakcija umjetne inteligencije koje su u skladu s propisima i onih koje nisu u skladu s propisima te podijelite najbolje prakse za sigurnu i odobrenu upotrebu umjetne inteligencije.

Kakav je utjecaj umjetne inteligencije u sjeni na poduzeća u stvarnom svijetu?

Rastuća upotreba generativnih alata umjetne inteligencije na radnom mjestu donosi jasne prednosti produktivnosti - ali kada se ovo usvajanje dogodi bez IT vidljivosti ili provedbe politika, to dovodi do neupravljane umjetne inteligencije u sjeni. Posljedice nesankcionirane upotrebe umjetne inteligencije u stvarnom svijetu mogu se proširiti na cijelo poduzeće, uvodeći značajne sigurnosne, pravne, operativne i reputacijske rizike. U nastavku su navedene najkritičnije organizacijske implikacije nesankcionirane upotrebe umjetne inteligencije.

  • Pravna izloženost

Za poduzeća koja posluju u okviru okvira poput GDPR-a, HIPAA-e ili CCPA-e, nesankcionirana upotreba umjetne inteligencije predstavlja velike rizike za usklađenost. Kada osjetljive podatke obrađuju platforme umjetne inteligencije koje nisu provjerene ili dokumentirane, organizacije gube uvid u to kako, gdje i tko rukuje podacima - što krši načela zaštite podataka i pokreće kazne, revizije i potencijalne tužbe.

  • Reputacijski rizik

Jedan od najozbiljnijih utjecaja Shadow AI-a je šteta po ugled. Kada zaposlenici dijele osjetljive podatke s neodobrenim AI alatima, oni mogu procuriti, biti zloupotrijebljeni ili apsorbirani u javne skupove podataka za obuku - što krši povjerenje i šteti brendu. Kupci i dionici očekuju sigurne prakse podataka, a Shadow AI potkopava to očekivanje.

  • Loše donošenje odluka na temelju neprovjerenih rezultata

Generativni alati umjetne inteligencije mogu dati uvjerljive, ali netočne ili pristrane odgovore. Kada se zaposlenici oslanjaju na neprovjereni sadržaj generiran umjetnom inteligencijom za donošenje odluka - bez provjera - riskiraju da naprave kritične poslovne pogreške. To je posebno opasno u reguliranim domenama ili domenama okrenutim prema kupcima, gdje jedna pogreška može uzrokovati reputacijsku ili pravnu štetu.

  • Fragmentacija tijeka rada i širenje alata

Neupravljana umjetna inteligencija u sjeni dovodi do širenja alata. Različiti timovi mogu koristiti različite alate umjetne inteligencije za slične zadatke, stvarajući nedosljednost, dupliciranje i neučinkovitost. Bez centraliziranog upravljanja, poduzeća gube kontrolu nad svojim tehnološkim paketom i teško im je uskladiti standarde, rezultate ili sigurnosne politike.

  • Erozija upravljanja i povjerenja

Što dulje Shadow AI ostaje neupravljan, to je teže ponovno uspostaviti upravljanje. Zaposlenici se navikavaju zaobilaziti IT procese, slabeći usklađenost s politikama u svim područjima. To narušava povjerenje među timovima i potkopava kredibilitet formalnih okvira sigurnosti i upravljanja.

  • Vezanost za dobavljača i ovisnost o alatima

Bez upravljanja, zaposlenici mogu usvojiti alate umjetne inteligencije na temelju jednostavnosti korištenja, a ne kompatibilnosti s poduzećem. S vremenom timovi grade tijekove rada oko tih alata, stvarajući vezanost za dobavljača. Kada IT kasnije pokuša prijeći na odobrene platforme, prijelaz postaje remetilački i nailazi na otpor. Što je još gore, često postoji slaba vidljivost kako su se podaci koristili ili pohranjivali u tim alatima, što komplicira revizije i strategije izlaska.

Koji su najbolji alati za sigurnost u Shadow AI-u?

Sigurnosni alati Shadow AI-a spadaju u četiri glavne kategorije, od kojih svaka pokriva drugačiji sloj problema.

