보안 전문가의 거의 90%가 업무에서 승인되지 않은 AI 도구를 사용합니다. 위험을 가장 잘 알고 있는 사람들이 바로 그 위험을 감수하는 사람들입니다. 그들이 무모해서가 아닙니다. 승인된 시스템이 따라가지 못하기 때문입니다. 쿼리는 타사 모델로 전송되고, 응답은 문서에 붙여넣어지지만, 회사 인프라는 이를 전혀 볼 수 없습니다. 로그도 없고, 접근 기록도 없고, 추적할 방법도 없습니다. 컴플라이언스 담당자가 "직원들이 이 모델에 무엇을 입력했습니까?"라고 물으면 답할 수 없습니다. 누군가 숨겼기 때문이 아닙니다. 아무도 이를 기록할 시스템을 구축하지 않았기 때문입니다. 정책만으로는 인프라의 허점을 해결할 수 없습니다. @sofia_numbers는 오랫동안 이 점을 강조해 왔습니다. 거버넌스에는 출처 추적 계층이 필요합니다. 감사 질문이 나오기 전에 어떤 도구가 사용되고 있고, 어떤 데이터에 접근하는지에 대한 기록이 필요합니다. 더 나은 정책으로는 해결되지 않습니다. 더 나은 인프라가 필요합니다.