ในยุคที่เทคโนโลยี AI (Artificial Intelligence) เข้ามามีบทบาทสำคัญในการขับเคลื่อนเศรษฐกิจและการทำงาน พนักงานในองค์กรต่างต้องเร่งปรับตัวเพื่อเพิ่มทักษะ (Upskill) และเรียนรู้ทักษะใหม่ (Reskill) เพื่อรักษาความสามารถในการแข่งขัน อย่างไรก็ตาม ภายใต้ความสะดวกสบายและการเพิ่มประสิทธิภาพการทำงานนั้น มีภัยเงียบที่ซ่อนอยู่ นั่นคือ “Shadow AI”
เรื่องนี้ อ.ปริญญา หอมเอนก กรรมการผู้ทรงคุณวุฒิ ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และกรรมการผู้ทรงคุณวุฒิในคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่าปัจจุบันผู้บริหารระดับสูงทั่วโลกกำลังให้ความกังวลอย่างมากเกี่ยวกับเรื่อง “Shadow AI” หรือการที่พนักงานนำ AI มาใช้ในการทำงานโดยที่องค์กรยังไม่มีนโยบายรองรับอย่างเป็นทางการ หรือ ยังไม่มีการควบคุมดูแลจากฝ่ายไอที (1st Line) รวมถึงยังไม่มีนโยบายที่ชัดเจนจาก Risk/Compliance (2nd Line) และ ยังไม่มีการตรวจสอบจากฝ่ายตรวจสอบภายใน (3rd Line) ด้วย
Shadow AI คืออะไร?
ปัญหา Shadow AI คือ การที่พนักงานบริษัทใช้ AI tools เช่น ChatGPT, Claude, Gemini, Copilot, AI coding tools หรือ AI summarizer ต่าง ๆ ในงานองค์กร โดยไม่ได้รับอนุมัติหรือไม่มีการกำกับดูแลจาก IT / Security / Compliance
ประเด็นสำคัญคือ Shadow AI ไม่ได้แปลว่า “AI ไม่ดี” แต่คือ AI ที่องค์กรมองไม่เห็น ควบคุมไม่ได้ และตรวจสอบย้อนหลังยาก
Shadow AI คือส่วนต่อขยายของ Shadow IT (การแอบใช้ซอฟต์แวร์หรือบริการภายนอก เช่น Google Drive หรือ Dropbox โดยไม่ผ่านการอนุมัติจากองค์กร) แต่มีความซับซ้อนและน่ากังวลกว่ามาก เพราะเน้นที่การนำข้อมูลสำคัญขององค์กรไปประมวลผลผ่านระบบ AI ภายนอก
“ปัญหานี้เกิดจากความไม่ตั้งใจของพนักงาน ประเด็นสำคัญคือ การที่องค์กรยังไม่มีกฎระเบียบหรือคำแนะนำ (Guidelines) ที่ชัดเจน ในขณะที่พนักงานจำเป็นต้องใช้ AI เพื่อช่วยให้งานรวดเร็วและมีคุณภาพมากขึ้น”
ความน่ากลัวของ Shadow AI
ความเสี่ยงที่น่ากลัวที่สุดของ Shadow AI คือ การรั่วไหลของข้อมูล (Data Leakage) โดยไม่ตั้งใจ ตัวอย่างที่เห็นได้ชัดคือการใช้ Public AI (เอไอสาธารณะ) อย่าง ChatGPT ในการเขียนอีเมลหาลูกค้า โดยพนักงานใส่ข้อมูลชื่อ นามสกุล หรือรายละเอียดความลับของลูกค้าลงไปเพื่อให้ AI ช่วยเกลาข้อความให้สวยงาม ข้อมูลเหล่านี้จะถูกนำไปฝึกฝนโมเดล (Train Model) ทำให้องค์กรสูญเสียอธิปไตยทางข้อมูล (AI Sovereignty) หรือสูญเสียอำนาจในการควบคุมข้อมูลของตนเองไปอย่างถาวร
นอกจากนี้ ยังมีการพบกรณีที่พนักงานอัปโหลด Source Code ของบริษัท หรือไฟล์ข้อมูลเงินเดือนพนักงานเพื่อให้ AI ช่วยวิเคราะห์และทำกราฟ ซึ่งเหตุการณ์ลักษณะนี้เคยเกิดขึ้นกับบริษัทระดับโลกมาแล้ว