  • Alati sloja preglednika implementirati kao proširenje preglednika i otkriti korištenje umjetne inteligencije na razini sesije, uključujući osobne račune i BYOD uređaje. Oni vide što zaposlenici šalju AI alatima, ne samo koje domene posjećuju. Ovo je jedini pristup koji pokriva osobne račune i neupravljane uređaje.
  • SaaS platforme za otkrivanje povlačenje podataka iz SSO zapisnika i OAuth veza za mapiranje koje su AI aplikacije povezane s korporativnim identitetom. Snažno za inventar odobrenih alata, ali u potpunosti propuštaju osobne račune.
  • Alati za krajnje točke pratiti korištenje umjetne inteligencije samo na upravljanim uređajima. Nema vidljivosti na osobnim prijenosnim računalima, telefonima ili uređajima izvođača radova.
  • Alati na razini mreže (CASB/SSE) vidjeti koje AI domene zaposlenici posjećuju, ali ne mogu pregledavati sadržaj upita unutar šifriranih sesija preglednika.

Većini poduzeća potrebna su barem dva sloja: sloj preglednika za dubinu i sloj SaaS otkrivanja za širinu.

Često postavljana pitanja

  • Što je Shadow AI? Shadow AI je korištenje AI alata od strane zaposlenika bez znanja, odobrenja ili nadzora IT ili sigurnosnih timova. Uključuje korištenje osobnih ChatGPT računa za radne zadatke, instaliranje neodobrenih AI proširenja preglednika ili slanje podataka tvrtke AI platformama trećih strana koje nisu provjerene. Budući da većina AI alata radi unutar preglednika, korištenje Shadow AI-a je nevidljivo tradicionalnim kontrolama sigurnosti mreže i krajnjih točaka.
  • Koja je razlika između Shadow AI-a i Shadow IT-a? Shadow IT odnosi se na bilo koji neovlašteni softver, aplikaciju ili uslugu koja se koristi bez IT odobrenja. Shadow AI je podskup Shadow IT-a usmjeren posebno na alate umjetne inteligencije. Razlika je važna jer AI alati uvode jedinstvene rizike izvan tipičnog shadow softvera: aktivno obrađuju i u nekim slučajevima pohranjuju podatke koji im se dostavljaju, mogu generirati netočne ili pristrane rezultate koji utječu na poslovne odluke i često im se pristupa putem osobnih računa preglednika koji u potpunosti zaobilaze kontrole korporativnog identiteta.
  • Koji su najveći rizici Shadow AI-a? Tri najrizičnija ishoda su curenje osjetljivih podataka (zaposlenici koji lijepe osobne podatke o kupcima, izvorni kod ili financijske podatke u javne alate umjetne inteligencije), kršenja usklađenosti (obrada reguliranih podataka putem neodobrenih, neprovjerenih dobavljača) i slijepe točke u upravljanju sigurnošću (IT timovi nemaju uvid u to koji se alati koriste ili koji se podaci dijele). Rizici se povećavaju kada zaposlenici koriste osobne račune, jer su te sesije nevidljive za praćenje temeljeno na SSO-u i većinu CASB alata.
  • Kako mogu otkriti Shadow AI u svojoj organizaciji? Najučinkovitiji pristup je otkrivanje na razini preglednika. Budući da se preko 90% AI alata pristupa putem preglednika, platforma za sigurnost preglednika može otkriti korištenje AI alata na razini sesije, uključujući alate kojima se pristupa putem osobnih računa i na BYOD ili neupravljanim uređajima. SSO zapisnici i CASB alati pružaju djelomičan uvid, ali propuštaju korištenje osobnih računa, gdje se događa većina nekontroliranih AI aktivnosti.
  • Detektira li CASB Shadow AI? CASB može identificirati koje AI domene zaposlenici posjećuju, ali ne može pregledati sadržaj onoga što se šalje unutar šifrirane sesije preglednika. Također nema uvid u zaposlenike koji koriste osobne račune ili osobne uređaje. CASB pruža korisnu početnu točku za vidljivost AI na razini mreže, ali nije dovoljan kao samostalni alat za otkrivanje Shadow AI-a.
  • Kako LayerX rješava Shadow AI? LayerX se implementira kao proširenje za Chrome ili Edge i pruža uvid u svaki AI alat koji se koristi u cijeloj organizaciji u stvarnom vremenu, uključujući alate kojima se pristupa putem osobnih računa na BYOD uređajima. Identificira koji su alati u upotrebi, koji korisnici predstavljaju najveći rizik i koje se kategorije podataka šalju. Sigurnosni timovi zatim mogu konfigurirati detaljne kontrole - pratiti, upozoravati, blokirati ili redigirati - na razini pojedinačnih alata, korisničkih grupa i vrsta podataka, bez zamjene preglednika ili instaliranja agenta uređaja.