Continuamos a série que explica as principais palavras do vocabulário dos empreendedores da nova economia. São termos e expressões que você precisa saber: seja para conhecer as novas ferramentas que vão impulsionar seus negócios ou para te ajudar a falar a mesma língua de mentores e investidores. O verbete deste mês é…
SHADOW AI
O que é: Shadow AI é o termo usado para se referir ao uso da tecnologia de inteligência artificial, no ambiente corporativo, governamental ou de uma ONG, sem aprovação e supervisão organizacional — e, consequentemente, sem barreiras de proteção.
Sua prática pode ameaçar a segurança da organização, expondo informações confidenciais, propriedades intelectuais e outros ativos.
O termo pode se referir também a IAs criadas com fins escusos, explica Fabiano Nagamatsu, diretor da aceleradora Osten Moove e mestre em Administração e Inovação Tecnológica.
“É uma inteligência artificial ‘sombria’, mais clandestina, e com fins maliciosos. Ela leva as mesmas características de qualquer outra IA, porém vai acabar disseminando ataques cibernéticos, manipulação de informações e vazamento de dados.”
Origem: O termo não é novo, mas um desdobramento do Shadow IT, que, segundo definição da Gartner, refere-se a dispositivos, software e serviços de TI fora da propriedade ou controle das organizações, sejam elas empresas, órgãos governamentais ou ONGs.
O Shadow IT pode deixar o ambiente cibernético exposto, aumentando o risco de violações de dados e de infiltração de ransomware na rede.
De acordo com Relatório de Incidentes de Violação de Dados de 2023 da Verizon, mencionado pelo Tecpolicy (link no final deste texto), a prática pode gerar prejuízo às organização de mais de 1 milhão de dólares por incidente.
Com o aumento da popularidade e uso dos grandes modelos de linguagem (LLMs, na sigla em inglês), como ChatGPT e Bard, é possível dizer que o termo Shadow IT ganhou uma ampliação para enquadrar as IAs generativas.
E há motivos reais para se preocupar: segundo a Gartner, a previsão é de que 5% dos funcionários farão uso indevido das IAs nas empresas onde trabalham até 2026.
Quais os riscos: Como as IAs generativas são ferramentas de fácil uso – que geralmente não exigem um conhecimento técnico e muitas vezes contam com versões gratuitas –, elas podem ser facilmente adotadas sem critério pelos funcionários ou colaboradores de organizações.
Sem se atentarem para os termos de serviço, eles acabam introduzindo informações confidenciais no ChatGPT (ou outras ferramentas), violando compromissos de proteção de dados firmados com clientes ou parceiros das empresas e instituições em que trabalham.
O problema é que esses dados podem vir a ser usados como parte do conjunto de treinamento para a atualização do sistema da IA ou ainda gerarem respostas imprecisas e com vieses, o que acarreta questões éticas e responsabilidade legal para a organização.
Outro risco, alerta Fabiano Nagamatsu, é de os dados vazarem para terceiros, indo parar nas mãos da concorrência e deixando a empresa extremamente vulnerável:
“Imagine que um operador de marketing queira dar uma resposta mais elaborada para os clientes e insira no ChatGPT informações comerciais privilegiadas do negócio. A IA vai armazenando esses dados e, mais para frente, alguém da própria concorrência poderá se valer desta mesma base para tenta ‘derrubar’ a empresa”
O especialista ainda faz a seguinte comparação: “Hoje, uma vez que eu compartilho informações sensíveis com uma IA ou qualquer site da internet e redes sociais, estou abrindo a minha caixa preta, meus segredos para a concorrência.”
Ele também alerta que existem IAs generativas sendo criadas com esse fim “mais malicioso”, justamente para coletar informações.
“Existem empresas que lançam IAs capazes de criar um copyright para as redes sociais, por exemplo. Mas o intuito, na verdade, é formar uma base com informações privilegiadas de estratégias de desenvolvimento de produtos e serviços que talvez nem na bolsa de valores ou em documentos públicos são apresentados pelas empresas”
O site Tech Policy traz mais bom exemplo da dor de cabeça que a Shadow AI pode causar. Imagine que o RH de uma empresa decida usar, por conta própria, uma inteligência artificial para analisar currículos de candidatos. Este sistema pode fazer seleções com base em um treinamento cheio de vieses e preconceitos.
Outro caso hipotético citado no texto para exemplificar a prática do Shadow AI é o uso de ferramentas de geração de imagem por agências de publicidade. Se antes era necessário comprar uma foto ou uma ilustração, pedindo autorização e orçamento ao departamento responsável, hoje os funcionários podem simplesmente criar um prompt que gere a imagem que desejam e incorrer no risco de ela ter sido criada com base em uma obra de um artista que não concedeu o direito autoral para o treinamento da IA em questão.
