Shadow AI 2.0: разработчики, запускающие ИИ-модели локально на ноутбуках, создают новые риски корпоративной безопасности

Рост теневого ИИ: когда локальные модели обходят корпоративное управление

Корпоративный ландшафт безопасности претерпевает скрытый, тектонический сдвиг. По мере того как мощные большие языковые модели (LLM) становятся все более компактными и эффективными, барьер для запуска высокопроизводительного ИИ фактически исчез. Сегодня разработчики и специалисты по работе с данными больше не привязаны к облачным API или корпоративным ИИ-сервисам с ограниченным доступом. Вместо этого они все чаще обращаются к локальному выводу (инференсу) на устройствах для выполнения своей работы. Хотя эта инновация обещает беспрецедентную скорость и конфиденциальность данных для отдельного пользователя, она породила серьезную проблему для ИТ-отделов и отделов безопасности: Теневой ИИ (Shadow AI).

В Creati.ai мы заметили, что демократизация моделей ИИ, часто распространяемых через такие платформы, как Hugging Face, позволила сотрудникам обходить централизованные закупки и контроль. Эта тенденция «Используй свою собственную модель» (BYOM) представляет собой значительное расширение поверхности атаки, перенося центр риска из центра обработки данных на ноутбук сотрудника.

Понимание феномена теневого ИИ

Теневой ИИ (Shadow AI) относится к внедрению и использованию сотрудниками инструментов, программного обеспечения или моделей ИИ без явного одобрения или ведома ИТ-команд и команд безопасности предприятия. В отличие от традиционного «Теневого ИТ», который часто включал облачные SaaS-приложения, теневой ИИ уникален своей опасностью, поскольку он работает полностью на локальном устройстве, зачастую будучи отключенным от инструментов сетевого мониторинга.

Почему разработчики предпочитают локальные модели

Переход к локальному выполнению обусловлен рядом практических, хотя и рискованных, потребностей разработчиков:

Выполнение без задержек: Устранение сетевых узких мест за счет локального запуска моделей.
Нулевая стоимость использования: Обход затрат на API, связанных с основными корпоративными ИИ-платформами.
Гарантия локального хранения данных: Сохранение конфиденциального кода или PII (персонально идентифицируемой информации) на локальной машине, что воспринимается как «безопаснее», чем отправка этих данных на внешний сервер.
Настройка моделей: Возможность дообучения (fine-tuning) моделей с открытыми весами для узкоспециализированных задач разработки.

Матрица корпоративных рисков

Переход к локальному выводу делает путь следования данных непрозрачным. Когда модель работает локально, традиционные инструменты предотвращения утечки данных (DLP), которые обычно предназначены для проверки трафика, входящего в корпоративную сеть и выходящего из нее, становятся фактически слепыми.

Измерение риска	Описание	Влияние на безопасность
Утечка данных	Модели могут быть обучены или дообучены на конфиденциальных внутренних наборах данных.	Утечка данных из векторов локального хранения
Наследование уязвимостей	Модели с открытым исходным кодом могут содержать вредоносные веса или бэкдор-код.	Компрометация среды локальной машины
Отсутствие управления	ИТ-отделы не имеют обзора того, какие модели развернуты и каковы их возможности.	Неспособность обеспечить соответствие требованиям или политике
Интеллектуальная собственность	Код разработки обрабатывается через непроверенные локальные движки.	Утрата проприетарной программной логики и ИС

Ключевые проблемы обеспечения безопасности ИИ на устройствах

Обеспечение безопасности среды, где норма «BYOM» (использование своей модели) стала стандартом, требует отхода от традиционной защиты по периметру. Предприятия обнаруживают, что традиционные механизмы блокировки — например, отключение определенных веб-чат-ботов — недостаточны, когда сама модель уже загружена на жесткий диск.

1. Пробел в прозрачности (Visibility Gap)

Когда рабочие нагрузки ИИ находятся на локальном оборудовании, мониторинг потоков трафика «север-юг», характерный для большинства стеков безопасности, обходится. ИТ-отделы с трудом пытаются составить опись того, что на самом деле запущено на машинах их разработчиков.

2. Проблема целостности

Как предприятие может доверять модели, загруженной из стороннего репозитория с открытым исходным кодом? Риск «отравленных» моделей, которые могут быть спроектированы для утечки информации или предоставления предвзятых результатов, возрастает. Без тщательного сканирования весов модели предприятие по сути приглашает непроверенный сторонний бинарный файл в свою основную инфраструктуру.

3. Применение политики на периферии

Соблюдение корпоративных политик использования становится экспоненциально сложнее, когда нет посредника в виде API. Компании, полагающиеся на серверные фильтры для отсеивания вредоносного или конфиденциального контента, обнаруживают, что у них нет механизма для применения этих же правил к локальной, автономной модели.

Стратегия ответственного управления ИИ

Creati.ai предполагает, что попытки полностью запретить эксперименты с локальными моделями — это проигрышная битва. Вместо этого акцент должен сместиться на создание «безопасной песочницы», которая способствует инновациям, сохраняя при этом прозрачность.

Внедрение управления инвентаризацией моделей: Относитесь к моделям ИИ как к программным активам. Организациям следует перейти к ведению реестра «одобренных» моделей, которые были проверены на предмет безопасности, соблюдения лицензионных требований и методов обработки данных.
Настройка обнаружения и реагирования на конечных точках (EDR): Команды безопасности должны настроить инструменты EDR для мониторинга специфических паттернов ресурсов, связанных с интенсивным выводом ИИ — в частности, всплесков нагрузки на GPU и аномально длительных процессов — для выявления экземпляров теневого ИИ.
Среды «песочниц» для разработчиков: Предоставление разработчикам управляемых предприятием контейнеризированных сред, где они могут запускать модели локально, но в рамках контролируемого, наблюдаемого виртуального пространства, является идеальным компромиссом между полной свободой и полным ограничением.

Будущее корпоративной безопасности ИИ

Эра централизованного контроля за потреблением ИИ стремительно заканчивается. Поскольку разработчики продолжают расширять границы того, что можно выполнять «на устройстве», политики безопасности также должны стать децентрализованными. Теневой ИИ — это симптом трения между высокоскоростной разработкой и жесткими требованиями безопасности. Решая проблему с помощью лучших инструментов, а не просто запретов, организации смогут преодолеть этот разрыв.

Проблемой предстоящего года будет не то, используют ли сотрудники локальные модели, а то, смогут ли предприятия получить прозрачность, необходимую для гарантии того, что эти модели не станут проводниками для утечек данных или компрометации безопасности. Поскольку мы продолжаем отслеживать пересечение ИИ и безопасности здесь, в Creati.ai, одно остается ясным: безопасность должна быть такой же гибкой, как и модели, которые она призвана защищать.