人工智能资产清单是开展AI 治理的坚实基础

未经授权的人工智能使用是一颗定时炸弹。昨天还不被认为是风险的工具可能会在一夜之间引入新的人工智能功能。

首席信息安全官必须以闪电般的速度适应快速变化的人工智能格局。如DeepSeek 只是实践中的最新例子——一种新的“最新最棒”工具出现并迅速登上下载排行榜榜首。DeepSeek是我国推出的一系列人工智能工具中的最新一款。

未经授权的人工智能使用是一颗定时炸弹。员工将人工智能工具集成到他们的工作中，有时会在不知情的情况下将敏感数据暴露给第三方模型。而且它也是高度动态的——昨天还不被认为是风险的工具可能会在一夜之间引入新的人工智能功能。那么该怎么办呢？我们一起看看国外关于人工智能资产清单的探讨。

必要且强制

首先要建立AI资产清单，因为没有它，组织就会盲目行事，暴露敏感数据并忽略关键的合规风险。现在，已成为强制性要求，因为欧盟 AI法案、ISO 42001和NIST AI风险管理框架 (AI RMF) 等监管框架将此作为一项基本要求。

定义什么是人工智能是一项挑战。欧盟人工智能法案采用了极其广泛的方法，几乎涵盖了其范围内的所有内容。组织必须确定哪些内容适用于他们——他们应该监控每个人工智能增强功能还是优先考虑生成式人工智能工具、大型语言模型和内容创建系统？将重点缩小到特定的人工智能类别可以使这项任务更易于管理。

识别影子人工智能

不仅仅是监管，第三方供应商评估也越来越多地要求AI清单，通常将其称为“审计”或“服务目录”。然而，除了合规之外，如果组织不清楚员工正在使用的 AI 工具，就无法建立有意义的治理。有效的治理不仅限于正式购买的工具——它涉及识别已经成为日常工作流程一部分的影子 AI。

尽管人工智能资产追踪非常重要，但追踪仍然很困难。大多数组织都依赖过时或无效的方法来识别人工智能的使用情况，而传统的 IT 治理工具则无法满足需求。

现存六种最流行的编目方法

组织有六种方法：

• 基于采购的跟踪——可有效监控新的 AI 收购，但无法检测到添加到现有工具中的 AI 功能或员工对没有商业协议的工具的使用。
• 手动日志收集——分析网络流量和日志有助于识别与 AI 相关的活动，尽管这很困难、耗时并且很少全面。
• 身份和OAuth——查看Okta或Entra等提供商的访问日志有助于跟踪AI应用程序的使用情况（如适用），当然在国内也有相应的解决方案产品与厂商，能够满足身份管理。
• 云安全访问代理和 DLP - ZScaler 和 Netskope 等解决方案通过有限的 AI“类别”提供了一定的可见性，但执行政策仍然是一个挑战。
• 云安全态势管理 (CSPM) – Wiz 和其他人可以为 AWS/Google AI 的使用提供良好的见解。
• 扩展现有库存——根据风险对人工智能工具进行分类可确保与企业治理保持一致，但采用速度很快。

自动化人工工作

虽然上述方法可以成功提供不同程度的 AI 使用可见性，但它们高度手动且耗时。AI 资产清单不仅仅是编制清单，还涉及评估与 AI 采用相关的风险。安全领导者必须提出关键问题：这些工具是否从员工提供的数据中学习？他们的数据保留政策是什么？他们如何根据当地法规解决隐私问题？

这就是为什么企业正在转向使用更自动化、更可重复的方法来记录 AI 使用情况的专用工具。这些工具提供持续监控，以检测 AI 使用情况（包括个人和免费账户），并识别在数据上进行训练的应用程序。

此外，在了解了AI的使用情况后，这些工具可以帮助组织保护敏感数据免受未经批准的 AI 系统的侵害。安全团队应评估现有的保护措施，以防止员工无意中泄露机密信息。员工是否知道哪些 AI 工具可以安全使用？

确保创新与合规

人工智能治理应被视为一个机遇，而不仅仅是一项风险管理任务。在人工智能跟踪方面保持领先的组织可以积极地与员工互动，确定未满足的需求和用例，引导他们采用安全、经批准的人工智能解决方案。与人工智能委员会和高管分享这些数据的安全领导者提供了对现实世界人工智能使用的宝贵见解，超越了理论政策讨论。

随着 AI 的采用加速，未能立即采取行动的组织可能会被抛在后面。执行良好的 AI 资产清单可提供可见性、降低风险并为负责任的 AI 治理奠定坚实的基础。这使 CISO 能够引导其组织负责任地采用 AI — 确保 AI 时代的创新和合规性。

— 欢迎关注