هوش مصنوعی مولد در مدت زمانی بسیار کوتاه، نحوه کار کردن افراد را متحول کرده است. امروز بسیاری از کارمندان برای نوشتن ایمیل، تهیه گزارش، تحلیل فایلهای Excel، تولید کد، خلاصهسازی اسناد، ترجمه متون و حتی تصمیمگیریهای روزمره از ابزارهایی مانند ChatGPT، Microsoft Copilot، Gemini، Claude و دهها سرویس مشابه استفاده میکنند. این ابزارها بهرهوری را افزایش میدهند، زمان انجام کارها را کاهش میدهند و در بسیاری از موارد کیفیت خروجی را نیز بهبود میبخشند. به همین دلیل، استقبال از آنها در سازمانهای کوچک و بزرگ با سرعتی بیسابقه در حال افزایش است.
اما این رشد سریع، چالش جدیدی را برای واحدهای فناوری اطلاعات و امنیت سایبری ایجاد کرده است؛ چالشی که برخلاف بسیاری از تهدیدهای سنتی، نه از طریق هکرها، بدافزارها یا حملات باجافزاری، بلکه از طریق کاربران عادی سازمان شکل میگیرد. کافی است یکی از کارکنان برای صرفهجویی در زمان، فایل قرارداد مشتری را در یک سرویس هوش مصنوعی بارگذاری کند، یا توسعهدهندهای بخشی از کد اختصاصی نرمافزار را برای دریافت پیشنهاد به یک مدل زبانی ارسال کند. در ظاهر اتفاق خاصی رخ نداده است، اما در عمل ممکن است اطلاعاتی که جزو داراییهای ارزشمند سازمان محسوب میشوند، وارد محیطی شوند که خارج از کنترل واحد فناوری اطلاعات قرار دارد.
دقیقاً از همین نقطه، مفهومی با عنوان Shadow AI شکل میگیرد. Shadow AI به استفاده از ابزارها و سرویسهای هوش مصنوعی بدون اطلاع، تأیید یا نظارت رسمی واحد فناوری اطلاعات و امنیت سازمان گفته میشود. این ابزارها ممکن است کاملاً معتبر و شناختهشده باشند، اما زمانی که خارج از چارچوب سیاستهای امنیتی سازمان مورد استفاده قرار میگیرند، میتوانند به یک ریسک جدی برای محرمانگی دادهها، انطباق با مقررات و حتی اعتبار کسبوکار تبدیل شوند.
نکته مهم اینجاست که تقریباً هیچیک از کاربران با نیت مخرب از این ابزارها استفاده نمیکنند. برعکس، هدف آنها افزایش سرعت انجام کارها، کاهش حجم فعالیتهای تکراری و دستیابی به نتایج بهتر است. با این حال، بسیاری از آنها نمیدانند که اطلاعاتی که در یک ابزار هوش مصنوعی وارد میکنند، ممکن است شامل دادههای حساس سازمان، اطلاعات مشتریان، اسناد مالی، قراردادهای محرمانه، کدهای اختصاصی یا اطلاعات شخصی کارکنان باشد. در چنین شرایطی، حتی اگر ارائهدهنده سرویس از استانداردهای امنیتی بالایی برخوردار باشد، سازمان دیگر کنترل کاملی بر چرخه حیات دادههای خود نخواهد داشت.
همین موضوع باعث شده است که در سالهای اخیر، مدیران ارشد فناوری اطلاعات (CIO)، مدیران امنیت اطلاعات (CISO)، تیمهای امنیت سایبری و متخصصان Data Governance توجه ویژهای به Shadow AI داشته باشند. در واقع، سؤال اصلی دیگر این نیست که «آیا کارکنان از هوش مصنوعی استفاده میکنند؟» بلکه این است که «از چه ابزارهایی استفاده میکنند، چه اطلاعاتی را وارد آنها میکنند و آیا این استفاده با سیاستهای امنیتی سازمان همخوانی دارد؟»
از سوی دیگر، تجربه شرکتهای بزرگ جهان نشان داده است که ممنوع کردن کامل استفاده از هوش مصنوعی، راهکار مؤثری نیست. زمانی که کاربران احساس کنند ابزارهای موردنیازشان در اختیارشان قرار نمیگیرد، معمولاً به سراغ حسابهای شخصی یا سرویسهای رایگان میروند و این دقیقاً همان چیزی است که میزان Shadow AI را افزایش میدهد. به همین دلیل، سازمانهای پیشرو به جای ممنوعیت، به سمت ایجاد چارچوبهای AI Governance، آموزش کاربران، طبقهبندی دادهها و استفاده از نسخههای سازمانی ابزارهای هوش مصنوعی حرکت کردهاند.
در این مقاله، ابتدا مفهوم Shadow AI را بهصورت دقیق بررسی میکنیم، سپس تفاوت آن با Shadow IT را توضیح میدهیم، مهمترین ریسکهای امنیتی و مدیریتی آن را مرور خواهیم کرد و در ادامه، بهترین راهکارهای شناسایی، کنترل و مدیریت این پدیده را از دیدگاه امنیت اطلاعات و حاکمیت داده معرفی میکنیم. هدف این مقاله آن است که به مدیران فناوری اطلاعات، کارشناسان امنیت، مدیران ارشد و حتی کاربران عادی کمک کند تا ضمن بهرهمندی از مزایای هوش مصنوعی، از تبدیل آن به یک تهدید پنهان برای سازمان جلوگیری کنند.
Shadow AI چیست؟
اصطلاح Shadow AI (هوش مصنوعی سایه) به استفاده از ابزارها، سرویسها یا مدلهای هوش مصنوعی گفته میشود که بدون تأیید، نظارت یا مدیریت رسمی واحد فناوری اطلاعات در یک سازمان مورد استفاده قرار میگیرند. به بیان ساده، هر زمان که یک کارمند برای انجام وظایف شغلی خود از یک سرویس هوش مصنوعی استفاده کند، اما این استفاده در چارچوب سیاستهای سازمان تعریف نشده باشد، با نمونهای از Shadow AI روبهرو هستیم.
