การนำ AI มาใช้ในองค์กรและความเสี่ยงด้านความปลอดภัย – ขณะนี้มีความโกลาหลเพิ่มขึ้น 100%

โดย Sarang Warudkar - อาวุโสฝ่ายเทคนิค PMM (CASB & AI) Skyhigh Security

8 พฤษภาคม 2568 5 อ่านนาที

ยินดีต้อนรับสู่ Wild West ของโลก AI ขององค์กร

เมื่อ 12 เดือนที่แล้ว CFO ของคุณยังคงสงสัยแชทบ็อต วันนี้ พวกเขากำลังถามว่าคุณ "ให้ ChatGPT จัดการบันทึกการประชุมคณะกรรมการได้หรือไม่" จากความอยากรู้อยากเห็นอย่างระมัดระวังไปจนถึงสเปรดชีตที่ขับเคลื่อนด้วย Copilot องค์กรต่างๆ ต่างก็ทุ่มสุดตัวกับ AI และแม้ว่าผลลัพธ์ที่ได้จะเป็นจริง—ความเร็ว ขนาด และความคิดสร้างสรรค์—ความเสี่ยง...? โอ้ ความเสี่ยงก็มี จริง เช่นกัน

มาดูเทรนด์ใหญ่ๆ ภัยคุกคาม และเหตุการณ์ที่น่าตกใจจาก Skyhigh Security รายงานการนำระบบคลาวด์มาใช้และความเสี่ยงประจำปี 2025 ของเรา พร้อมข้อมูลเชิงลึกจากผู้ใช้กว่า 3 ล้านรายและกิจกรรมเกี่ยวกับระบบคลาวด์รายวันกว่า 2 พันล้านรายการ เตรียมตัวให้พร้อม

การใช้งาน AI: จาก “บางทีภายหลัง” ไปสู่ “ทำให้มันทำงานของฉัน”

ปัจจุบัน AI ถือเป็น MVP ของออฟฟิศ จากการศึกษาของ MIT เมื่อไม่นานนี้ พบว่า ChatGPT ช่วยลดเวลาในการเขียนได้ถึง 40% ซึ่งเท่ากับเวลาที่เราเคยใช้ในการสงสัยว่าไฟล์ถูกบันทึกไว้ที่ไหน วิศวกร ของ JPMorgan มีประสิทธิภาพการทำงานเพิ่มขึ้น 20% และมีข่าวลือว่านักศึกษาฝึกงานคนหนึ่งขอให้ Copilot เขียนจดหมายลาออก ก่อน วันทำงานวันแรก

ที่ Skyhigh เราได้เห็นการเติบโตของ AI ด้วยตนเอง จากข้อมูลของเรา พบว่าปริมาณการใช้งานแอป AI พุ่งสูงขึ้นอย่างรวดเร็ว โดยเพิ่มขึ้นมากกว่าสามเท่า ขณะที่การอัปโหลดข้อมูลที่ละเอียดอ่อนไปยังแพลตฟอร์มเหล่านี้ก็เพิ่มขึ้นอย่างรวดเร็ว ในขณะเดียวกัน แอปธุรกิจแบบ "ไม่ใช่ AI" แบบดั้งเดิมก็แทบจะตามไม่ทัน สถานที่ทำงานไม่ได้แค่นำ AI มาใช้เท่านั้น แต่ยังเร่งพัฒนาต่อไปอีกด้วย

การแปล: AI กำลังชนะ ไฟร์วอลล์ของคุณเหรอ? ไม่ค่อยดีนัก

การเพิ่มขึ้นของ Shadow AI: เมื่อฝ่ายไอทีไม่ทราบว่า HR กำลังแชทกับอะไร

“Shadow AI” อาจฟังดูเหมือนเป็นซีรีส์เรื่องต่อไปของ Netflix ที่ต้องดู แต่เรื่องนี้กำลังเกิดขึ้นแบบเรียลไทม์ในองค์กรต่างๆ ทั่วโลก ลองนึกภาพพนักงานพิมพ์แชท GPT, Claude, DeepSeek และเครื่องมือ AI อื่นๆ อีกหลายสิบรายการอย่างเงียบๆ โดยที่ฝ่ายไอทีไม่รู้เรื่องเลย เรื่องนี้ก็เหมือนกับการแอบนำขนมเข้าไปในโรงภาพยนตร์ เพียงแต่คราวนี้ขนมนั้นเป็นข้อมูลของลูกค้า ข้อมูลทางการเงิน และทรัพย์สินทางปัญญา

