सर्व यूएस सरकारी संस्थांना मानवी तंत्रज्ञानाचा वापर थांबवण्याचे आदेश देणारे फेडरल निर्देश सहा महिन्यांच्या फेज-आउट विंडोसह येतात. ही टाइमलाइन असे गृहीत धरते की एजन्सींना आधीच माहित आहे की मानववंशीय मॉडेल त्यांच्या वर्कफ्लोमध्ये कोठे बसतात. त्यापैकी बहुतेक आज तसे करत नाहीत.
बहुतेक कंपन्या तेही करणार नाहीत. कंपन्यांना काय वाटते ते त्यांनी मान्य केले आहे आणि प्रत्यक्षात उत्पादनात काय होते यामधील अंतर बहुतेक सुरक्षा नेत्यांच्या लक्षात येण्यापेक्षा जास्त आहे.
AI विक्रेता अवलंबित्व तुम्ही स्वाक्षरी केलेल्या करारावर थांबत नाही; हे तुमचे विक्रेते, तुमच्या विक्रेत्यांचे विक्रेते आणि तुमच्या टीमने खरेदी पुनरावलोकनाशिवाय स्वीकारलेले SaaS प्लॅटफॉर्मवर पसरते. बहुतेक कंपन्या या मालिकेचे कधीही नियोजन करत नाहीत.
इन्व्हेंटरी चालू नाही
जानेवारी 2026 च्या पॅनोरायच्या 200 वरिष्ठ यूएस आयटी अधिका-यांच्या सर्वेक्षणाने समस्येवर एक आकृती ठेवली: फक्त 15% लोकांनी सांगितले की त्यांच्या सॉफ्टवेअर पुरवठा साखळींमध्ये पूर्ण दृश्यमानता आहे, एका वर्षापूर्वी फक्त 3% च्या तुलनेत. 500 पेक्षा जास्त कर्मचारी असलेल्या कंपन्यांमधील 2,000 कामगारांच्या ब्लॅक वोग सर्वेक्षणानुसार, त्यांच्यापैकी 49% लोकांनी त्यांच्या नियोक्त्याच्या मंजुरीशिवाय एआय टूल्सचा अवलंब केला आहे; 69% C-suite सदस्यांनी सांगितले की ते सहमत आहेत.
येथेच अदस्तांकित AI विक्रेता अवलंबित्व जमा होते, जोपर्यंत सक्तीचे स्थलांतर प्रत्येकासाठी समस्या बनत नाही तोपर्यंत सुरक्षा टीमला अदृश्य होते.
“तुम्ही एखाद्या विशिष्ट संस्थेला दुसऱ्या आणि तिसऱ्या क्रमांकाच्या AI कॉलचा समावेश असलेला अवलंबित्व आलेख तयार करण्यास सांगितल्यास, ते दबावाखाली ते सुरवातीपासून तयार करतील,” Enkrypt AI चे मुख्य सुरक्षा अधिकारी आणि AWS चे माहिती सुरक्षाचे माजी उपाध्यक्ष मेरिट बेअर यांनी VentureBeat ला दिलेल्या एका खास मुलाखतीत सांगितले. “बहुतेक सुरक्षा सॉफ्टवेअर निश्चित मालमत्तेसाठी डिझाइन केलेले आहे. AI अधिकाधिक डायनॅमिक, सिंथेटिक आणि अप्रत्यक्ष आहे.”
जेव्हा विक्रेता संबंध रात्रभर संपतो
फेडरल सरकारने एआय प्रदात्यासह प्रयत्न केलेल्या कोणत्याही गोष्टींपेक्षा या निर्देशामुळे सक्तीचे इमिग्रेशन तयार होते. एकाच AI विक्रेत्यावर गंभीर कार्यप्रवाह चालवणाऱ्या कोणत्याही संस्थेला तो विक्रेता गायब झाल्यास समान हिशेबाचा सामना करावा लागतो.
एसHadow AI घटनांचा आता सर्व उल्लंघनांपैकी 20% वाटा आहे, ज्यामुळे उल्लंघनाच्या सरासरी खर्चात $670,000 पर्यंतची भर पडली आहे, IBM च्या 2025 चा डेटा भंग अहवालात आढळून आले आहे. तुम्ही इन्व्हेंटरी न केलेल्या पायाभूत सुविधांसाठी संक्रमण योजना लागू करू शकत नाही.
