最近...嗯...有個詞好像突然變得很流行,叫「影子 AI」 [Shadow AI]。
聽起來很嚴重,好像是什麼地下組織一樣。但說穿了,不就是員工在工作上用了公司沒點頭答應的 AI 工具嗎?我自己是覺得,這反應有點太大了。想像一下,公司的系統爛得要死,連基本的文法錯誤都抓不出來,結果一個同事用自己訂閱的 ChatGPT 帳號來潤稿... 這有這麼嚴重嗎?但這件小事,在某些 IT 主管眼裡,就跟天要塌下來一樣,變成了什麼治理跟安全的重大破口。
說真的,為什麼要把每個沒經過批准的工具,都當成洪水猛獸?
所以,IT部門到底想幹嘛?
我們先退一步想。資安很重要,這沒錯。沒有人希望公司的機密資料,被餵給哪個不知名的 AI 模型,然後搞得天下大亂。這我完全懂。
但現在的感覺... 有點走偏了。這不太像謹慎的治理,反而更像在蓋一座「全景敞視監獄」(Panopticon)。
這詞是個哲學家邊沁想出來的,有點學術,但概念很簡單。就是一個圓形監獄,中間有個監視塔。從塔裡,一個警衛就能看到所有囚犯,但囚犯不知道自己當下有沒有被監視。結果就是,囚犯會因為「隨時可能被看著」,而自己管好自己的行為。用最少的力氣,達到最大的監控效果。
現在很多公司的做法,就給我這種感覺。好像每個開發者點的每個滑鼠,都在被嚴密審查,深怕你在程式碼裡偷渡什麼商業機密。這是在保護公司,還是在滿足某些人的控制慾?老實說,我分不太出來。
我們不是應該更相信自己的員工嗎?
我還記得以前... 也沒多久以前啦。一個開發團隊的基礎,是信任,還有一點點...嗯...敢於嘗試的衝勁。你找聰明的人進來,丟給他們一個難題,然後就放手讓他們去搞定。
用什麼工具?他們自己想辦法。就像《百戰天龍》裡的馬蓋先一樣,用膠帶、瑞士刀和一點祈禱,就把原型做出來了。當然,有些來路不明的免費軟體可能每週二都當機,但至少它驗證了概念是可行的,之後再換成穩定的方案就好。那些用膠帶黏起來的、亂七八糟的早期版本,才是創新的心跳啊。
現在呢?一切都要走「核准工具鏈」、軟體要「白名單」,還有一堆比小說還厚的政策文件。這樣... 創意的空間在哪裡?我們不是應該相信開發者能為眼前的釘子,挑選最適合的錘子嗎?而不是強迫他們只能用公司發的那把橡膠槌。
國外像 Gartner 這種研究機構,很喜歡從風險角度切入,把 Shadow AI 講得很可怕。但你看,就算在台灣,連公家機關(像是國科會)之前公布給行政機關的「生成式AI參考指引」,態度都比較務實。它不是說「通通不准用」,而是說「你可以用,但要小心這幾點,保護好機密資料」。這跟一竿子打翻一船船的作法,很不一樣。我自己是覺得,這種務實的態度,比製造恐慌好多了。
兩種思維的對決:控制狂 vs. 成果論
所以,問題的核心可能不是工具,而是兩種完全不同的管理哲學。一種是控制優先,另一種是... 我會叫它成果與當責(Accountability)優先。
| 評估項目 | 控制優先的 IT 團隊 | 當責優先的開發團隊 |
|---|---|---|
| 面對新工具的態度 | 「這個在我們的核准清單上嗎?沒有?那不行。」 | 「這東西能幫我更快、更好地解決問題嗎?能?太好了。」 |
| 創新的方式 | 在「允許的範圍」內進行「微創新」。嗯,就是小打小鬧。 | 先試了再說。錯了就修正,反正學到東西了。 |
| 出問題時的反應 | 第一件事:查是誰用了不合規的工具!抓戰犯。 | 第一件事:你能不能解釋清楚問題在哪?以及,你打算怎麼修好它? |
| 對開發者的信任 | 信任...很昂貴。所以我們需要政策、流程和監控。 | 我們雇你是來解決問題的,不是來當乖寶寶的。我相信你的專業判斷。 |
| 最終產出 | 符合所有規範,但可能不是最好、也肯定不是最快的解決方案。 | 一個能運作、能解決客戶問題的產品。過程可能有點混亂,但結果是好的。 |
扼殺創意的「全景監獄」
當 IT 政策變成一種歐威爾式的過度干預,它就不再是保護,而是扼殺。你扼殺了實驗精神,而這正是推動進步的燃料。
有個很有名的科學家,叫理查·漢明 [Richard Hamming],他說過:「得到一個好點子的最好方法,就是先有很多很多點子。」這句話很重要。
創新不是在框框裡畫畫,而是把一百個半生不熟的想法往牆上砸,看哪個能黏住。但如果 IT 部門緊盯著所謂的「影子 AI」,限制各種工具的使用,他們不只是擋掉了一個私用的 ChatGPT 訂閱... 他們是在掐死那個讓開發者能夠「有很多很多點子」的環境。
這真的不是在鼓吹無政府狀態。當責(Accountability)依然是最重要的事。在那個「馬蓋先」的年代,如果你用的奇怪工具把整個系統搞掛了,那是你的責任。你要解釋、你要修好它,或者,你就要準備好接受一次嚴肅的對話。這才是重點。
一個簡單到不行的想法:為你的程式碼負責
我想提出一個... 可能有點激進的想法:我們能不能就只用最基本的「當責」原則來管理團隊?