ในด้านความถูกต้องของข้อมูล AI มักเกิดอาการ Hallucinate (การหลอนของเอไอ) หรือการให้คำตอบที่ดูน่าเชื่อถือแต่ผิดพลาดจากความเป็นจริง หากพนักงานนำคำตอบที่ผิดพลาดนั้นไปส่งให้ลูกค้าโดยไม่ตรวจสอบ จะส่งผลเสียต่อความน่าเชื่อถือขององค์กรอย่างรุนแรง อีกทั้งยังมีประเด็นเรื่องการปฏิบัติตามกฎระเบียบ เช่น กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ยกตัวอย่างเช่น หากมีการนำภาพเอกซเรย์ที่มีชื่อคนไข้ติดอยู่ไปให้ AI วิเคราะห์โดยไม่มีการคัดกรองข้อมูลส่วนบุคคลออกก่อน องค์กรอาจมีความผิดทางกฎหมายทันที
ความท้าทายในยุค AI Agent
ความท้าทายจะยิ่งทวีความรุนแรงขึ้นเมื่อเข้าสู่ยุคของ AI Agent (เอไอที่สามารถทำงานแทนมนุษย์ได้โดยอัตโนมัติ) ซึ่งน่ากลัวกว่าการใช้งาน AI แบบเดิมมาก เพราะ AI Agent สามารถเข้าถึงข้อมูลในเครื่องคอมพิวเตอร์ หรือเข้าถึงเซิร์ฟเวอร์ฐานข้อมูลของบริษัทได้โดยตรง แม้ผู้ให้บริการ AI บางรายจะระบุว่าเป็นเวอร์ชันสำหรับองค์กร จะไม่นำข้อมูลไปเทรนโมเดลก็ตาม แต่ในเชิงธุรกิจที่มีการแข่งขันกันอย่างรุนแรง ก็ไม่มีอะไรการันตีได้ 100% ว่าข้อมูลความลับของเราจะไม่ถูกนำไปใช้ประโยชน์ในทางใดทางหนึ่ง
นอกจากความเสี่ยงด้านข้อมูลแล้ว ยังมีเรื่องของ Intellectual Property (ทรัพย์สินทางปัญญา) ข้อมูลหรือภาพที่ AI สร้างขึ้นมาอาจไปละเมิดลิขสิทธิ์ของผู้อื่นโดยที่เราไม่รู้ตัว เนื่องจากโมเดลถูกฝึกมาด้วยข้อมูลที่อาจไม่ได้ขออนุญาตอย่างถูกต้อง ในต่างประเทศเริ่มมีการฟ้องร้องและเรียกคืนปริญญาบัตรในกรณีที่พบว่าวิทยานิพนธ์ถูกเขียนขึ้นด้วย AI ซึ่งไปคัดลอกงานวิจัยของผู้อื่นมาอีกทอดหนึ่ง สิ่งเหล่านี้สะท้อนให้เห็นว่าการใช้ AI โดยปราศจากการควบคุมนั้นมีต้นทุนแฝงที่มหาศาล
สรุปความเสี่ยงหลักจากปัญหา Shadow AI
- ทำให้ข้อมูลรั่วไหลโดยไม่รู้ตัว: พนักงานอาจนำข้อมูลลูกค้า สัญญา Source Code เอกสารลับ หรือข้อมูลส่วนบุคคลไปใส่ใน AI สาธารณะ
- อาจละเมิดกฎหมายและ Compliance: อาจกระทบ PDPA, GDPR, data residency, สัญญาลูกค้า หรือข้อกำหนดอุตสาหกรรม
- ความลับทางธุรกิจและ IP รั่วไหล: เช่น Source code, pricing model, strategy, proposal, financial model
- คำตอบ AI ผิดแต่ถูกนำไปใช้จริง: AI อาจ hallucinate ทำให้เกิดการตัดสินใจผิด โดยเฉพาะงานกฎหมาย การเงิน ความปลอดภัย และการแพทย์
- เกิด Agentic AI Risk: เมื่อ AI agent เชื่อมกับ email, drive, database, workflow หรือ API อาจทำงานผิด ลบข้อมูล ส่งข้อมูลผิด หรือเข้าถึงเกินสิทธิ์
Gartner ระบุว่า Shadow AI เป็นหนึ่งใน Emerging risks สำคัญขององค์กร และ Microsoft แนะนำให้ใช้นโยบายควบคุม Data leakage ไปยัง AI tools อย่างเป็นขั้นตอน
ตัวอย่างที่อาจเกิดขึ้นได้ในองค์กร
- พนักงานเอาไฟล์ลูกค้าไปสรุปใน AI ฟรี
- นักพัฒนาระบบเอา source code ไป debug บน AI ภายนอก
- ฝ่ายขายใช้ AI เขียน proposal โดยใส่ข้อมูลความลับ และราคา
- HR ใช้ AI วิเคราะห์ CV โดยไม่มีการประเมิน bias หรือ PDPA
- ฝ่ายบัญชีใช้ AI ช่วยวิเคราะห์ตัวเลขโดยไม่มีการตรวจทาน
