Saya telah menyaksikan ini terjadi di organisasi nyata, dan jujur saja, saat ini agak berantakan.

Tim pemasaran Anda memasukkan data pelanggan ke ChatGPT gratis. Insinyur Anda menempelkan kode rahasia ke debugger AI acak. Dan tidak ada yang memberi tahu TI. Studi menunjukkan 71% karyawan melakukan ini, dan 57% secara aktif menyembunyikannya dari tim keamanan.

Inilah yang membuat saya tidak bisa tidur: ini bukan niat jahat. Orang-orang ini hanya berusaha bekerja lebih cepat. Masalahnya adalah bahwa alat AI gratis beroperasi dengan model yang sama sekali berbeda dari perangkat lunak perusahaan. Ketika Anda menempelkan data ke versi gratis, Anda tidak hanya mendapatkan bantuan—Anda memberi makan jalur pelatihan. Kode itu, daftar pelanggan itu, dokumen strategi itu? Sekarang menjadi bagian dari bobot model. Anda tidak bisa menghapusnya. Anda tidak bisa melupakannya.

Ingat Samsung tahun 2023? Insinyur menempelkan kode sumber sensitif ke ChatGPT untuk mengoptimalkannya. Kode itu terserap ke dalam data pelatihan. Selesai.

Tapi di sinilah masalahnya menjadi lebih buruk. Jika tim Anda memproses data pelanggan Eropa melalui alat AI berbasis AS tanpa perjanjian yang tepat, Anda kemungkinan besar melanggar GDPR saat ini. Dan ketika karyawan menggunakan AI yang tidak diverifikasi untuk membuat laporan atau hasil kepada klien dan modelnya... malah berbuat sesuatu yang tidak benar? Tiba-tiba Anda berhadapan dengan informasi palsu yang disajikan sebagai fakta kepada klien. Itu bukan hanya masalah teknis—itu bencana reputasi yang menunggu terjadi. AI tidak tahu perbedaan antara akurasi dan fabrikasi, dan orang yang menggunakannya pun tidak.

Masalah utama adalah apa yang saya sebut sebagai kesenjangan tata kelola. Melarang alat ini tidak berhasil. Itu hanya mendorong penggunaannya ke bawah tanah. Anda membutuhkan pendekatan yang berbeda.

Secara teknis, Anda bisa mendeteksi beberapa hal ini. Pemantauan DNS dapat menangkap lalu lintas ke OpenAI, Anthropic, Midjourney. Aturan DLP bisa menandai saat kode atau PII ditempelkan ke antarmuka chat. Tapi detektor terbaik? Orang-orang Anda. Mereka akan memberi tahu apa yang mereka gunakan jika mereka tidak takut dihukum.

Berikut kerangka kerja yang benar-benar efektif:

Pertama, terbitkan daftar izinkan/larang yang jelas. Jujur jika Anda belum memiliki alat yang disetujui. Terapkan aturan DLP untuk domain berisiko tinggi. Kirim memo dari pimpinan yang menyatakan bahwa AI itu berguna, tetapi alat gratis berbahaya.

Kedua, buat kebijakan formal dengan tiga tingkat: Izinkan alat perusahaan yang terverifikasi, Pantau alat risiko rendah untuk data non-sensitif, Tolak alat yang melatih model dengan data Anda atau tidak memiliki standar keamanan. Latih tim tentang apa yang penting untuk peran mereka.

Ketiga, terapkan kontrol browser untuk membatasi domain AI yang tidak sah. Cari gateway AI yang dapat menghapus PII secara real-time sebelum data mencapai penyedia model.

Keempat, bentuk tim tata kelola AI yang bertemu secara rutin untuk meninjau alat dan risiko baru. Mudahkan karyawan mengajukan permintaan alat baru agar tata kelola tidak menjadi hambatan.

Tapi ingat: semua ini tidak akan berhasil jika Anda tidak memberi orang sesuatu yang lebih baik. Mereka menggunakan alat gratis karena alat tersebut bekerja. Karena nyaman.

Model BYOK (Bring Your Own Key) menarik di sini. Membawa Kunci Sendiri berarti organisasi Anda membeli akses API langsung dari penyedia seperti OpenAI atau Anthropic, lalu menghubungkannya ke platform yang memberi karyawan satu antarmuka untuk mengakses beberapa model. Anda mengendalikan kunci API, sehingga data mengalir sesuai ketentuan Anda. Tidak ada pelatihan pada data Anda. Penglihatan penuh. Kepatuhan penuh.

Itulah cara Anda benar-benar menghentikan shadow AI. Bukan dengan melarangnya. Tapi dengan menjadikan jalur aman sebagai jalur termudah.

Karyawan yang menempelkan data ke ChatGPT bukan berusaha membocorkan IP. Mereka hanya berusaha melakukan pekerjaan mereka. Masalahnya bukan ketidakpatuhan—tapi pasar bergerak lebih cepat daripada pengadaan perusahaan. Perbaiki itu, dan Anda memperbaiki risikonya.