نکتهای که بسیاری از مدیران در ابتدا نادیده میگیرند این است که Shadow AI لزوماً به معنای استفاده از ابزارهای ناشناس یا غیرقانونی نیست. در بسیاری از موارد، کارکنان از سرویسهای شناختهشده و معتبر استفاده میکنند؛ اما چون این استفاده خارج از فرآیندهای رسمی سازمان انجام میشود، واحد فناوری اطلاعات هیچ دیدی نسبت به نوع اطلاعات ارسالشده، کاربران، سطح دسترسی، محل ذخیرهسازی دادهها یا نحوه پردازش آنها ندارد.
برای مثال، تصور کنید یک تحلیلگر مالی فایل بودجه سال آینده شرکت را برای تهیه خلاصه مدیریتی در یک سرویس هوش مصنوعی بارگذاری میکند. یا یک کارشناس منابع انسانی اطلاعات مربوط به حقوق و مزایای کارکنان را برای تهیه یک گزارش تحلیلی وارد یک چتبات هوشمند میکند. حتی ممکن است یک برنامهنویس بخشی از کدهای اختصاصی محصول را برای رفع یک خطا یا بهینهسازی عملکرد در اختیار یک مدل زبانی قرار دهد. در همه این مثالها، کاربران با هدف افزایش بهرهوری عمل کردهاند، اما در عمل، اطلاعات حساس سازمان را وارد محیطی کردهاند که ممکن است تحت سیاستهای امنیتی و حاکمیتی شرکت نباشد.
از نگاه امنیت اطلاعات، Shadow AI تنها یک ابزار جدید نیست، بلکه تغییری اساسی در الگوی استفاده از فناوری محسوب میشود. در گذشته، برای خروج اطلاعات از سازمان معمولاً به نصب نرمافزار، استفاده از حافظههای جانبی یا ارسال فایل از طریق ایمیل نیاز بود. امروز تنها چند خط متن یا بارگذاری یک فایل در یک سرویس هوش مصنوعی میتواند همان ریسک را ایجاد کند؛ آن هم در کمتر از چند دقیقه و بدون اینکه کاربر احساس کند اقدام پرخطری انجام داده است.
به همین دلیل، بسیاری از متخصصان امنیت سایبری معتقدند که Shadow AI را نباید صرفاً یک روند فناوری دانست؛ بلکه باید آن را یکی از مهمترین چالشهای نوظهور در حوزه Data Security، Privacy و AI Governance در سازمانهای مدرن به شمار آورد.
چرا Shadow AI بهوجود آمد؟
اگر تا چند سال قبل از مدیران فناوری اطلاعات درباره بزرگترین تهدیدهای سازمان سؤال میکردید، احتمالاً پاسخهایی مانند حملات باجافزاری، بدافزارها، فیشینگ یا نشت اطلاعات را میشنیدید. اما امروز، بسیاری از مدیران امنیت اطلاعات، چالش دیگری را نیز در فهرست نگرانیهای خود قرار دادهاند؛ استفاده کنترلنشده از هوش مصنوعی توسط کارکنان.
نکته جالب اینجاست که Shadow AI نه به دلیل ضعف فناوری، بلکه به دلیل سرعت بالای پذیرش آن توسط کاربران شکل گرفت. برخلاف بسیاری از فناوریهای سازمانی که پیادهسازی آنها ماهها زمان میبرد، ابزارهای هوش مصنوعی تنها با یک مرورگر وب یا نصب یک اپلیکیشن در دسترس قرار گرفتند. کاربران بدون نیاز به خرید سختافزار، آموزش تخصصی یا هماهنگی با واحد فناوری اطلاعات، توانستند از قابلیتهایی استفاده کنند که تا چند سال قبل تنها در اختیار تیمهای تحقیقاتی بود.
در عمل، کارکنان خیلی زودتر از سازمانها به سراغ هوش مصنوعی رفتند. زمانی که بسیاری از شرکتها هنوز در حال تدوین سیاستهای استفاده از AI بودند، کارمندان از این ابزارها برای انجام فعالیتهای روزمره خود استفاده میکردند. این فاصله زمانی، همان فضایی بود که Shadow AI در آن رشد کرد.
چرا کارکنان به سمت هوش مصنوعی سایه میروند؟
بیشتر کاربران با هدف دور زدن قوانین سازمان از هوش مصنوعی استفاده نمیکنند. آنها تنها به دنبال انجام سریعتر کارهای روزانه هستند. مهمترین دلایل این موضوع عبارتاند از:
۱. افزایش بهرهوری
امروزه بسیاری از فعالیتهایی که قبلاً ساعتها زمان نیاز داشت، با کمک هوش مصنوعی در چند دقیقه انجام میشود.
برای مثال:
- نوشتن ایمیلهای رسمی
- خلاصهسازی گزارشهای طولانی
- تهیه مستندات فنی
- تولید کدهای برنامهنویسی
- تحلیل دادهها
- تهیه Presentation
- ترجمه اسناد
وقتی کارمند متوجه میشود میتواند زمان انجام یک کار را از دو ساعت به بیست دقیقه کاهش دهد، طبیعی است که تمایل به استفاده از این ابزارها پیدا کند.
۲. نبود ابزار رسمی در سازمان
در بسیاری از شرکتها، هنوز نسخه سازمانی ابزارهای هوش مصنوعی در اختیار کاربران قرار نگرفته است.
در نتیجه کارکنان به سراغ:
- نسخه رایگان ChatGPT
- Gemini
- Claude
- Perplexity
- Copilot شخصی
- ابزارهای آنلاین تولید تصویر
- افزونههای مرورگر
میروند.
این دقیقاً همان نقطهای است که Shadow AI شکل میگیرد.
۳. سادگی استفاده
یکی از مهمترین دلایل رشد Shadow AI، سادگی فوقالعاده این ابزارهاست.
برخلاف نرمافزارهای سازمانی که نیاز به آموزش دارند، تقریباً هر فردی میتواند تنها با نوشتن یک Prompt از هوش مصنوعی استفاده کند.
همین موضوع باعث شده است که نرخ پذیرش AI بسیار سریعتر از بسیاری از فناوریهای سازمانی باشد.
۴. فشار برای افزایش سرعت انجام کارها
در بسیاری از سازمانها، کارکنان با حجم زیادی از وظایف روزانه مواجه هستند.