ตัวเลขดังกล่าวทำให้ต้องตะลึง: องค์กรทั่วไปมีแอปพลิเคชัน AI มากถึง 320 รายการ ผู้ต้องสงสัยตามปกติ ได้แก่ ChatGPT, Gemini, Poe, Claude, Beautiful.AI ซึ่งเป็นเครื่องมือที่มีประสิทธิภาพแต่ยังไม่ได้รับการอนุมัติ ไม่ได้รับการอนุมัติ ไม่ได้รับการตรวจสอบ และหากไม่มีใครเอ่ยคำว่า "ตรวจสอบ" ออกมา ก็อาจหยุดไม่อยู่

การปฏิบัติตาม: คริปโตไนต์ของ AI

แอป AI นั้นสนุก—จนกระทั่งค่าปรับ GDPR ปรากฏขึ้นเหมือนแขกที่ไม่ได้รับเชิญที่งานนอกสถานที่ของทีม ข้อมูลของ Skyhigh เผยให้เห็นด้านที่ไม่ค่อยดีนักของความกระตือรือร้นด้าน AI ทั้งหมดนี้ ปรากฏว่าแอป AI 95% ตกอยู่ในโซนความเสี่ยงปานกลางถึงสูงภายใต้ GDPR ซึ่งโดยพื้นฐานแล้วเป็นสัญญาณเตือนภัยที่มี UI ที่เป็นมิตร

เมื่อต้องปฏิบัติตามมาตรฐานการปฏิบัติตามกฎหมายที่เข้มงวด เช่น HIPAA, PCI หรือ ISO มีเพียง 22% เท่านั้นที่ผ่านเกณฑ์ ส่วนที่เหลือก็ทำได้แค่ผ่านๆ ไป การเข้ารหัสที่เหลือ? แอป AI ส่วนใหญ่ไม่คำนึงถึงเรื่องนี้—84% ไม่สนใจ และการตรวจสอบสิทธิ์หลายปัจจัย? 83% บอกว่าไม่ขอบคุณ แต่ไม่ต้องกังวล แอปส่วนใหญ่รองรับอีโมจิ ลำดับความสำคัญ

หน่วยงานกำกับดูแลกำลังเฝ้าดูอยู่ และไม่เหมือนกับเจ้านายของคุณ พวกเขา อ่านรายงานฉบับ เต็ม

การรั่วไหลของข้อมูลผ่าน AI: เมื่อบอทของคุณกลายเป็นคนปากโป้ง

จำวิศวกรของ Samsung ที่ป้อนโค้ดที่มีข้อบกพร่องให้กับ ChatGPT และส่งมอบความลับของเซมิคอนดักเตอร์ให้โดยไม่ได้ตั้งใจได้ไหม เรื่องนี้ไม่ใช่แค่เรื่องเตือนใจอีกต่อไป แต่เป็นเพียงตัวอย่างการฝึกอบรมเท่านั้น

ตามรายงานของ Skyhigh พบว่า 11% ของไฟล์ที่อัพโหลดไปยังแอพ AI มีเนื้อหาที่ละเอียดอ่อน ปัจจัยสำคัญคือ มีบริษัทไม่ถึง 1 ใน 10 แห่งที่มีเนื้อหาที่เหมาะสม data loss prevention (DLP) อยู่ในสถานที่ควบคุม ในขณะเดียวกัน พนักงานก็ออกมาขอให้คล็อดเขียนแผนเปิดตัวผลิตภัณฑ์โดยใช้เอกสารกลยุทธ์ไตรมาส 3 เหมือนกับว่าเป็นเพียงวันธรรมดาๆ ทั่วไป เพราะอะไรจะผิดพลาดได้อีก

