Теневой ИИ: Внедрение политик в компании

Avatar
Lisa Ernst · 31.10.2025 · Technik · 5 min

Инструменты ИИ часто тестируются до официального одобрения. Это повышает риски и проблемы управления. Теневой ИИ является второй наиболее распространенной формой теневых ИТ. Закон ЕС об ИИ вступает в силу поэтапно, с уже действующими правилами для запрещенных практик и требований для ИИ общего назначения.

Введение

Теневой ИИ описывает использование генеративных инструментов ИИ без ведома или одобрения ИТ-отдела. Это происходит, например, когда тексты, код или данные клиентов вставляются во внешние чаты без предварительной проверки контракта или защиты данных. Теневые ИТ обозначают неформально внедренные технологии вне официальных процессов; Теневой ИИ — это специфическое проявление для искусственного интеллекта. Управление формирует рамки для безопасного и законного использования ИИ, включая политики, роли и контроли. Примером этого является NIST AI Risk Management Framework с функциями Govern, Map, Measure, Manage. Управление рисками модели (MRM) включает инвентаризацию модели, валидацию, мониторинг и документирование. Оно давно применяется в финансовом надзоре (SR 11-7) и применимо к моделям ИИ. Для системы управления на уровне организации существует ISO/IEC 42001:2023.

Текущее состояние

Текущий 1Password-Report 2025 показывает, что Теневой ИИ является второй наиболее распространенной категорией теневых ИТ после электронной почты. 27% сотрудников использовали неодобренные приложения ИИ. Кроме того, 37% заявили, что соблюдают корпоративные политики только «большую часть времени», что указывает на пробелы в политике. Другое рыночное наблюдение от Zluri, через Help Net Security , утверждает, что 80% инструментов ИИ, используемых сотрудниками, обходят ИТ и безопасность. С регулятивной точки зрения, в ЕС с 02.02.2025 действуют запреты на определенные практики ИИ и обязательства по грамотности в области ИИ. Обязательства GPAI вступили в силу с 02.08.2025, другие части закона последуют с 02.08.2026, с продленными переходными периодами для определенных систем высокого риска до 2027 года. Комиссия ЕС придерживается графика, несмотря на просьбы отрасли об отсрочке, как Reuters сообщил.

Модель айсберга иллюстрирует скрытую природу Теневого ИИ по сравнению с официально одобренными системами ИИ.

Источник: infoproteccion.com

Модель айсберга иллюстрирует скрытую природу Теневого ИИ по сравнению с официально одобренными системами ИИ.

Причины и контекст

Теневой ИИ возникает по разным причинам. Удобство и желание повысить производительность являются основными движущими силами. Часто политики неясны или непоследовательно сообщаются, как 1Password-Report показывает. Динамика платформы усиливает это: низкие барьеры входа, плагины, расширения браузера и интеграции приложений облегчают тестирование, часто без SSO, DLP или аудита, как Help Net Security сообщает. В то же время конкретные контрмеры становятся доступными. OWASP описывает типичные риски LLM, такие как инъекция промта, утечка данных или чрезмерные права агентов, которые могут служить точками опоры для контроля. На стороне поставщика корпоративные предложения указывают на защиту клиента, протоколирование и управление сроком хранения данных, например, у ChatGPT Enterprise/Edu и Microsoft 365 Copilot.

Основные риски Теневого ИИ включают дезинформацию, утечку данных и потенциальные риски для клиентов.

Источник: walkme.com

Основные риски Теневого ИИ включают дезинформацию, утечку данных и потенциальные риски для клиентов.

Факты и заблуждения

Доказано, что Теневой ИИ широко распространен в компаниях. 1Password-Report показывает, что 27% сотрудников используют неодобренные приложения ИИ, и Теневой ИИ является второй наиболее распространенной категорией теневых ИТ. Кроме того, 80% используемых инструментов ИИ неуправляемы, что приводит к большим слепым зонам, как Help Net Security сообщает. Обязательства EU AI Act вступают в силу поэтапно с 2025 года, с правилами GPAI с 02.08.2025 и более широким применением с 02.08.2026. Неясно, как быстро компании будут применять стандарты MRM повсеместно к генеративному ИИ. MRM установлено в банковском надзоре ( SR 11-7), ), но уровни зрелости варьируются между отраслями. Утверждение «Нам не нужно ничего делать до 2026 года» является ложным или вводящим в заблуждение. Уже сегодня действуют запреты ЕС и обязательства по грамотности (с 02.02.2025), а также обязательства GPAI (с 02.08.2025). Комиссия подтверждает график, как Reuters сообщает.

Источник: YouTube

Рекомендации к действию

Чтобы прагматично и надежно внедрить политики Теневого ИИ, компании должны определить допустимые случаи использования, запрещенные вводы (например, персональные, конфиденциальные данные клиентов), разрешенные инструменты и пути одобрения. NIST-Rahmenwerk предлагает подходящую структуру для этого. Непрерывный процесс обнаружения и инвентаризации необходим для выявления новых инструментов ИИ, как Help Net Security подчеркивает. Технические контроли, такие как DLP/метки, условный доступ, логирование и аудиторские следы, должны быть закреплены; примеры предоставляет Copilot-Architektur. Внедрение процессов MRM, включая инвентаризацию модели, документирование предположений и происхождения данных, независимую валидацию, мониторинг дрейфа и производительности, а также контроли изменений, является решающим. SR 11-7 предлагает надежный план. Те, кто хочет организационно сертифицировать управление, могут использовать ISO/IEC 42001 в качестве системы управления и NIST-Playbook для конкретных мер.

Этическая основа имеет решающее значение для ответственного обращения с ИИ и внедрения политик.

Источник: linkedin.com

Этическая основа имеет решающее значение для ответственного обращения с ИИ и внедрения политик.

Перспективы

Открытые вопросы касаются уточнения требований GPAI и ожиданий надзора в аудитах. Комиссия продолжает работать над вспомогательными документами и придерживается поэтапного плана, как Reuters сообщает. Стандартизация тестов для рисков инъекции промта и агентов в сложных рабочих процессах является еще одной проблемой. OWASP постоянно предоставляет обновляемые каталоги рисков. Также открыт вопрос о метриках для справедливости, надежности и галлюцинаций, которые станут де-факто стандартом. NIST работает над профилями и методами оценки для генеративного ИИ.

Теневой ИИ показывает, что люди хотят быстрых результатов. Хорошие политики сочетают этот стимул с защитой. Те, кто сейчас формулирует четкие правила использования, устанавливает обнаружение и мониторинг, внедряет технические контроли и настраивает процессы MRM, снижают риски, не замедляя производительность. Это одновременно лучше готовит компании к EU AI Act и использует рамки, такие как NIST AI Risk Management Framework и ISO/IEC 42001.

Источник: YouTube

Поделитесь нашей статьёй!