Gần 90% các chuyên gia bảo mật sử dụng các công cụ AI không được phê duyệt tại nơi làm việc. Những người nhận thức rõ nhất về rủi ro chính là những người đang chấp nhận chúng. Không phải vì họ liều lĩnh. Mà vì bộ công cụ được phê duyệt không thể theo kịp. Các truy vấn được gửi đến các mô hình bên thứ ba, các phản hồi được dán vào tài liệu, và cơ sở hạ tầng của công ty không bao giờ thấy điều đó. Không có nhật ký. Không có hồ sơ truy cập. Không có dấu vết. Khi bộ phận tuân thủ hỏi "nhân viên đã nhập gì vào những mô hình này," không có câu trả lời. Không phải vì ai đó đã giấu nó. Mà vì không ai xây dựng hệ thống để ghi lại điều đó. Chính sách sẽ không khắc phục được khoảng trống hạ tầng. @sofia_numbers đã nói điều này một thời gian: quản trị cần một lớp nguồn gốc. Một hồ sơ về những công cụ đang được sử dụng và những gì chúng đang chạm vào, trước khi câu hỏi kiểm toán xuất hiện. Chính sách tốt hơn sẽ không giải quyết được vấn đề. Hạ tầng tốt hơn sẽ.