Trong khi các nhà lãnh đạo doanh nghiệp ăn mừng mức tăng năng suất từ ChatGPT, Claude và GitHub Copilot, một thực tế đáng lo ngại hơn đang xuất hiện: 91% công cụ AI hiện hoạt động bên ngoài sự kiểm soát của CNTT, với các tổ chức có trung bình 269 ứng dụng AI bóng tối trên 1.000 nhân viên, theo nền tảng bảo mật SaaS và AI của Reco’s. Báo cáo AI trạng thái bóng tối năm 2025.
Không giống như CNTT bóng tối truyền thống, nơi nhân viên có thể cài đặt phần mềm trái phép, AI bóng tối có mức độ lây lan khác nhau. Nhân viên truy cập trực tiếp vào các công cụ này trong các nền tảng hiện có, loại bỏ rào cản và cho phép hiển thị dữ liệu trong vài giây chứ không phải vài ngày.
Gal Nakash, đồng sáng lập và giám đốc sản phẩm tại cho biết: “Khi nhân viên dán mã, dữ liệu khách hàng hoặc kế hoạch vào nền tảng AI công cộng, thông tin đó có thể được giữ lại hoặc sử dụng để đào tạo, tạo ra rò rỉ IP lâu dài mà các công cụ bảo mật truyền thống không thể phát hiện được”. Reco.
Thời điểm không thể tồi tệ hơn đối với châu Á. Khu vực này phải đối mặt với cái mà Nakash gọi là “kính vạn hoa điều tiết”, phần lớn được cung cấp bởi Luật bảo vệ thông tin cá nhân của Trung Quốc (PIPL)Đạo luật bảo vệ dữ liệu cá nhân kỹ thuật số (DPDPA) của Ấn Độ, Đạo luật bảo vệ dữ liệu cá nhân (PDPA) cập nhật của Singapore, Đạo luật cơ bản AI của Hàn Quốc, cùng với luật mới ở Malaysia, Indonesia, Thái Lan, Việt Nam và Nhật Bản. Mỗi nơi đều có những yêu cầu khác nhau và không giống như thống nhất của Châu Âu GDPRviệc tuân thủ đòi hỏi phải điều hướng nhiều khu vực pháp lý cùng một lúc.
Điều này tạo ra những tình huống bấp bênh, chẳng hạn như một công cụ AI tuân thủ ở Singapore có thể vi phạm các quy định ở Trung Quốc. Đối với doanh nghiệp hoạt động trong Các nước RCEP đối tác kinh tế toàn diện khu vực – tức là 15 quốc gia ở Châu Á Thái Bình Dương có hiệp định thương mại tự do – hoặc quản lý chuỗi cung ứng đa dạng, quản trị AI thống nhất không phải là tùy chọn. Nó hiện đang tồn tại và có thể là yếu tố duy nhất quyết định sự liên tục hay kết thúc của một doanh nghiệp.
Trong khi đó, quy mô của tình huống này càng làm tăng thêm thách thức. Theo báo cáo, các doanh nghiệp hiện chạy trung bình 1.061 ứng dụng SaaS, tăng 26% trong hai năm, với 80% nhân viên sử dụng các công cụ trái phép, góp phần gây ra 35% số vụ vi phạm dữ liệu. nghiên cứu của IBM. Tăng trưởng kinh tế 4,6% của Châu Á-Thái Bình Dương vào năm 2024 và nền kinh tế kỹ thuật số của khu vực này hướng tới 1 nghìn tỷ USD vào năm 2030, mỗi dự báo của IMFcó nghĩa là hàng nghìn nhân viên mới được tuyển dụng hàng ngày trong khu vực – mỗi nhân viên có khả năng giới thiệu các công cụ AI trái phép mà các nhóm bảo mật sẽ không thể phát hiện ra cho đến sau khi xảy ra vi phạm.
Tính toán tuân thủ
Các ngành được quản lý có lẽ phải đối mặt với khía cạnh sắc nét nhất của vấn đề này. Một nhân viên chăm sóc sức khỏe có khả năng gây ra vi phạm GDPR, PDPA hoặc HIPAA bằng cách dán dữ liệu bệnh nhân vào ChatGPT, điều này có thể dẫn đến việc kiểm tra và có thể bị phạt theo quy định lên tới hàng triệu đô la Mỹ.
Các ngành không được quản lý cũng không được miễn dịch vì chúng cũng phải đối mặt với hành vi trộm cắp tài sản trí tuệ, bất lợi trong cạnh tranh và tổn hại về danh tiếng. Nhưng sự khác biệt quan trọng, Nakash lưu ý, là các ngành được quản lý phải thể hiện sự tuân thủ liên tục, khiến việc quản lý AI bóng chủ động trở nên cần thiết chứ không phải phản ứng.