وقتی هوش مصنوعی میتواند:
- گزارش بنویسد
- ایمیل تولید کند
- فایل Excel را تحلیل کند
- نمودار ایجاد کند
- متن قرارداد را خلاصه کند
طبیعی است که کاربران بدون منتظر ماندن برای تأیید واحد IT، از آن استفاده کنند.
۵. نبود سیاست مشخص برای استفاده از AI
یکی از بزرگترین اشتباهات سازمانها این است که تصور میکنند اگر درباره استفاده از هوش مصنوعی صحبت نکنند، کارکنان نیز از آن استفاده نخواهند کرد.
در حالی که واقعیت کاملاً برعکس است.
وقتی سیاست مشخصی وجود نداشته باشد، هر کاربر بر اساس برداشت شخصی خود تصمیم میگیرد که:
- چه ابزاری استفاده کند.
- چه اطلاعاتی را وارد کند.
- چه فایلهایی را بارگذاری کند.
- چه دادههایی را با AI به اشتراک بگذارد.
در چنین شرایطی، کنترل سازمان بر دادهها به شدت کاهش پیدا میکند.
Shadow AI و Shadow IT چه تفاوتی دارند؟
بسیاری از افراد تصور میکنند Shadow AI همان Shadow IT است، در حالی که اگرچه این دو مفهوم به یکدیگر نزدیک هستند، اما تفاوتهای مهمی با هم دارند.
به طور کلی، Shadow IT به استفاده از هر نرمافزار، سرویس یا سختافزاری گفته میشود که بدون اطلاع یا تأیید واحد فناوری اطلاعات وارد سازمان شده باشد.
اما Shadow AI زیرمجموعهای جدید از Shadow IT است که تمرکز آن صرفاً بر ابزارهای مبتنی بر هوش مصنوعی است.
جدول مقایسه Shadow AI و Shadow IT
| معیار | Shadow IT | Shadow AI |
|---|---|---|
| تعریف | استفاده از نرمافزارها یا سرویسهای تأییدنشده | استفاده از ابزارهای هوش مصنوعی بدون تأیید سازمان |
| نمونهها | Dropbox، Trello، Google Drive، Slack شخصی | ChatGPT، Claude، Gemini، Perplexity، Cursor |
| مهمترین ریسک | مدیریت داراییهای IT و نشت اطلاعات | نشت دادههای حساس از طریق Prompt و فایلهای بارگذاریشده |
| تمرکز امنیتی | کنترل نرمافزار و سرویس | کنترل دادههایی که وارد مدلهای AI میشوند |
| سرعت گسترش | نسبتاً تدریجی | بسیار سریع و گسترده |
| میزان آگاهی کاربران از ریسک | معمولاً بالا | معمولاً پایین؛ بسیاری از کاربران تصور میکنند استفاده از AI بدون خطر است |
در واقع، اگر Shadow IT به ورود ابزارهای ناشناس به سازمان مربوط میشد، Shadow AI به خروج اطلاعات ارزشمند سازمان از طریق همان ابزارها مربوط است. همین تفاوت باعث شده است که بسیاری از کارشناسان امنیت، Shadow AI را نسل جدید و پیچیدهتر Shadow IT بدانند.
اما سؤال مهم این است:
آیا استفاده از هوش مصنوعی سایه همیشه خطرناک است؟
پاسخ کوتاه، خیر است. مشکل اصلی خودِ هوش مصنوعی نیست، بلکه نحوه استفاده از آن است. اگر سازمان چارچوب مشخصی برای استفاده از AI، طبقهبندی دادهها، آموزش کاربران و نظارت بر سرویسهای مورد استفاده نداشته باشد، حتی معتبرترین ابزارهای هوش مصنوعی نیز میتوانند به مسیری برای نشت اطلاعات و ایجاد ریسکهای امنیتی تبدیل شوند.
مهمترین ریسکهای هوش مصنوعی سایه برای سازمانها
بزرگترین اشتباهی که برخی مدیران مرتکب میشوند این است که Shadow AI را صرفاً یک ابزار جدید برای افزایش بهرهوری میدانند. در حالی که از نگاه امنیت اطلاعات، موضوع اصلی خود ابزار نیست؛ بلکه دادههایی است که وارد آن میشوند.
هر بار که یک کارمند متنی را در یک چتبات هوش مصنوعی وارد میکند، فایلی را بارگذاری میکند یا از مدلهای زبانی برای تحلیل اطلاعات استفاده میکند، این سؤال مطرح میشود که آیا آن داده مجاز به خروج از محیط سازمان بوده است یا خیر.
به همین دلیل، بسیاری از چارچوبهای امنیتی جدید، Shadow AI را نه یک فناوری، بلکه یک ریسک حاکمیت داده (Data Governance Risk) در نظر میگیرند.
در ادامه، مهمترین تهدیدهای ناشی از Shadow AI را بررسی میکنیم.
۱. نشت اطلاعات محرمانه (Sensitive Data Exposure)
رایجترین و مهمترین خطر Shadow AI، خروج ناخواسته اطلاعات محرمانه از سازمان است.
کاربران معمولاً برای دریافت پاسخ بهتر، اطلاعات بیشتری در اختیار هوش مصنوعی قرار میدهند. این اطلاعات ممکن است شامل موارد زیر باشد:
- قراردادهای مشتریان
- اطلاعات مالی
- برنامههای توسعه محصول
- گزارشهای مدیریتی
- اطلاعات پرسنلی
- دادههای پزشکی
- اسناد حقوقی
- سورسکد نرمافزار
- کلیدهای API
- رمزهای موقت
- اطلاعات شبکه
کاربر تصور میکند که تنها در حال دریافت یک پاسخ یا خلاصهسازی متن است، اما در واقع بخشی از دارایی اطلاعاتی سازمان را در اختیار یک سرویس خارج از کنترل سازمان قرار داده است.
سناریوی واقعی
یک مدیر فروش برای تهیه نسخه انگلیسی قرارداد، فایل قرارداد مشتری را در یک ابزار هوش مصنوعی بارگذاری میکند. در این فایل، علاوه بر متن قرارداد، اطلاعات تماس مشتری، قیمتها، شرایط پرداخت و تخفیفهای اختصاصی نیز وجود دارد. اگر سازمان سیاست مشخصی برای استفاده از AI نداشته باشد، این اقدام میتواند یک نشت اطلاعاتی محسوب شود؛ حتی اگر هیچ هکری در این میان حضور نداشته باشد.
