Gần 90% chuyên gia bảo mật sử dụng các công cụ AI chưa được phê duyệt tại nơi làm việc. Những người nhận thức rõ nhất về rủi ro lại chính là những người đang gánh chịu chúng. Không phải vì họ bất cẩn. Mà vì hệ thống được phê duyệt hiện tại không thể đáp ứng được. Các truy vấn được gửi đến các mô hình của bên thứ ba, phản hồi được sao chép vào tài liệu, và cơ sở hạ tầng của công ty không bao giờ nhìn thấy chúng. Không có nhật ký. Không có bản ghi truy cập. Không có dấu vết. Khi bộ phận tuân thủ hỏi "nhân viên đã nhập dữ liệu gì vào các mô hình này?", không có câu trả lời. Không phải vì ai đó đã che giấu nó. Mà vì không ai xây dựng hệ thống để ghi lại nó. Chính sách sẽ không khắc phục được lỗ hổng cơ sở hạ tầng. @sofia_numbers đã nói điều này từ lâu: quản trị cần một lớp nguồn gốc. Một bản ghi về những công cụ nào đang được sử dụng và chúng đang truy cập vào những gì, trước khi câu hỏi kiểm toán được đưa ra. Chính sách tốt hơn sẽ không giải quyết được vấn đề. Cơ sở hạ tầng tốt hơn sẽ giải quyết được.