Shadow AI na prática: A Shadow AI já andou causando estragos em algumas empresas. A Samsung é uma delas. Em abril deste ano, funcionários que usavam o ChatGPT acabaram vazando dados internos confidenciais. O acontecimento fez a companhia proibir temporariamente esse tipo de ferramenta no ambiente e em aparelhos corporativos.
Outras empresas da Coreia do Sul, como SK, LG e POSCO, estão buscando formas de desenvolver suas próprias diretrizes para o uso desse tipo de serviços de inteligência artificial a fim de evitar problemas, como relata o The Korea Times neste artigo.
A Amazon também baniu o uso do ChatGPT e outras IAs generativas. A big tech conta com sua própria ferramenta chamada CodeWhisperer e receia que dados particulares da empresa sejam vazados para a concorrência.
No setor financeiro, Bank of America, Citigroup, Deutsche Bank, Goldman Sachs e JP Morgan proibiram totalmente o uso do ChatGPT.
Não adianta proibir… Então, o que fazer? Simplesmente proibir a equipe de usar IA pode parecer uma boa solução, mas na prática não funciona, ainda mais diante das vantagens em termos de produtividade e aprimoramento de tarefas que muitas IAs podem trazer ao trabalho.
Fabiano Nagamatsu vê ainda o risco de a empresa vetar a utilização, os funcionários assinarem um termo… e, longe das vistas dos líderes, continuarem usando a IA.
“Hoje em dia, com o trabalho remoto, muitas pessoas estão longe dos supervisores, o que dá margem para pensarem que, sem monitoramento, podem arriscar usar uma IA”
Por isso, para coibir totalmente o uso dessa tecnologia, não basta apenas apenas proibir. A empresa precisa ser clara com o time a respeito dos motivos de restrição do uso de IAs em sua rotina, indicando os riscos (inclusive para a segurança de dados dos clientes) que sua aplicação pode acarretar.
Em outras situações, por exemplo, a companhia pode ser concorrente do sistema usado (como no caso já mencionado da Amazon), o que vale como mais um argumento a ser apontado para os colaboradores.
Para assegurar que a diretriz será cumprida, uma indicação, segundo o diretor da Osten Moove, é monitorar o uso dos equipamentos corporativos.
“O que a gente tem sugerido nas consultorias que oferecemos na área de tecnologia, principalmente quando falamos de cybersecurity, é que as empresas reformulem todas as suas políticas de privacidade, regulamentos internos de trabalho e compliance — além de criar uma camada extra de segurança, com softwares que alertam a empresa caso aconteça algo que represente algum risco”
Por ora, o uso de IAs permanece sem regulamentação. Assim, um dos melhores caminhos apontados por especialistas é incorporar o que eles chamam de “IA Responsável”.
O primeiro passo nesse sentido é abrir o diálogo para tentar entender por que os funcionários estão usando essas ferramentas. A partir daí, se líderes e gestores acharem que elas realmente são necessárias, a ideia é adotar os softwares que mais confiam; criar uma comunidade em torno do uso produtivo de LLMs, para compartilhar as experiências práticas e identificar oportunidades do uso das IAs pelo negócio; disponibilizar um manual de uso; e mitigar riscos.
Outra medida para priorizar a segurança é optar pelo acesso via API em vez de utilizar a interface nativa da IA generativa (segundo especialistas, dessa maneira há como garantir que os dados não serão usados no treinamento).
Existe ainda a opção de hospedar seu próprio grande modelo de linguagem (LLM) — criando um ou adotando uma versão de código aberto. A KPMG, por exemplo, utiliza uma versão customizada do ChatGPT chamada KymChat.
Para saber mais:
1) Leia, no Tech Policy: “Beware the Emergence of Shadow AI”;
2) Na The Shift, acesse o artigo: “Todo cuidado é pouco com a Shadow AI”;
3) Confira o texto da Bloomberg: “Nearly Half of Firms Are Drafting Policies on ChatGPT Use”;
4) Na Forbes, leia: “How To Avoid Fueling ‘Shadow AI’ With The Right Policy For Generative AI Chatbots”;
5) Saiba por que as empresas estão banindo o ChatGPT em “Many Companies Are Banning ChatGPT. This Is Why”, no Science Alert;
6) Acesse o artigo “Shadow IT is increasing and so are the associated security risks”, do CSO Online;
7) Leia na Fast Company Brasil: “Shadow AI: como evitar que a inteligência artificial vire uma inimiga”.