۲. از دست رفتن کنترل بر چرخه حیات دادهها
یکی از اصول مهم امنیت اطلاعات این است که سازمان بداند:
- دادهها کجا ذخیره میشوند؟
- چه کسانی به آنها دسترسی دارند؟
- چه مدت نگهداری میشوند؟
- آیا حذف شدهاند؟
- آیا برای آموزش مدلهای هوش مصنوعی استفاده میشوند؟
در بسیاری از سرویسهای عمومی، پاسخ دقیق این پرسشها برای سازمان قابل مشاهده یا قابل کنترل نیست. بنابراین، پس از ارسال اطلاعات، کنترل سازمان بر چرخه حیات آن دادهها کاهش مییابد.
۳. نقض قوانین حریم خصوصی و الزامات انطباق (Compliance)
بسیاری از صنایع تحت قوانین سختگیرانهای در زمینه حفاظت از دادهها فعالیت میکنند.
برای مثال:
- بانکها
- شرکتهای بیمه
- مراکز درمانی
- شرکتهای مخابراتی
- سازمانهای دولتی
اگر اطلاعات مشتریان یا دادههای شخصی بدون مجوز در یک سرویس هوش مصنوعی پردازش شود، ممکن است سازمان با مشکلات حقوقی و الزامات انطباق مواجه شود.
حتی اگر هیچ نشت اطلاعاتی رخ ندهد، صرف انتقال داده به محیطی خارج از سیاستهای سازمان میتواند با الزامات امنیتی و حاکمیتی در تضاد باشد.
۴. افشای مالکیت فکری (Intellectual Property Leakage)
در بسیاری از شرکتهای فناوری، ارزشمندترین دارایی، تجهیزات یا ساختمانها نیستند؛ بلکه دانش فنی، طراحی محصولات و کدهای نرمافزاری هستند.
حال تصور کنید یک توسعهدهنده برای رفع یک خطا، هزاران خط از کد اختصاصی شرکت را در یک ابزار AI وارد کند.
یا تیم تحقیق و توسعه، مستندات طراحی محصول جدید را برای دریافت پیشنهادهای بهتر در یک مدل زبانی بارگذاری کند.
در چنین شرایطی، مهمترین دارایی فکری سازمان ممکن است بدون هیچ مکانیزم کنترلی از محیط داخلی خارج شود.
۵. تولید اطلاعات نادرست (AI Hallucination)
یکی دیگر از خطراتی که کمتر به آن توجه میشود، اعتماد بیش از حد به خروجی هوش مصنوعی است.
مدلهای زبانی همیشه پاسخ صحیح تولید نمیکنند. گاهی اطلاعات نادرست، منابع ساختگی یا تحلیلهای اشتباه ارائه میدهند؛ پدیدهای که به آن Hallucination گفته میشود.
اگر کارکنان بدون بررسی صحت اطلاعات، خروجی AI را مستقیماً در گزارشهای مدیریتی، قراردادها، مستندات فنی یا تصمیمهای تجاری استفاده کنند، احتمال بروز خطاهای جدی افزایش مییابد.
بنابراین، Shadow AI فقط تهدیدی برای امنیت نیست؛ بلکه میتواند کیفیت تصمیمگیری سازمان را نیز تحت تأثیر قرار دهد.
۶. افزایش سطح حمله (Attack Surface)
هر ابزار جدیدی که بدون مدیریت وارد سازمان شود، سطح حمله را افزایش میدهد.
افزونههای مرورگر، اپلیکیشنهای ناشناس، ابزارهای تولید محتوا یا سرویسهای AI که از منابع نامعتبر دانلود شدهاند، ممکن است دارای آسیبپذیریهای امنیتی یا مجوزهای دسترسی بیش از حد باشند.
در چنین شرایطی، تیم امنیت حتی از وجود این ابزارها نیز اطلاع ندارد و نمیتواند آنها را ارزیابی یا کنترل کند.
۷. تصمیمگیری بر اساس دادههای ناقص یا سوگیرانه
یکی از مزایای هوش مصنوعی، تحلیل سریع اطلاعات است؛ اما اگر دادههای ورودی ناقص باشند یا مدل مورد استفاده دچار سوگیری باشد، خروجی نیز میتواند گمراهکننده باشد.
برای مثال، اگر مدیر فروش تنها بر اساس تحلیل یک ابزار هوش مصنوعی درباره بازار تصمیمگیری کند، بدون آنکه دادههای داخلی سازمان را نیز در نظر بگیرد، احتمال اتخاذ تصمیمهای نادرست افزایش پیدا میکند.
به همین دلیل، خروجی AI باید ابزار کمکی تصمیمگیری باشد، نه جایگزین قضاوت کارشناسان.
۸. ایجاد نسخههای متعدد و کنترلنشده از اطلاعات
یکی از پیامدهای کمتر دیدهشده Shadow AI، تکثیر فایلها و اطلاعات حساس است.
کاربران ممکن است:
- فایل را دانلود کنند.
- نسخه ویرایششده را ذخیره کنند.
- آن را در سرویس دیگری بارگذاری کنند.
- از طریق ایمیل شخصی ارسال کنند.
در نتیجه، یک سند محرمانه ممکن است در چندین مکان مختلف ذخیره شود و مدیریت یا حذف کامل آن تقریباً غیرممکن شود.
آیا باید استفاده از هوش مصنوعی را ممنوع کرد؟
پاسخ کوتاه خیر است.
تجربه سازمانهای بزرگ نشان داده است که ممنوعیت کامل ابزارهای هوش مصنوعی معمولاً نتیجه معکوس دارد. زمانی که کاربران احساس کنند ابزار موردنیازشان در اختیارشان نیست، از حسابهای شخصی، نسخههای رایگان یا سرویسهای ناشناخته استفاده میکنند و همین موضوع میزان Shadow AI را افزایش میدهد.
راهکار مؤثر، کنترل، آموزش و حاکمیت است، نه ممنوعیت.
