Một xu hướng đáng lo ngại đã xuất hiện trong môi trường doanh nghiệp khi nhân viên đang phá vỡ các chính sách AI chính thức và vô tình tạo ra những lỗ hổng bảo mật nghiêm trọng. Bất chấp các hạn chế của tổ chức, người lao động vẫn tiếp tục sử dụng tài khoản cá nhân cho các công cụ AI, dẫn đến việc lộ dữ liệu trên diện rộng mà các công ty không thể giám sát hoặc kiểm soát.
Thống kê Sử dụng Công cụ AI:
- 45% nhân viên doanh nghiệp sử dụng các công cụ AI tạo sinh
- 77% người dùng AI sao chép-dán dữ liệu vào chatbot
- 22% các thao tác sao chép-dán bao gồm dữ liệu PII/PCI
- 82% việc dán dữ liệu đến từ các tài khoản cá nhân không được quản lý
- 40% tệp tải lên các trang web AI chứa dữ liệu PII/PCI
Vấn đề Shadow IT vượt xa các công cụ AI
Vấn đề này mở rộng xa hơn các ứng dụng trí tuệ nhân tạo. Các cuộc thảo luận cộng đồng cho thấy nhân viên thường xuyên sử dụng tài khoản cá nhân trên nhiều nền tảng quan trọng trong kinh doanh, với việc sử dụng shadow IT đạt 87% cho các ứng dụng nhắn tin, 77% cho Salesforce, và 68% cho các dịch vụ Microsoft Online. Thực tế phổ biến này cho thấy vấn đề rò rỉ dữ liệu AI chỉ là một triệu chứng của một thách thức tổ chức lớn hơn nhiều.
Một nhà quan sát đã chỉ ra vấn đề cơ bản đang diễn ra: nhân viên sẽ sẵn sàng áp dụng và chia sẻ dữ liệu với hầu như bất kỳ công cụ nào hứa hẹn cải thiện năng suất của họ, bất kể các tác động bảo mật.
Sử dụng Shadow IT trong các ứng dụng kinh doanh:
- Chat/Nhắn tin: 87%
- Salesforce : 77%
- Microsoft Online : 68%
- AI tạo sinh: 67%
- Zoom : 64%
- Họp trực tuyến: 60%
Sự thống trị của ChatGPT bất chấp các lựa chọn thay thế của doanh nghiệp
Có lẽ điều nổi bật nhất là sự ưa thích áp đảo của nhân viên đối với ChatGPT hơn các lựa chọn thay thế được doanh nghiệp phê duyệt. Ngay cả khi các tổ chức cung cấp các công cụ AI được cấp phép như Microsoft Copilot, người lao động vẫn tiếp tục hướng về nền tảng của OpenAI. Sự ưa thích này vẫn tồn tại bất chấp việc tích hợp Copilot với các môi trường Microsoft 365 hiện có mà hầu hết các doanh nghiệp đã sử dụng.
Cộng đồng đã nêu lên mối lo ngại về việc có thể lạm dụng dữ liệu kinh doanh này, đặc biệt là do những thay đổi lãnh đạo gần đây tại OpenAI và khả năng thông minh kinh doanh mở rộng của công ty. Một số người lo lắng rằng thông tin doanh nghiệp chi tiết - từ phát hành tính năng đến dữ liệu telemetry - có thể được tận dụng để có lợi thế cạnh tranh.
Việc áp dụng ChatGPT so với các đối thủ cạnh tranh trong doanh nghiệp:
- ChatGPT: Hơn 90% nhân viên truy cập
- Google Gemini: 15%
- Claude: 5%
- Microsoft Copilot: 2-3%
- 83,5% người dùng chỉ sử dụng một công cụ AI
Các giải pháp thực tế xuất hiện từ cộng đồng kỹ thuật
Các tổ chức có tầm nhìn xa đang khám phá các lựa chọn thay thế tự lưu trữ để giải quyết những lo ngại bảo mật này. Các chuyên gia kỹ thuật đề xuất triển khai các mô hình AI tiên tiến như Sonnet 4.5, Qwen3 235B, hoặc Deepseek R1 trên cơ sở hạ tầng đám mây riêng như AWS Bedrock. Cách tiếp cận này cho phép nhân viên truy cập các khả năng AI tiên tiến trong khi đảm bảo dữ liệu nhạy cảm không bao giờ rời khỏi môi trường doanh nghiệp.
Tuy nhiên, các thách thức triển khai vẫn còn. Một số nền tảng áp đặt các hạn chế về kích thước đầu vào có thể hạn chế khả năng đầy đủ của các mô hình cơ bản, có thể làm thất vọng người dùng đã quen với các lựa chọn công cộng linh hoạt hơn.
Việc tự động hóa gián điệp doanh nghiệp
Tình hình đã tạo ra một bối cảnh bảo mật gần như vô lý khi các chiến thuật gián điệp doanh nghiệp truyền thống không còn cần thiết nữa. Thay vì các phương pháp xâm nhập tinh vi, thông tin doanh nghiệp nhạy cảm chảy tự do thông qua các thao tác sao chép-dán của nhân viên vào các hệ thống AI công cộng.
Ai còn cần gián điệp doanh nghiệp khi nhân viên đang thực sự Ctrl+C, Ctrl+V các bí mật công ty vào một chatbot có thể truy cập công khai? Chúng ta đã tự động hóa việc vi phạm dữ liệu.
Một số thành viên cộng đồng đã đề xuất các giải pháp kỹ thuật sáng tạo, bao gồm các tài khoản AI doanh nghiệp với tính năng ngăn chặn mất dữ liệu tích hợp có thể tự động phát hiện và chặn việc tải lên thông tin nhạy cảm, hoặc thậm chí tích hợp với các hệ thống HR để thực thi chính sách tự động.
Kết luận
Thực tế phổ biến này của việc sử dụng tài khoản AI cá nhân cho mục đích kinh doanh đại diện cho một sự thay đổi cơ bản trong cách tiếp cận bảo mật dữ liệu doanh nghiệp. Các tổ chức không thể chỉ dựa vào các hạn chế chính sách mà thay vào đó phải tập trung vào việc cung cấp các lựa chọn thay thế an toàn, thân thiện với người dùng phù hợp với sự tiện lợi và khả năng mà nhân viên mong đợi từ các công cụ AI tiêu dùng. Thách thức không chỉ nằm ở việc triển khai các giải pháp kỹ thuật, mà còn ở việc hiểu và giải quyết các sở thích người dùng cơ bản thúc đẩy những hành vi rủi ro này.
Tham khảo: Employees regularly paste company secrets into ChatGPT