Kecerdasan buatan dengan cepat menyusup ke tempat kerja, sering kali tanpa pengetahuan atau persetujuan tim keamanan TI. Fenomena ini, yang dikenal sebagai shadow AI, menciptakan jaringan alat yang tidak terpantau yang mengakses data sensitif perusahaan. Dr. Tal Shapira, Co-founder dan CTO Reco, penyedia solusi keamanan SaaS dan tata kelola AI, memperingatkan bahwa pertumbuhan tersembunyi alat AI ini dapat menimbulkan risiko signifikan bagi organisasi, terutama karena laju adopsi AI melebihi perlindungan perusahaan yang ada.
Shapira menunjukkan bahwa sistem keamanan perusahaan dirancang untuk waktu ketika data tetap berada dalam firewall dan batas jaringan. Namun, shadow AI beroperasi dari dalam, memanfaatkan alat perusahaan sendiri, sehingga lebih sulit untuk mendeteksi dan mengelolanya. Banyak aplikasi AI modern terintegrasi langsung dengan platform SaaS populer seperti Salesforce dan Google Workspace, sering kali melalui izin yang tetap aktif bahkan setelah pengguna asli meninggalkan organisasi, yang mengakibatkan akses berkelanjutan ke data sensitif.
Masalah ini diperburuk oleh sifat sistem AI, yang bersifat probabilistik dan dapat berperilaku tidak terduga berdasarkan pola daripada menjalankan perintah tetap. Variabilitas ini membuatnya sulit untuk memantau dan mengendalikan tindakan mereka secara efektif. Reco telah melihat konsekuensi dari shadow AI dalam skenario dunia nyata, seperti ketika mereka menemukan lebih dari 1.000 integrasi pihak ketiga yang tidak sah di sebuah perusahaan keuangan Fortune 100, dengan banyak yang terkait dengan AI.
Salah satu kasus yang mengkhawatirkan melibatkan alat transkripsi yang terhubung ke Zoom yang merekam panggilan pelanggan yang sensitif tanpa pengetahuan perusahaan, secara tidak sengaja melatih model pihak ketiga dengan informasi rahasia. Contoh lain melihat seorang karyawan menghubungkan ChatGPT ke Salesforce, yang memungkinkan AI untuk menghasilkan laporan internal, mengekspos data pelanggan ke sistem eksternal. Platform Reco bertujuan untuk memberikan organisasi visibilitas ke alat AI yang terhubung ke sistem mereka, terus-menerus memindai untuk akses yang tidak sah dan memberi tahu administrator tentang potensi risiko.
Seiring fitur AI semakin terintegrasi ke dalam perangkat lunak arus utama, tantangan dalam mengelola alat-alat ini semakin meningkat. Shapira menekankan bahwa organisasi harus beralih dari sekadar memblokir AI menjadi secara efektif mengatur penggunaannya. Dia percaya bahwa masa depan akan melihat setiap alat bisnis menggabungkan beberapa bentuk AI, yang memerlukan pemantauan terus-menerus dan kontrol akses yang ketat. Pada akhirnya, perusahaan yang berhasil akan menjadi mereka yang mengadopsi AI dengan aman, memastikan inovasi sambil mempertahankan kepercayaan dan keamanan.