แนวทางแก้ ปัญหา Shadow AI
แนวทางการแก้ไขปัญหา Shadow AI ไม่ใช่การสั่งห้ามใช้ เพราะการห้ามจะทำให้พนักงานแอบใช้และยิ่งควบคุมได้ยากขึ้น องค์กรต้องเลือกทางสายกลางด้วยการสร้างระบบ AI Governance (การธรรมาภิบาลเอไอ) ที่แข็งแกร่ง โดยเริ่มจากการกำหนดนโยบายการใช้งานที่ยอมรับได้ (Acceptable Use Policy – AUP) และการทำ AI Risk Assessment (การประเมินความเสี่ยงจากการใช้เอไอ)
การติดตั้ง AI Gateway (ประตูสัญญาณควบคุมการใช้เอไอ) เป็นอีกหนึ่งโซลูชันทางเทคนิคที่สำคัญ เพื่อคัดกรองและตรวจสอบว่าพนักงานกำลังอัปโหลดข้อมูลที่มีความสำคัญหรือ Sensitive Data (ข้อมูลที่ละเอียดอ่อน) ขึ้นไปบนระบบ AI หรือไม่ ระบบนี้จะช่วยเตือนหรือบล็อกการกระทำที่เสี่ยงต่อความมั่นคงของข้อมูล ในขณะเดียวกัน องค์กรควรจัดอบรม AI Awareness Training (การสร้างความตระหนักรู้ด้านเอไอ) เพื่อให้พนักงานเข้าใจว่าสิ่งใดทำได้และสิ่งใดไม่ควรทำ
สรุปแนวทางป้องกันปัญหา Shadow AI
องค์กรควรทำ 5 เรื่องดังนี้
- ประกาศ AI Acceptable Use Policy: ระบุชัดว่าอะไรใช้ได้ อะไรห้ามใช้ ข้อมูลประเภทใดห้ามใส่ใน AI ห้ามส่งตรงๆให้ AI วิเคราะห์
- จัดหา AI ที่องค์กรอนุมัติให้ใช้แบบถูกต้อง ผ่าน AI Gateway: เช่น AI Gateway ที่มีการควบคุมเชื่อมโยงกับ Enterprise AI ที่มี data protection, logging, access control และไม่ถูกบริษัทผู้ให้บริการ AI เอาข้อมูลไป train model
- ทำ AI Asset Inventory: สำรวจว่าองค์กรใช้ AI tools อะไรอยู่ ใครใช้ ใช้กับข้อมูลประเภทใด
- ใช้ DLP / CASB / Proxy / Browser Control: ป้องกันการ upload ข้อมูลลับไปยัง AI tools ที่ไม่ได้รับอนุญาต
- อบรมพนักงานแบบ practical ไม่ใช่แค่ AI Awareness ธรรมดา ต้องแสดงตัวอย่างให้เห็นชัดเจน: ไม่ใช่แค่บอกว่า “ห้ามใช้ AI” แต่ต้องสอนว่าใช้อย่างไรให้ปลอดภัยโดยการแสดงให้ดู
สำหรับองค์กรที่ต้องการก้าวไปสู่มาตรฐานสากล การนำมาตรฐาน ISO/IEC 42001:2023 (มาตรฐานระบบการจัดการปัญญาประดิษฐ์) มาปรับใช้จะช่วยให้ผู้บริหารและลูกค้ามั่นใจได้ว่าองค์กรมีการบริหารจัดการ AI ที่มีประสิทธิภาพและปลอดภัย ฝ่ายตรวจสอบ (Audit) และฝ่ายบริหารความเสี่ยงต้องทำงานเชิงรุกมากขึ้น ไม่ปล่อยให้การใช้ AI เป็นหน้าที่ของพนักงานหน้างานเพียงอย่างเดียวโดยไม่มีการกำกับดูแล
ท้ายที่สุดนี้ การทำงานร่วมกับ AI ต้องยึดหลัก Human-in-the-loop (การให้มนุษย์อยู่ในกระบวนการตัดสินใจและตรวจสอบ) เสมอ ตัวอย่างเช่น การให้ AI ช่วยสรุปเนื้อหาหรือร่างบทความ แต่ต้องมีทีมบรรณาธิการหรือมนุษย์คอยตรวจสอบความถูกต้องและเกลาภาษาให้เป็นธรรมชาติก่อนเผยแพร่
“ผู้บริหารต้องตระหนักว่า Shadow AI ไม่ใช่แค่เรื่องของเทคโนโลยี แต่เป็นเรื่องของความมั่นคงและอธิปไตยขององค์กรที่ต้องรีบจัดการก่อนที่ภัยเงียบนี้จะสร้างความเสียหายเกินกว่าจะเยียวยา” อ.ปริญญา กล่าวปิดประเด็นสำคัญ