سازمانهایی که سیاستهای روشن برای استفاده از AI تدوین میکنند، دادهها را طبقهبندی میکنند، ابزارهای مورد تأیید را در اختیار کارکنان قرار میدهند و استفاده از آنها را پایش میکنند، میتوانند هم از مزایای هوش مصنوعی بهره ببرند و هم ریسکهای آن را به حداقل برسانند.
چگونه Shadow AI را در سازمان شناسایی کنیم؟
یکی از بزرگترین چالشهای Shadow AI این است که برخلاف بسیاری از تهدیدهای امنیتی، معمولاً هیچ هشدار مشخصی تولید نمیکند. نه سیستمها از کار میافتند، نه سرویسها مختل میشوند و نه کاربر احساس میکند اقدام غیرعادی انجام داده است. به همین دلیل، ممکن است ماهها استفاده از ابزارهای هوش مصنوعی در یک سازمان ادامه داشته باشد، بدون آنکه واحد فناوری اطلاعات یا امنیت اطلاعات از آن مطلع باشد.
واقعیت این است که اکثر سازمانها میزان استفاده از هوش مصنوعی را کمتر از مقدار واقعی برآورد میکنند. زمانی که بررسیهای دقیق روی ترافیک شبکه یا فعالیت کاربران انجام میشود، معمولاً مشخص میشود دهها سرویس AI در حال استفاده هستند که هیچکدام در فهرست نرمافزارهای مورد تأیید سازمان قرار ندارند.
به همین دلیل، اولین گام در مدیریت Shadow AI، شناسایی است. تا زمانی که ندانید کاربران از چه ابزارهایی استفاده میکنند، نمیتوانید برای کاهش ریسک آنها برنامهریزی کنید.
بررسی لاگهای شبکه (Network Logs)
سادهترین نقطه شروع، تحلیل لاگهای شبکه است.
تقریباً تمام درخواستهای کاربران به سرویسهای هوش مصنوعی از طریق اینترنت انجام میشود. بررسی ترافیک خروجی میتواند مشخص کند که کاربران به چه دامنههایی متصل میشوند و میزان استفاده از هر سرویس چقدر است.
برای مثال ممکن است مشخص شود که کارکنان بهصورت روزانه از سرویسهایی مانند:
- ChatGPT
- Gemini
- Claude
- Perplexity
- Cursor AI
- GitHub Copilot
- Midjourney
- Runway
استفاده میکنند، در حالی که هیچکدام از این ابزارها تاکنون در سازمان ارزیابی امنیتی نشدهاند.
استفاده از Secure Web Gateway
بسیاری از سازمانهای بزرگ، تمام ترافیک اینترنت کاربران را از طریق Secure Web Gateway عبور میدهند.
این راهکار علاوه بر ثبت فعالیت کاربران، میتواند:
- سرویسهای AI را شناسایی کند.
- دسترسی به سرویسهای غیرمجاز را مسدود کند.
- میزان استفاده هر واحد سازمانی را نمایش دهد.
- گزارشهای امنیتی تولید کند.
به این ترتیب، تیم امنیت دید مناسبی نسبت به استفاده واقعی از ابزارهای هوش مصنوعی خواهد داشت.
استفاده از CASB
یکی از مهمترین فناوریها برای مدیریت Shadow AI، Cloud Access Security Broker (CASB) است.
CASB میان کاربران و سرویسهای ابری قرار میگیرد و امکان مشاهده، کنترل و اعمال سیاستهای امنیتی روی سرویسهای Cloud را فراهم میکند.
در حوزه Shadow AI، یک راهکار CASB میتواند:
- سرویسهای AI مورد استفاده را کشف کند.
- میزان ریسک هر سرویس را ارزیابی کند.
- دسترسی کاربران را مدیریت کند.
- از بارگذاری اطلاعات حساس جلوگیری کند.
- هشدارهای امنیتی ایجاد کند.
به همین دلیل، CASB امروزه یکی از مهمترین ابزارهای مدیریت Shadow AI محسوب میشود.
استفاده از Data Loss Prevention (DLP)
حتی اگر سازمان تصمیم بگیرد استفاده از برخی ابزارهای AI را مجاز اعلام کند، همچنان باید از خروج اطلاعات حساس جلوگیری کند.
اینجاست که سامانههای Data Loss Prevention (DLP) نقش کلیدی پیدا میکنند.
یک راهکار DLP میتواند تشخیص دهد که آیا کاربر قصد ارسال اطلاعاتی مانند موارد زیر را دارد یا خیر:
- شماره ملی
- اطلاعات بانکی
- اطلاعات مشتریان
- اطلاعات سلامت
- قراردادها
- اسناد مالی
- کدهای نرمافزاری
- اطلاعات محرمانه سازمان
در صورت شناسایی چنین اطلاعاتی، سیستم میتواند:
- ارسال اطلاعات را متوقف کند.
- هشدار نمایش دهد.
- رویداد را ثبت کند.
- مدیر امنیت را مطلع کند.
به این ترتیب، حتی اگر کاربر از یک سرویس مجاز استفاده کند، همچنان از خروج دادههای حساس جلوگیری خواهد شد.
تحلیل رفتار کاربران (UEBA)
گاهی مشکل در خود ابزار نیست، بلکه در الگوی استفاده کاربران است.
برای مثال:
- کاربری که قبلاً هرگز از سرویسهای AI استفاده نمیکرد، ناگهان روزانه صدها درخواست ارسال میکند.
- توسعهدهندهای حجم زیادی از فایلهای کد را بارگذاری میکند.
- کارمند واحد مالی شروع به ارسال فایلهای Excel به سرویسهای هوش مصنوعی میکند.
- کاربر خارج از ساعات اداری از ابزارهای AI استفاده میکند.
راهکارهای User and Entity Behavior Analytics (UEBA) با تحلیل رفتار کاربران، این تغییرات غیرعادی را شناسایی کرده و به تیم امنیت هشدار میدهند.
استفاده از SIEM
سازمانهایی که از سامانههای Security Information and Event Management (SIEM) استفاده میکنند، میتوانند اطلاعات مربوط به Shadow AI را از منابع مختلف جمعآوری و تحلیل کنند.
