为什么最精通AI的员工,反而在悄悄使用违规工具?

具有讽刺意味的是，最了解AI的员工，往往恰恰是那些违规使用未经授权的AI工具的人，因此，CIO们正在重新审视治理策略、培训体系和工具选型，试图在员工的自主探索与安全管控之间找到平衡。

去年，一位在某即时通讯应用工作的工程师在TeamBlind(一个面向已认证技术从业者的匿名论坛)上发了一个问题：是不是每家公司都限制了ChatGPT、Claude和Gemini的使用——还是只有他所在的公司这样？

他所在的公司禁止使用这些工具后，提供了一个基于ChatGPT搭建的内部替代方案，但这位工程师并不满意，因为它拖慢了他的工作节奏。“基本没什么用。”他说。

这个帖子很快就收到了来自其他公司技术人员的大量回复，他们也有同样的不满：公司批准的AI工具要么限制极多，要么被砍掉了许多实用功能。

一周后，同一位工程师回到论坛，分享了一个变通方案，他利用一个基于WebAssembly的大语言模型引擎，成功地在浏览器中完整运行了一个编程模型，对话内容存储在本地，不会产生任何外发网络流量，雇主无从察觉。“编程愉快，“他在论坛上写道，”有需求请私信我。”

通常，最清楚生成式AI能力的员工，也最有可能绕过甚至打破企业内部的使用规定。工程师们——或许还有些出人意料——以及其他接受过强制AI培训的员工，往往不把官方设置的防护栏视为严格的边界，而更多地看作是为了提速必须克服的障碍。LexisNexis最近的一份报告显示，接受过AI培训的员工中有74%在使用未经授权的AI工具，而未接受培训的员工中这一比例仅为17%。

“问题的核心在于员工能力与企业级工具之间的落差，”Nexis Solutions的产品副总裁Dani McCormick 说，“对AI工具了解越多的人，越倾向于在工作中尝试并融入这些工具。”

培训似乎消除了员工最初对生成式AI可能存在的犹豫，而这种犹豫本可能成为采用的障碍。“关键不在于培训制造了风险，而在于它比许多企业的应对准备更快地激发了需求。”McCormick补充道。

综合来看，CIO们需要在鼓励AI应用和管控工具使用方式之间走好钢丝，这是一项艰巨的任务，需要重新思考。随着员工对生成式AI越来越得心应手，包括一刀切式禁令在内的传统做法可能已经不再奏效，甚至适得其反。

更有成效的做法是化“影子AI”为机遇，宝洁公司的CIO Seth Cohen 表示，员工使用受限的AI工具，也可能说明他们看到了价值并试图加快工作节奏。“机会在于把这些实践经验引入一套适合公司且可扩展的体系中。”他说。

但对许多CIO而言，如何构建这样的体系本身就是一项挑战——他们既要承受鼓励实验的压力，又要保护敏感数据，同时还要在日益碎片化的AI格局中保持管控。

企业在AI使用方面面临的最大挑战之一，是各业务部门之间的应用水平参差不齐。有些团队已将AI深度融入日常工作流程，而另一些团队仍持观望态度或干脆不参与。

“这种不平衡往往正是未授权使用最明显的地方，也是实现更好对齐的最大机会所在。”McCormick 说。

缩小这一差距的方法之一，是开展涵盖AI使用的技术层面和伦理层面的实操培训，这些培训应教会员工如何将经过授权的AI工具融入日常工作，同时解释为什么使用这些官方平台至关重要——从保护敏感数据、确保合规，到在整个企业内保持透明度和可追溯性。

“当员工能在日常工作中实际运用所学内容时，培训效果最好，无论是改善决策、加速创新，还是强化执行。”Cohen说。

培训应覆盖所有人，而不仅限于技术人员，因为生成式AI工具正在走向主流，而缺乏正式技术背景的员工也在越来越多地自行尝试——这一趋势已被许多CIO注意到。

“我估计大约有30%未接受培训的员工出于好奇在探索各项能力。”底特律市CIO Art Thompson说。他补充道，真正的重点应该是赋能员工负责任地使用技术。“否则，影子生态系统只会不断扩大，我们的可见度会比现在更低。”