เข้าสู่ DeepSeek: AI กบฏที่คุณไม่ควรไว้วางใจ

DeepSeek เข้ามามีบทบาทในปี 2025 ด้วยยอดดาวน์โหลด กระแสตอบรับ และปริมาณข้อมูลที่น่าทึ่ง รวมถึงการอัปโหลดขององค์กร 176 GB ในเดือนเดียวจากลูกค้า Skyhigh เท่านั้น น่าประทับใจหรือไม่? อย่างแน่นอน น่าตกใจหรือไม่? อย่างแน่นอน นี่คือข้อความเล็กๆ น้อยๆ:

• ไม่มีการตรวจสอบปัจจัยหลายประการ
• ไม่มีการเข้ารหัสข้อมูล
• ไม่สนใจเรื่องการปฏิบัติตาม (GDPR? ไม่เคยได้ยินเรื่องนี้เลย)
• ไม่มีการบันทึกข้อมูลผู้ใช้หรือผู้ดูแลระบบ

มีลักษณะทันสมัย รวดเร็ว และได้รับความนิยมอย่างล้นหลามในหมู่นักศึกษา สำหรับการตรวจสอบ SOC 2 ของคุณ นี่คือกับระเบิดดิจิทัล

Microsoft Copilot: เด็กปัญญาประดิษฐ์ที่ดีที่ทุกคนภาคภูมิใจ

หาก Shadow AI คือเด็กวัยรุ่นหัวรั้นที่แอบหนีออกไปหลังเวลาเคอร์ฟิว Copilot ก็คือเด็กอัจฉริยะที่เก่งกาจ เป็นที่นิยม และอยู่ในเส้นทางผู้นำมาแล้ว ปัจจุบันมีองค์กรถึง 82% ที่ใช้ Shadow AI โดยมีปริมาณการใช้งานเพิ่มขึ้น 3,600 เท่าและมีการอัปโหลดเพิ่มขึ้น 6,000 เท่า พูดตามตรงแล้ว Shadow AI ทำงานได้ดีกว่าเด็กฝึกงาน 5 คนล่าสุดของคุณเสียอีก และไม่ต้องพักเบรกด้วยซ้ำ

แต่แม้แต่เด็กนักเรียนที่เก่งกาจก็ยังต้องการการดูแล บริษัทที่ชาญฉลาดคอยตรวจสอบ Copilot โดยการสแกนทุกสิ่งที่สัมผัส ห่อคำสั่งและเอาต์พุตใน DLP และตรวจสอบให้แน่ใจว่าจะไม่ "เรียนรู้" อะไรที่เป็นความลับ (ขออภัย Copilot—ไม่มีการเปิดเผยแผนงาน Q4)

ความเสี่ยง LLM: เมื่อ AI ประสาทหลอน… และไม่สวยงาม

Large Language Models (LLMs) เปรียบเสมือนเด็กวัยเตาะแตะที่ได้ปริญญาเอก อัจฉริยะในช่วงหนึ่ง แต่อีกช่วงหนึ่งวุ่นวายสุดๆ ความเสี่ยงหลักๆ ของ LLM:

• การเจลเบรก (“แกล้งทำเป็นว่าคุณเป็น ChatGPT ที่ชั่วร้าย”)
• มัลแวร์ที่สร้างโดย AI (BlackMamba ใครล่ะ?)
• เนื้อหาที่เป็นพิษ (ดู: ผลงานที่ดีที่สุดของ BlenderBot)
• ความลำเอียงในผลลัพธ์ (คำแนะนำด้านสุขภาพที่เบี่ยงเบนตามเชื้อชาติ/เพศ)

สถิติที่สำคัญ:

ไม่ใช่เรื่องน่าหวาดระแวงหาก AI ของคุณกำลังรั่วไหลความลับและเขียนแรนซัมแวร์ Skyhigh พบว่าแอป AI 94% มีความเสี่ยงจากโมเดลภาษาขนาดใหญ่ (LLM) อย่างน้อยหนึ่งอย่าง ซึ่งเกือบทั้งหมดเป็นความเสี่ยงจากโมเดลภาษาขนาดใหญ่