برای مثال، SIEM میتواند اطلاعات دریافتی از این منابع را با یکدیگر ترکیب کند:
- Firewall
- Proxy
- CASB
- DLP
- Endpoint Security
- Microsoft 365
- Secure Web Gateway
در نتیجه، تیم امنیت یک دید یکپارچه نسبت به فعالیت کاربران و سرویسهای AI خواهد داشت و میتواند الگوهای مشکوک را سریعتر شناسایی کند.
چگونه هوش مصنوعی سایه را کنترل کنیم؟
شناسایی تنها نیمی از مسیر است. مهمتر از آن، ایجاد سازوکاری است که استفاده از هوش مصنوعی را از یک ریسک پنهان به یک قابلیت کنترلشده و قابل مدیریت تبدیل کند.
برخلاف تصور رایج، بهترین راهکار مقابله با Shadow AI مسدود کردن همه سرویسهای هوش مصنوعی نیست. چنین تصمیمی معمولاً نتیجه معکوس دارد و کاربران را به استفاده از حسابهای شخصی یا ابزارهای ناشناخته سوق میدهد.
سازمانهای موفق به جای ممنوعیت، بر AI Governance تمرکز میکنند.
۱. تدوین سیاست رسمی استفاده از هوش مصنوعی
اولین اقدام، تدوین یک سیاست شفاف است که مشخص کند:
- استفاده از چه ابزارهایی مجاز است؟
- چه اطلاعاتی هرگز نباید وارد AI شوند؟
- مسئولیت کاربران چیست؟
- چه واحدی بر اجرای این سیاست نظارت میکند؟
کاربران نباید مجبور باشند درباره این موارد حدس بزنند؛ قوانین باید شفاف، مستند و قابل دسترس باشند.
۲. طبقهبندی اطلاعات
تمام دادههای سازمان ارزش یکسانی ندارند.
برای مثال:
- اطلاعات عمومی
- اطلاعات داخلی
- اطلاعات محرمانه
- اطلاعات بسیار محرمانه
باید مشخص شود که هر دسته از اطلاعات، تحت چه شرایطی و در چه ابزارهایی قابل استفاده است. بسیاری از مشکلات Shadow AI زمانی رخ میدهد که کاربران تفاوت میان یک سند عمومی و یک سند محرمانه را درک نمیکنند.
۳. ارائه ابزارهای سازمانی و امن
اگر کارکنان به ابزارهای مناسب دسترسی نداشته باشند، معمولاً به نسخههای رایگان یا شخصی روی میآورند.
بنابراین، بهتر است سازمان در صورت نیاز، نسخههای سازمانی ابزارهای هوش مصنوعی را با قابلیتهای امنیتی، مدیریت کاربران و سیاستهای حریم خصوصی مناسب در اختیار کارکنان قرار دهد.
۴. آموزش مستمر کارکنان
فناوری بهتنهایی نمیتواند Shadow AI را کنترل کند.
کاربران باید بدانند:
- چه اطلاعاتی را نباید وارد ابزارهای AI کنند.
- چگونه Promptهای ایمن بنویسند.
- چگونه اطلاعات حساس را شناسایی کنند.
- چه زمانی باید از واحد فناوری اطلاعات مشاوره بگیرند.
در بسیاری از سازمانها، آموزش مستمر مؤثرتر از اعمال محدودیتهای شدید بوده است.
AI Governance مهمترین راهکار برای مدیریت Shadow AI
اگر از مدیران امنیت اطلاعات بپرسید که بهترین راهکار مقابله با Shadow AI چیست، احتمالاً پاسخ آنها یک ابزار امنیتی خاص نخواهد بود. تجربه سازمانهای بزرگ نشان داده است که هیچ محصولی بهتنهایی نمیتواند این چالش را برطرف کند. راهحل واقعی، ایجاد یک چارچوب مدیریتی است که مشخص کند هوش مصنوعی چگونه، توسط چه افرادی و با چه محدودیتهایی در سازمان استفاده شود. این چارچوب با عنوان AI Governance شناخته میشود.
AI Governance مجموعهای از سیاستها، فرآیندها، کنترلهای امنیتی و الزامات نظارتی است که تضمین میکند استفاده از هوش مصنوعی در سازمان بهصورت ایمن، مسئولانه و مطابق با قوانین انجام شود. هدف این چارچوب جلوگیری از استفاده از AI نیست؛ بلکه ایجاد تعادل میان نوآوری، بهرهوری و امنیت اطلاعات است.
سازمانهایی که AI Governance را بهدرستی پیادهسازی میکنند، به جای اینکه دائماً در حال شناسایی و مقابله با Shadow AI باشند، از ابتدا مسیر استفاده صحیح از هوش مصنوعی را برای کارکنان مشخص میکنند.
اجزای اصلی AI Governance
یک چارچوب AI Governance موفق معمولاً شامل بخشهای زیر است:
- سیاست رسمی استفاده از هوش مصنوعی
- طبقهبندی اطلاعات قابل استفاده در AI
- تعیین ابزارهای مجاز سازمان
- کنترل دسترسی کاربران
- ثبت و پایش فعالیتها
- مدیریت ریسک
- آموزش مستمر کارکنان
- ممیزی و بازبینی دورهای
این موارد در کنار هم باعث میشوند که استفاده از AI به یک فرآیند کنترلشده تبدیل شود، نه یک فعالیت پنهان و غیرقابل نظارت.
بهترین ابزارهای مدیریت Shadow AI
کنترل Shadow AI بدون استفاده از ابزارهای مناسب، در سازمانهای متوسط و بزرگ تقریباً غیرممکن است. خوشبختانه بسیاری از تولیدکنندگان راهکارهای امنیتی، قابلیتهایی برای شناسایی و مدیریت استفاده از هوش مصنوعی ارائه کردهاند.