開發者的責任,就是產出好的程式碼。用什麼工具... 說真的,那是他的事。只要最後,他能為自己的產出負責就好。
如果他交出來的程式碼亂七八糟,解釋不出來為什麼這樣寫,或者 AI 生成的函式庫在正式環境上炸了... 那很好,這就是對話的時機。「嘿,大衛,這段 code 有點問題,你一直說『AI 寫的』也沒用。我們需要修正這個,不然... 可能我們就不適合繼續合作了。」
簡單、有效。根本不需要 47 頁的 AI 使用政策,也不用組一個委員會來審批每個 npm 套件。你沒辦法為你的工作成果辯護,那你就得走人。下一個。
我們真正害怕的,到底是什麼?
說到底,為什麼我們要讓自己陷入這種惡夢?各種審查會議、Sprint 回顧、沒完沒了的敏捷儀式還不夠折騰人嗎?現在又多了資安部門拿「影子 AI」來嚇唬人。
結果就是更多的限制、更多的會議、更多的空談... 但更少的程式碼。
我聽過很多開發者抱怨,他們加入公司是來寫軟體、解決問題的,不是來經營一個官僚體系的。為什麼我們這麼害怕一個開發者用未經批准的工具,卻寧願用繁文縟節淹死他,也不願 просто 問一句:「嘿,這東西有用嗎?」
也許是時候拋棄那套微觀管理的劇本,讓團隊喘口氣了。因為最好的程式碼,從來都不是用繩子拴出來的。它來自自由、責任感,和一點點恰到好處的混亂。
所以,別再用「影子 AI」這種詞自己嚇自己了。它真正的名字應該是:開發者在用他們信得過的工具,好好做他們的工作。就這樣而已。
一些常見的誤解
我知道,講到這裡,一定會有人跳出來說...
- 「所以你的意思是資安跟法遵都不重要?」
不,完全不是。我的意思是,最終的「當責」應該落在產出的程式碼和系統本身,而不是用的工具。如果開發者用了某個工具導致資料外洩,那他就要為這個「結果」負責,而不是為「使用工具」這個行為負責。重點是結果,不是過程。 - 「如果大家都亂用工具,不是會天下大亂嗎?」
這就是對「當責文化」的誤解。當責文化的前提是,每個人都清楚知道,他們要對自己的工作成果負百分之百的責任。這份責任感,就是最好的防火牆。一個專業的開發者,不會隨便用一個看起來就有問題的工具在核心產品上,因為他知道如果出事了,鍋是自己背。 - 「但公司總得有個統一的技術棧吧?」
當然。有一個推薦的、官方支援的技術棧是好事,能提高效率、方便維護。但它應該是「推薦選項」,而不是「唯一選項」。當官方工具無法滿足需求時,應該允許團隊在承擔責任的前提下,去探索更合適的解決方案。這不衝突。
聊了這麼多,也想聽聽你的想法。
你待的公司是哪一種文化?是信任優先,還是管制優先?你覺得哪一種做法,長期來看對團隊和產品比較好?在下面留言分享你的看法吧。