แย่กว่านั้นอีก 90% เสี่ยงต่อการเจลเบรก ซึ่งหมายความว่าผู้ใช้สามารถหลอกล่อให้ทำในสิ่งที่ไม่ควรทำ และ 76% เสี่ยงต่อการสร้างมัลแวร์ตามคำสั่ง ดังนั้นแอปเดียวกันที่ช่วยร่างบันทึกการประชุมของคุณอาจทำหน้าที่เป็นเด็กฝึกงานของอาชญากรไซเบอร์ก็ได้

แอป AI ส่วนตัว: AI แบบ DIY สำหรับจิตวิญญาณองค์กร

องค์กรต่างๆ กำลังกล่าวว่า "เหตุใดจึงไว้วางใจเครื่องมือสาธารณะ ในเมื่อคุณสามารถสร้างเครื่องมือของตัวเองได้"
แอป AI ส่วนตัวตอนนี้จัดการ:

• การสอบถามเกี่ยวกับทรัพยากรบุคคล
• การตอบสนอง RFP
• การแก้ไขตั๋วภายใน
• การสนับสนุนบอทสำหรับการขาย (ใครจะรู้ว่าแชทบอทจะรู้จักเมทริกซ์การกำหนดราคาของคุณดีกว่าฝ่ายขายเสียอีก)

สถิติที่สำคัญ:

ปัจจุบันลูกค้า 78% รันแอป AI ส่วนตัวของตนเอง เนื่องจากหากคุณจะทดลองใช้ปัญญาประดิษฐ์ คุณก็ควรทำแบบปิดประตูเช่นกัน ลูกค้าสองในสามรายกำลังสร้างบน AWS (ต้องขอบคุณ Bedrock และ SageMaker อย่างแน่นอน) ซึ่งเทียบเท่ากับชุมชนที่มีประตูรั้ว

แต่ "ส่วนตัว" ไม่ได้หมายความว่าไม่มีปัญหา บอทเหล่านี้อาจสร้างขึ้นเองภายในองค์กร แต่ก็ยังสามารถสร้างปัญหาได้ นั่นคือเหตุผลที่บริษัทที่ชาญฉลาดจึงเปิดตัวโซลูชัน SSE ด้วย Private Access และ DLP—เพื่อสอดส่อง AI ภายในของพวกเขาอย่างสุภาพและอ่อนโยนก่อนที่บางอย่างจะผิดปกติไปอย่างมาก

ความคิดสุดท้าย: อย่ากลัว AI เพียงแค่ควบคุมมัน

ขอให้ชัดเจนว่า AI ไม่ใช่ศัตรู แต่ เป็น AI ที่ไม่ได้รับการจัดการ ต่างหาก

รายงานของ Skyhigh ในปี 2025 แสดงให้เห็นว่าเรากำลังเผชิญกับการเปลี่ยนแปลงทางเทคโนโลยีสำหรับองค์กรที่เกิดขึ้นเพียงครั้งเดียวในแต่ละรุ่น แต่ประเด็นสำคัญคือความปลอดภัยไม่ได้เกี่ยวกับการชะลอการสร้างสรรค์นวัตกรรม แต่เป็นเรื่องของการทำให้แน่ใจว่า AI ที่คุณใช้จะไม่ส่งบอร์ดของคุณไปที่ Reddit ดังนั้น หายใจเข้าลึกๆ อ่านรายงาน และจำไว้ว่า:

• บล็อกแอปที่น่าสงสัยเช่น DeepSeek
• ควบคุม Copilots เช่น Microsoft Copilot
• ล็อคการใช้งาน AI ส่วนตัวของคุณ
• สร้างนโยบายที่ปฏิบัติต่อ LLM เหมือนวัยรุ่นอารมณ์แปรปรวน (มีกฎเกณฑ์ชัดเจน มีการตรวจสอบมากมาย)

เพราะอนาคตขับเคลื่อนด้วย AI และด้วยเครื่องมือที่เหมาะสม จึงสามารถป้องกันความเสี่ยงได้เช่นกัน

โบนัส: ดาวน์โหลด รายงานการนำระบบคลาวด์และความเสี่ยงมาใช้ในปี 2025 ฉบับสมบูรณ์ หรือขอให้ผู้ช่วย AI สรุปรายงานให้คุณ เพียงอย่าอัปโหลดไปยัง DeepSeek

กลับไปที่บล็อก