جدول زیر برخی از مهمترین ابزارهای سازمانی را نشان میدهد.
| ابزار | کاربرد اصلی |
|---|---|
| Microsoft Defender for Cloud Apps | شناسایی سرویسهای Shadow AI، تحلیل ریسک و کنترل دسترسی |
| Microsoft Purview | طبقهبندی اطلاعات، Data Governance و Data Loss Prevention |
| Microsoft Defender XDR | تحلیل تهدیدها و ارتباط رویدادهای امنیتی |
| Netskope | CASB، کنترل دسترسی به سرویسهای Cloud و AI |
| Zscaler Internet Access | کنترل ترافیک اینترنت و اعمال سیاستهای امنیتی |
| Palo Alto Prisma Access | Secure Access Service Edge (SASE) و مدیریت دسترسی |
| Splunk | جمعآوری لاگها، تحلیل امنیتی و شناسایی رفتارهای غیرعادی |
| IBM QRadar | SIEM و تحلیل رویدادهای امنیتی |
| CrowdStrike Falcon | حفاظت از Endpoint و تحلیل رفتار کاربران |
نکته مهم این است که هیچیک از این ابزارها بهتنهایی مشکل Shadow AI را حل نمیکنند. آنها زمانی بیشترین اثربخشی را دارند که در کنار سیاستهای امنیتی، آموزش کاربران و فرآیندهای حاکمیتی استفاده شوند.
نقش نسخههای Enterprise ابزارهای هوش مصنوعی
یکی از اشتباهات رایج سازمانها این است که تمام ابزارهای هوش مصنوعی را به یک اندازه پرریسک میدانند. در عمل، میان نسخههای عمومی و نسخههای سازمانی تفاوتهای مهمی وجود دارد.
نسخههای Enterprise معمولاً امکاناتی مانند موارد زیر را ارائه میکنند:
- مدیریت هویت کاربران
- احراز هویت یکپارچه (SSO)
- ثبت کامل فعالیتها
- کنترل دسترسی مبتنی بر نقش (RBAC)
- رمزنگاری دادهها
- تنظیم سیاستهای امنیتی
- مدیریت کاربران
- قابلیت ممیزی (Audit)
- تعهدات مشخصتر در زمینه حریم خصوصی و پردازش دادهها
به همین دلیل، اگر سازمان قصد استفاده گسترده از هوش مصنوعی را دارد، انتخاب نسخههای سازمانی معمولاً انتخابی منطقیتر از استفاده کارکنان از حسابهای شخصی و رایگان خواهد بود.
اشتباهات رایج سازمانها در مدیریت Shadow AI
بررسی تجربه شرکتهای مختلف نشان میدهد که بسیاری از سازمانها، بدون آنکه متوجه باشند، با تصمیمهای نادرست خود باعث گسترش Shadow AI میشوند.
ممنوع کردن کامل هوش مصنوعی
اولین واکنش بسیاری از مدیران، مسدود کردن تمام سرویسهای AI است.
این تصمیم در ظاهر امنیت را افزایش میدهد، اما در عمل معمولاً نتیجه عکس دارد. کاربران از تلفن همراه، اینترنت شخصی یا حسابهای شخصی استفاده میکنند و سازمان دید خود را نسبت به فعالیت آنها از دست میدهد.
نداشتن سیاست مشخص
برخی سازمانها نیز هیچ قانونی برای استفاده از AI ندارند.
در چنین شرایطی هر کاربر بر اساس برداشت شخصی خود تصمیم میگیرد که:
- چه اطلاعاتی را وارد کند.
- از چه ابزاری استفاده کند.
- چه فایلهایی را بارگذاری کند.
این وضعیت یکی از مهمترین دلایل شکلگیری Shadow AI است.
تمرکز صرف بر فناوری
برخی مدیران تصور میکنند خرید یک ابزار امنیتی، مشکل را بهطور کامل حل خواهد کرد.
در حالی که فناوری تنها بخشی از راهکار است.
بدون آموزش، فرهنگسازی و فرآیندهای مدیریتی، حتی پیشرفتهترین محصولات امنیتی نیز نمیتوانند از اشتباهات انسانی جلوگیری کنند.
آموزش ندادن کاربران
کارمندی که نمیداند اطلاعات حقوق کارکنان، قراردادهای مشتریان یا کدهای اختصاصی نباید در یک سرویس عمومی هوش مصنوعی بارگذاری شوند، ناخواسته سازمان را در معرض ریسک قرار میدهد.
آموزش امنیت سایبری باید امروز، آموزش استفاده مسئولانه از هوش مصنوعی را نیز در بر بگیرد.
نادیده گرفتن موضوع تا وقوع حادثه
بسیاری از سازمانها تنها زمانی به فکر Shadow AI میافتند که یک حادثه امنیتی رخ داده باشد.
در حالی که مدیریت ریسک، همواره ارزانتر و مؤثرتر از واکنش به یک رخداد امنیتی است.
چکلیست پیادهسازی سیاست مدیریت هوش مصنوعی در سازمان
اگر قصد دارید استفاده از هوش مصنوعی را در سازمان بهشکل اصولی مدیریت کنید، اقدامات زیر میتواند نقطه شروع مناسبی باشد:
- شناسایی تمام سرویسهای AI مورد استفاده در سازمان
- ارزیابی ریسک هر سرویس
- تدوین سیاست رسمی استفاده از هوش مصنوعی
- طبقهبندی اطلاعات بر اساس میزان حساسیت
- ممنوع کردن بارگذاری اطلاعات محرمانه در سرویسهای عمومی
- استقرار راهکارهای DLP و CASB
- پایش مستمر فعالیت کاربران
- ارائه نسخههای سازمانی ابزارهای AI در صورت نیاز
- آموزش مستمر کارکنان
- بازبینی و بهروزرسانی سیاستها متناسب با تغییرات فناوری
این اقدامات، سازمان را از رویکرد واکنشی به رویکرد پیشگیرانه منتقل میکنند و احتمال تبدیل شدن هوش مصنوعی به یک تهدید پنهان را به میزان قابل توجهی کاهش میدهند.
جمعبندی
هوش مصنوعی دیگر یک فناوری آیندهنگرانه نیست؛ بلکه به بخشی از فعالیتهای روزمره سازمانها تبدیل شده است. از تولید محتوا و تحلیل داده گرفته تا برنامهنویسی، پشتیبانی مشتریان و تهیه گزارشهای مدیریتی، ابزارهای مبتنی بر AI توانستهاند بهرهوری کارکنان را به شکل قابلتوجهی افزایش دهند. اما همین مزیت بزرگ، اگر بدون سیاستهای مشخص و کنترلهای امنیتی مورد استفاده قرار گیرد، میتواند به یکی از مهمترین ریسکهای فناوری اطلاعات تبدیل شود.