Ở đây, các công cụ bảo mật truyền thống thường gặp khó khăn, trong khi các hệ thống cũ phải mất hàng tháng để tích hợp các ứng dụng mới và thường phản ứng với các vi phạm mà không ngăn chặn được chúng. Chúng thiếu khả năng hiển thị các ứng dụng không có dấu vết – các công cụ AI không để lại dấu vết cài đặt nhưng liên tục truy cập dữ liệu nhạy cảm.
Suy nghĩ lại về bảo mật AI
Cách tiếp cận của Reco tập trung vào tốc độ và khả năng hiển thị. App Factory của công ty tích hợp các ứng dụng mới trong vòng 3 đến 5 ngày so với hàng tháng đối với các đối thủ cạnh tranh, khám phá hơn 50.000 ứng dụng, bao gồm tất cả các công cụ AI chính. Nền tảng này phát hiện ChatGPT, Claude, GitHub Copilot và các tác nhân AI tùy chỉnh, sau đó ánh xạ các luồng dữ liệu để hiểu đường dẫn tiếp xúc.
Nakash giải thích: “Chúng tôi cung cấp khả năng hiển thị về việc sử dụng AI mà không cần tắt nó đi”. “Các chính sách dựa trên rủi ro cho phép sử dụng được phê duyệt, đồng thời ngăn ngừa phơi nhiễm. Huấn luyện người dùng không chỉ đào tạo các khối.”
Nền tảng của công ty phân loại dữ liệu nhạy cảm theo lời nhắc và đầu ra, thực thi các chính sách trong thời gian thực và duy trì sự tuân thủ sẵn sàng kiểm tra khi các công cụ AI mới xuất hiện. Cách tiếp cận lấy danh tính làm trung tâm ánh xạ mọi tương tác AI với danh tính, quyền và hành vi của người dùng, giúp các nhóm ưu tiên các rủi ro quan trọng.
Lực kéo của Reco cho đến nay cho thấy các doanh nghiệp đang phản hồi, với việc công ty báo cáo doanh thu định kỳ hàng năm (ARR) tăng gấp 5 lần trong năm qua, mức tăng trưởng khách hàng gấp 3 lần và điểm số người quảng cáo ròng (NPS) là 82, tạo nên lòng trung thành của khách hàng. Công ty đã huy động được khoản mở rộng Series A trị giá 25 triệu đô la vào tháng 4 năm 2025, nâng tổng số tiền tài trợ lên 55 triệu đô la, với lực lượng lao động tăng gấp đôi ở nhiều khu vực.
Động lực mạnh mẽ trong các dịch vụ tài chính, bảo hiểm, chăm sóc sức khỏe, dược phẩm và công nghệ – đều là những lĩnh vực chính ở châu Á – đã định hình chiến lược mở rộng khu vực của công ty. Bob Horn, giám đốc doanh thu mới được bổ nhiệm tại Reco, đang dẫn đầu chiến lược bán hàng toàn cầu với trọng tâm cụ thể là thúc đẩy quan hệ đối tác kênh ở Hoa Kỳ và nước ngoài.
của công ty Thị trường AWS sự hiện diện cung cấp các mối quan hệ mua sắm được thiết lập ở châu Á-Thái Bình Dương, trong khi quan hệ đối tác với Wiz, Mạng Palo AltoVà mô-men xoắn cũng như Cyera, NetSuiteVà HPE – tất cả đều có hoạt động quan trọng ở Châu Á – cung cấp khả năng tích hợp kỹ thuật và sử dụng trên thị trường.
Điều gì xảy ra tiếp theo
Khi các quy định mới có hiệu lực trong khu vực, Nakash hình dung bối cảnh AI bóng tối sẽ chuyển từ phản ứng sang chủ động. Thế hệ tiếp theo, sẽ không chỉ bao gồm các bot AI tự động mà còn cả các tác nhân AI có nhiều quyền lực hơn, sẽ làm tăng thêm rủi ro.
Ngoài các nền tảng toàn cầu như ChatGPT và Claude, các công cụ AI được bản địa hóa sẽ xuất hiện và mỗi công cụ sẽ cần được tích hợp bảo mật. Khi có nhiều tính năng AI được thêm vào các ứng dụng SaaS hiện có mà không cần đánh giá bảo mật, việc khám phá liên tục trở thành điều bắt buộc.
Đó là lý do tại sao Nakash tin rằng tương lai thuộc về các tổ chức phát triển nhanh chóng trong khi vẫn duy trì được an ninh. Ông nói: “Điều đó đặc biệt quan trọng ở châu Á, nơi các cơ hội và rủi ro về AI được khuếch đại bởi quy mô, tốc độ và sự phức tạp về quy định”.
Đối với các doanh nghiệp đang điều hướng môi trường tuân thủ phức tạp của châu Á, đồng thời theo đuổi tăng trưởng nhờ AI, câu hỏi đặt ra không phải là liệu AI trong bóng tối có tạo ra vấn đề hay không; vấn đề là liệu họ có phát hiện ra những vấn đề đó trước khi cơ quan quản lý phát hiện hay không.
Nguồn hình ảnh: Unplash