तुमचा अँथ्रोपिक सोबतचा करार कदाचित अस्तित्वात नसेल, परंतु तुमचा विक्रेता करार असू शकतो. CRM प्लॅटफॉर्म क्लॉडचा त्याच्या विश्लेषण इंजिनमध्ये समावेश करू शकतो. ग्राहक सेवा साधन ते प्रक्रिया करत असलेल्या प्रत्येक तिकिटावर कॉल करू शकते. तुम्ही त्या ऑफरवर स्वाक्षरी केली नाही, परंतु तुम्हाला ती वारशाने मिळाली आहे आणि जेव्हा विक्रेत्याचा कट स्त्रोतापर्यंत पोहोचतो तेव्हा ते त्वरीत वाहते. त्या साखळीच्या शेवटी असलेल्या संस्थेला काहीतरी खंडित होईपर्यंत किंवा अनुपालन पत्र दिसेपर्यंत अवलंबित्व अस्तित्वात आहे हे माहित नसते.
10 सर्वात मोठ्या यूएस कंपन्यांपैकी आठ क्लाउड वापरतात, अँथ्रोपिकने सांगितले. या कंपन्यांच्या पुरवठा साखळीतील कोणत्याही संस्थेला अप्रत्यक्ष मानवी संपर्क असतो, मग तो करारबद्ध असो वा नसो. AWS आणि Palantir, ज्यांच्याकडे अब्जावधीचे लष्करी करार आहेत, त्यांना पेंटागॉनचा व्यवसाय कायम ठेवण्यासाठी Anthropic सोबतच्या त्यांच्या व्यावसायिक संबंधांचे पुनर्मूल्यांकन करावे लागेल.
पुरवठा साखळीतील जोखीम ओळखणे म्हणजे पेंटागॉनसह व्यवसाय करणाऱ्या कोणत्याही कंपनीने आता हे सिद्ध केले पाहिजे की तिचा कार्यप्रवाह मानववंशशास्त्राशी तडजोड करत नाही.
“मॉडेल्स अदलाबदल करण्यायोग्य नाहीत,” बेअरने व्हेंचरबीटला सांगितले. “विक्रेते स्विच केल्याने आउटपुट स्वरूप, लेटन्सी वैशिष्ट्ये, सुरक्षा फिल्टर आणि मतिभ्रम प्रोफाइल बदलतात. याचा अर्थ केवळ कार्यक्षमताच नव्हे तर नियंत्रणे दुहेरी तपासणे.”
मी एक क्रम ओळखला आहे जो स्क्रिनिंग आणि ब्लास्ट त्रिज्या मूल्यांकनापासून सुरू होतो, वर्तणुकीशी संबंधित प्रवाह विश्लेषणाकडे जातो आणि अवलंबित्व आणि एकत्रीकरण परिवर्तनशीलतेसह समाप्त होतो. “चाव्या फिरवणे हा सोपा भाग आहे,” बेअर म्हणाला. “अंगभूत अवलंबित्व, विक्रेता SDK डीफॉल्ट आणि एजंट वर्कफ्लो उलगडणे म्हणजे जिथे गोष्टी अडकतात.”
तुमचे लॉग दाखवत नाहीत अशा अवलंबित्व
ऍक्सिओसच्या म्हणण्यानुसार संरक्षण विभागाच्या एका वरिष्ठ अधिकाऱ्याने क्लॉडपासून वेगळे होण्याचे वर्णन “गाढवातील प्रचंड वेदना” असे केले आहे. जर पृथ्वीवरील सर्वात चांगल्या संसाधनांच्या सुरक्षा एजन्सीमध्ये हे मूल्यांकन केले जात असेल, तर संघटनांच्या मुख्य माहिती सुरक्षा अधिकाऱ्यांसाठी प्रश्न सरळ आहे. तुला किती वेळ लागेल?
SaaS दत्तक घेतल्यानंतर आलेल्या सावली IT लाटेने सुरक्षा संघांना अनधिकृत तंत्रज्ञानाच्या धोक्यांबद्दल शिकवले आहे. बहुतेक अडकले. त्यांनी CASB तैनात केले, सिंगल साइन-ऑन (SSO) कडक केले आणि खर्चाचे विश्लेषण केले. साधनांनी काम केले कारण धोका दिसत होता. नवीन ऍप्लिकेशन म्हणजे नवीन लॉगिन, नवीन डेटा स्टोअर आणि लॉगमध्ये नवीन एंट्री.
AI विक्रेता अवलंबित्व त्या ट्रेस सोडत नाहीत.
“सास सह सावली आयटी काठावर दृश्यमान होती,” बेअर म्हणाला. “एआय अवलंबित्व इतर विक्रेत्यांच्या वैशिष्ट्यांमध्ये एम्बेड केलेले असते, ज्यांना सतत स्थापित करण्याऐवजी डायनॅमिकली म्हणतात, वर्तनात निर्धारवादी नसलेले आणि अस्पष्ट असतात. अनेकदा तुम्हाला माहित नसते की कोणते मॉडेल किंवा प्रदाता प्रत्यक्षात वापरले जात आहे.”