Shadow AI زمانی شکل میگیرد که کارکنان بدون اطلاع یا تأیید واحد فناوری اطلاعات، از ابزارهای هوش مصنوعی برای پردازش اطلاعات سازمانی استفاده کنند. نکته مهم این است که در اغلب موارد، این رفتار با نیت مخرب انجام نمیشود؛ بلکه هدف کاربران صرفاً انجام سریعتر کارها و افزایش کیفیت خروجی است. با این حال، بارگذاری اسناد محرمانه، اطلاعات مشتریان، گزارشهای مالی یا کدهای اختصاصی در سرویسهای عمومی AI میتواند پیامدهایی مانند نشت اطلاعات، نقض الزامات انطباق، افشای مالکیت فکری و کاهش کنترل سازمان بر دادههای حساس را به همراه داشته باشد.
راهکار مقابله با Shadow AI
ممنوع کردن کامل استفاده از هوش مصنوعی نیست. تجربه سازمانهای پیشرو نشان داده است که محدودیتهای سختگیرانه معمولاً باعث میشود کاربران به ابزارهای شخصی یا سرویسهای ناشناخته روی بیاورند و در نتیجه، میزان ریسک حتی بیشتر شود. رویکرد مؤثر، ایجاد تعادل میان امنیت و بهرهوری است؛ یعنی فراهم کردن ابزارهای مورد تأیید، تدوین سیاستهای شفاف، آموزش کاربران، طبقهبندی دادهها و استفاده از راهکارهایی مانند DLP، CASB، SIEM و AI Governance برای نظارت و مدیریت استفاده از هوش مصنوعی.
در نهایت، سازمانهایی که از امروز برای مدیریت Shadow AI برنامهریزی میکنند، در آینده نهتنها از ریسکهای امنیتی و حقوقی فاصله خواهند گرفت، بلکه میتوانند با اطمینان بیشتری از ظرفیتهای هوش مصنوعی برای افزایش بهرهوری، نوآوری و خلق ارزش استفاده کنند. در مقابل، سازمانهایی که این موضوع را نادیده بگیرند، ممکن است بدون آنکه متوجه باشند، مهمترین دارایی خود یعنی دادهها را در معرض تهدید قرار دهند.
سوالات متداول (FAQ)
Shadow AI چیست؟
Shadow AI به استفاده از ابزارها و سرویسهای هوش مصنوعی بدون تأیید، نظارت یا مدیریت رسمی واحد فناوری اطلاعات سازمان گفته میشود. این استفاده معمولاً با هدف افزایش بهرهوری انجام میشود، اما در صورت نبود سیاستهای مناسب میتواند ریسکهای امنیتی ایجاد کند.
آیا استفاده از ChatGPT یا سایر ابزارهای هوش مصنوعی همیشه Shadow AI محسوب میشود؟
خیر. اگر سازمان استفاده از یک ابزار را تأیید کرده باشد، سیاستهای امنیتی مشخصی برای آن تعریف کرده باشد و کاربران مطابق این سیاستها از آن استفاده کنند، دیگر Shadow AI محسوب نمیشود. مشکل زمانی ایجاد میشود که ابزارها خارج از چارچوبهای سازمانی مورد استفاده قرار گیرند.
مهمترین خطر Shadow AI چیست؟
مهمترین خطر، نشت ناخواسته اطلاعات حساس سازمان است. علاوه بر آن، افشای مالکیت فکری، نقض قوانین حریم خصوصی، کاهش کنترل بر دادهها و استفاده از اطلاعات نادرست تولیدشده توسط هوش مصنوعی نیز از ریسکهای مهم این پدیده هستند.
آیا ممنوع کردن کامل هوش مصنوعی راهکار مناسبی است؟
خیر. تجربه بسیاری از سازمانها نشان داده است که ممنوعیت کامل معمولاً باعث افزایش استفاده از حسابهای شخصی و ابزارهای خارج از کنترل سازمان میشود. بهترین رویکرد، تدوین سیاستهای استفاده، آموزش کاربران و پیادهسازی AI Governance است.
چگونه میتوان Shadow AI را در سازمان کنترل کرد؟
ترکیبی از اقدامات مدیریتی و فنی بهترین نتیجه را ایجاد میکند. تدوین سیاست استفاده از AI، طبقهبندی اطلاعات، آموزش کارکنان، استفاده از نسخههای سازمانی ابزارهای هوش مصنوعی و بهرهگیری از راهکارهایی مانند DLP، CASB، SIEM و Secure Web Gateway از مهمترین اقدامات در این زمینه هستند.
امنیت هوش مصنوعی سازمان خود را قبل از وقوع اولین نشت اطلاعات تضمین کنید
با گسترش استفاده از هوش مصنوعی در سازمانها، امنیت اطلاعات دیگر تنها به فایروال، آنتیویروس یا کنترل دسترسی محدود نمیشود. امروزه سازمانها به راهکارهایی نیاز دارند که بتوانند همزمان از نوآوری مبتنی بر AI بهره ببرند و از دادههای ارزشمند خود نیز محافظت کنند.
تیم توسعه فناوری اطلاعات لاندا با تجربه در حوزه امنیت اطلاعات، Data Governance، هوش تجاری، زیرساختهای مایکروسافت و راهکارهای سازمانی، به کسبوکارها کمک میکند تا چارچوبی امن برای استفاده از هوش مصنوعی طراحی و پیادهسازی کنند.
خدمات لاندا در این حوزه شامل:
- ارزیابی ریسک Shadow AI در سازمان
- طراحی و استقرار AI Governance
- تدوین سیاستهای استفاده از هوش مصنوعی
- پیادهسازی راهکارهای DLP، SIEM و CASB
- مشاوره امنیت اطلاعات و Data Governance
- آموزش کاربران و مدیران برای استفاده ایمن از ابزارهای AI
اگر سازمان شما نیز در مسیر استفاده از هوش مصنوعی قرار گرفته است، اکنون بهترین زمان برای ایجاد یک چارچوب استاندارد و ایمن است؛ پیش از آنکه Shadow AI به یک چالش امنیتی و مدیریتی تبدیل شود.


No comment