Shadow AI: como evitar que a inteligência artificial vire uma inimiga
Com o crescimento do uso da IA generativa nas empresas, o departamento de TI precisa criar uma rotina para evitar o seu uso desorganizado
O crescimento no uso de ferramentas de inteligência artificial generativa dentro das empresas está levando ao crescimento de outro fenômeno, o do shadow AI. O termo é uma analogia ao conhecido shadow IT, que surgiu como uma forma de classificar o uso de tecnologias utilizadas nas sombras, sem prévia aprovação ou gestão do departamento de TI.
"No caso do shadow AI, a pessoa utiliza uma ferramenta de IA no ambiente de trabalho sem a homologação ou gestão anterior por parte da área de TI da empresa", explica André Assis, CEO da XLab, empresa de tecnologia que oferece diferentes ferramentas para a rotina de um negócio.
quando alguém divide uma informação com a IA para que ela entenda o contexto e apresente o resultado, esse dado se torna público.
Entre os principais motivos para o crescimento na utilização de inteligência artificial nos mais diferentes departamentos estão o aumento da produtividade e a otimização das tarefas do dia a dia, além de encontrar ferramentas que facilitem ou produzam a entrega final. Com isso, perde-se um pouco do controle e monitoramento do uso desses recursos.
Há uma questão ainda mais perigosa que envolve o shadow AI: o aspecto democratizante da IA generativa. "A nova safra de ferramentas requer pouco conhecimento técnico ou especializado fora das artes obscuras da engenharia de prompts", explica Abhishek Gupta, fundador e pesquisador do Montreal AI Ethics Institute, em artigo para o Tech Policy Press.
"Isso faz com que milhares de 'flores desabrochem' em toda a organização. Assim, departamentos que até então usavam pouca tecnologia podem se tornar focos para uso de IA. Dado que são necessários poucos recursos financeiros e técnicos para utilizar a IA generativa, isso pode escapar à detecção pela gestão e pelos controles tradicionais", explica.
O principal risco do shadow AI é o vazamento de informações. É que, quando alguém divide uma informação com a inteligência artificial para que ela entenda o contexto e apresente o resultado, esse dado se torna público. Dessa forma, a ferramenta pode disponibilizar a informação para terceiros, que estão fora do domínio da organização.
Esse tipo de atividade pode gerar um risco de quebra de regras de compliance e das normas estabelecidas em contratos ao expor informações confidenciais da companhia.
Como são necessários poucos recursos financeiros e técnicos para utilizar a IA generativa, isso pode escapar aos controles tradicionais.
Um exemplo é o caso Samsung, ocorrido em maio. Na ocasião, uma equipe de engenheiros inseriu um código confidencial no ChatGPT. Por conta disso, a companhia proibiu o uso da plataforma no ambiente de trabalho.
"A falta de conhecimento sobre como a tecnologia funciona e quais são os impactos na estrutura interna da organização podem gerar grandes crises e, em alguns casos, irreversíveis", diz Assis.
Outro ponto importante é o uso das informações geradas por essas ferramentas. "Sem uma análise prévia da veracidade e da precisão – uma vez que as ferramentas ainda estão aprendendo e podem cometer erros – esse uso pode ser um risco. Assim, há a possibilidade de gerar desinformação dentro da companhia", diz o executivo.
COMO COMBATER O SHADOW AI
É importante que a empresa realize auditorias regulares com as lideranças das áreas de governança de TI e cibersegurança para identificar o uso de IA e evitar o shadow AI. Ao mesmo tempo, é crucial uma estratégia que envolva criação, aplicação e conscientização sobre políticas e normas internas.
Assis indica três grandes pilares para a prevenção de shadow AI nas empresas:
1. Gerenciamento: mapeamento de ferramentas de IA disponíveis no mercado e que são relevantes e seguras para as tarefas desempenhadas no dia a dia da companhia.
2. Governança: a empresa precisa ter controle sobre as ferramentas que estão sendo utilizadas dentro da área de TI ou de uma possível área específica para IA. Além disso, é papel dessas áreas definir os responsáveis pela homologação de ferramentas e entender como estão sendo utilizadas dentro da companhia.
3. Comunicação: não dá para se limitar a proibir o uso da inteligência artificial no ambiente de trabalho. É importante ter um sistema de comunicação aberta sobre o tema (AI Open Communication) para aumentar a transparência e o senso de responsabilidade por parte dos funcionários.