सोमवारी सकाळी चार चाली
फेडरल मार्गदर्शनाने एआय पुरवठा साखळी दृश्यमानतेची समस्या निर्माण केली नाही. ते उघड करा.
“तुम्हाला तुमची एआय इन्व्हेंटरी करण्याची गरज नाही, कारण ते खूप अमूर्त आणि खूप मंद आहे,” बेअरने व्हेंचरबीटला सांगितले. त्यात सुरक्षा नेता 30 दिवसांच्या आत अंमलात आणू शकेल अशा चार ठोस पावलांची शिफारस केली आहे.
-
नकाशा अंमलबजावणी मार्ग, विक्रेते नाही. गेटवे, एजंट किंवा ॲप्लिकेशन स्तरावरील एक साधन जे कोणत्या सेवा फॉर्म कॉल करतात, कोणत्या एंडपॉइंटवर आणि कोणते डेटा लेबले रेकॉर्ड करतात. तुम्ही थेट वापराचा नकाशा तयार करत आहात, विक्रेत्यांची स्थिर यादी नाही.
-
तुमच्याकडे आधीपासून असलेले नियंत्रण बिंदू ओळखा. तुमच्याकडे फक्त विक्रेत्याच्या सीमेवर नियंत्रण असल्यास, तुम्ही आधीच गमावले आहे. तुम्हाला प्रवेश करताना (कोणता डेटा मॉडेल्समध्ये जातो), बाहेर पडा (कसल्या आउटपुटला डाउनस्ट्रीम परवानगी आहे) आणि ऑर्केस्ट्रेशन लेयर्स जिथे एजंट आणि पाइपलाइन चालतात त्या ठिकाणी अंमलबजावणी हवी आहे.
-
तुमच्या सर्वात महत्त्वाच्या AI अवलंबित्वांवर किल टेस्ट चालवा. तुमचा सर्वात महत्त्वाचा AI विक्रेता निवडा आणि स्टेजिंग वातावरणात ते काढून टाकण्याचे अनुकरण करा. API की संपुष्टात आणा, 48 तासांचे निरीक्षण करा आणि काय खंडित होते, काय शांतपणे खराब होते आणि घटना प्रतिसाद मॅन्युअलद्वारे कव्हर न केलेल्या त्रुटी कशामुळे होतात हे दस्तऐवजीकरण करा. हा व्यायाम अवलंबित्व दर्शवेल जे तुम्हाला माहित नव्हते की अस्तित्वात आहे.
-
सबप्रोसेसर आणि फॉर्मवर विक्रेता प्रकटीकरण लागू करा. तुमचे AI विक्रेते ते कोणत्या मॉडेलवर अवलंबून आहेत, ते मॉडेल कुठे होस्ट केले आहेत आणि कोणते बॅकअप पथ अस्तित्वात आहेत याचे उत्तर देण्यास सक्षम असावे. ते करू शकत नसल्यास, ते चौथ्या पक्षाचे अंध स्थान आहे. जोपर्यंत संबंध स्थिर आहे तोपर्यंत प्रश्न विचारा. एकदा का उंबरठा गाठला की, फायदा बदलतो आणि उत्तरे खूप उशीरा येतात.
नियंत्रणाचा भ्रम
“कंपन्यांना वाटते की त्यांनी एआय विक्रेत्यांशी सहमती दर्शविली आहे, परंतु त्यांनी प्रत्यक्षात जे मान्य केले ते एक इंटरफेस आहे, प्लॅटफॉर्म नाही,” बेअरने व्हेंचरबीटला सांगितले. “वास्तविक अवलंबित्व एक किंवा दोन खोल असतात आणि तेच दबावाखाली अपयशी ठरतात.”
फेडरल अँटी-अँथ्रोपिक डायरेक्टिव्ह ही संस्थेसाठी हवामान घटना आहे. शेवटी, प्रत्येक संस्थेला त्याच्या स्वतःच्या आवृत्तीचा सामना करावा लागेल, मग प्रेरणा नियामक, करार, ऑपरेशनल किंवा भू-राजकीय असो. ज्या संस्थांनी वादळ येण्यापूर्वी त्यांची AI पुरवठा साखळी मॅप केली आहे ते पुनर्प्राप्त होतील. ज्यांच्याकडे नाही ते ओरबाडतील.
तुमची AI विक्रेता अवलंबित्वे उपवर्ग स्तरावर मॅप करा. मारण्याची चाचणी चालवा. प्रकटीकरण लागू करा. स्वतःला ३० दिवस द्या. पुढील सक्तीचे स्थलांतर सहा महिन्यांच्या चेतावणीसह येणार नाही.