一个扎实的AI培训项目需要同时解决判断力、治理和信任问题，同时让员工对企业本身、合作伙伴以及AI工具所运行的更广泛生态系统有更全面的认识。员工需要理解自己的选择如何影响数据安全、客户信任、监管合规和业务关系。

Thompson发现，许多员工仍然不了解AI供应商如何获取信息，也不知道应如何验证输出结果。“有规则是个好的开始，但人们需要理解如何负责任地使用这些工具的指导原则，”他说，“让业务部门接受治理框架并成为信息技术文化的一部分，是帮助塑造这种认知的好方法。”

多位CIO认为，规则的执行应当审慎。“如果员工担心因为尝试AI而受到处分，他们不会停止使用，只会藏得更深，”AI治理、风险与合规平台LogicGate的CEO兼联合创始人Matt Kunkel说，“相反，企业应当营造一种让员工可以放心披露AI使用情况而不必担心受罚的环境，并奖励那些主动报告潜在AI风险的员工。”

设计更好的培训项目和更强的治理框架只是挑战的一半，企业还需要解决员工转向影子AI的根本原因——他们在寻找能帮助自己更快工作、减少日常任务中摩擦的工具。

在很多情况下，如果有人愿意自掏腰包购买AI工具，那可能意味着他们从企业的官方系统中得不到所需的东西。

“这既是一个风险问题，也是一个被错失的机会，”UKG的CIO Prakash Kota说，“影子AI正是在员工准备好做的事和企业允许他们做的事之间的缝隙中生长的。”

Kota 认为，这应被视为一个更好地了解员工真正想实现什么、以及官方工具在哪些方面存在不足的机会。

IT服务提供商Blue Mantis的CIO Richard Amos赞同这一思路。“一般来说，我会先了解经过批准的工具是否难用、功能是否受限、或是部署是否太慢，”他说，“如果确实如此，员工自然会去找替代方案，人们天生就会寻找把工作做得更好的方法。”

Amos补充说，在大多数情况下，使用未经授权AI工具的员工并无恶意。影子AI的出现往往不是因为对抗，而是出于好奇、沮丧或想要更快完成工作的愿望。“一旦理解了使用场景，就可以作为一个机会，提交到AI治理委员会审议，并考虑纳入待办事项。”Amos 说。

关注员工暗中使用的AI工具，也能帮助CIO在问题演变成更大的治理或安全事件之前，及时发现新兴趋势。对员工实验有可见度的企业，往往能更好地判断哪些工具是员工真正觉得有用的。

“你也能在新工具一出现时就捕捉到它们，”安全提供商Everon Solutions的CIO Ryan Fritts说。

一些企业在意识到员工正转向未经授权的替代品来填补现有系统的空白后，已经升级了自己的AI工具，但仅仅提供经过批准的工具还不够，这些平台还需要保持足够的灵活性和适应性，以便随着员工需求和AI创新的快速步伐一同演进。“没有人会热衷于在一个使用过时模型的平台上构建数字解决方案。”Cohen说。

有些企业甚至允许员工在多个最新的商用基础模型中自行选择，从而给予他们更大的灵活性，另一些企业则提供安全的AI环境，让员工可以放心地进行实验。

“在框架内允许自由，并确保将主动获得的经验沉淀下来，以改进整体平台能力。”Cohen说。

根本挑战在于找到规则与自由之间的恰当平衡，给员工足够的空间将AI有效融入工作，同时保持必要的监管。CIO们需要建立允许团队学习、又不让企业暴露于不必要风险的体系和文化。

与其在新的AI应用上无休止地猜测，企业或许可以从聚焦自身数据中获得更大的收益。

“真正能推动局面的工作在于数据层面——搞清楚数据存储在哪里，并能够实时对其执行策略，”Fritts说，“把数据治理做对了，大部分影子AI带来的恐慌自然就会平息。”

如果您在企业IT、网络、通信行业的某一领域工作，并希望分享观点，欢迎给企业网D1net投稿。

投稿邮箱：

editor@d1net.com

合作电话：

010-58221588（北京公司）

021-51701588（上海公司） 

合作邮箱：

Sales@d1net.com