JFrog introduceert Shadow AI Detection om bedrijven te helpen ongecontroleerd AI-gebruik in de softwareontwikkeling te identificeren en beheren. De functie moet organisaties ondersteunen bij het balanceren van innovatie met security en compliance.

De snelle adoptie van AI in ontwikkelteams creëert een governance-uitdaging. Ontwikkelaars en data scientists integreren regelmatig AI-modellen en -services van providers als OpenAI, Anthropic en Google zonder centrale goedkeuring. Dit fenomeen, Shadow AI genoemd, introduceert blinde vlekken in de securityinfrastructuur.

JFrog’s Shadow AI Detection moet deze onzichtbare AI-assets automatisch detecteren. De tool inventariseert interne modellen en externe API-gateways die toegang geven tot data van goedgekeurde of ad-hoc bronnen. Yuval Fernbach, VP en CTO ML bij JFrog, legt uit: “Het erkennen en beperken van de risico’s van Shadow AI wordt een cruciale prioriteit voor CIO’s en CISO’s die een evenwicht moeten vinden tussen innovatie en het handhaven van de beveiliging.”

Het softwarebedrijf presenteert de functionaliteit tijdens JFrog swampUP Europe. De oplossing is onderdeel van het JFrog Software Supply Chain Platform.

Governance en audittrails voor compliance

Eenmaal gedetecteerd kunnen organisaties de AI-assets centraal beheren. Teams kunnen security- en compliancebeleid afdwingen voor alle AI-resources. Ze krijgen de mogelijkheid gedefinieerde paden in te stellen voor geautoriseerde gebruikers om third-party AI-services te benaderen.

Daarnaast monitort het systeem het gebruik van externe AI-modellen en API’s zoals OpenAI of Gemini. Dit wordt relevant door opkomende regelgeving. Fernbach benadrukt dat organisaties bewezen software development practices moeten volgen met developer-friendly workflows, sterke beveiliging en robuuste governance.

Verschillende wet- en regelgevingskaders vereisen volledige audittrails van AI-activiteit. De Amerikaanse Transparency in Frontier AI Act, de EU Cyber Resilience Act, de EU AI Act, de BSI Guidelines van Duitsland, NIS2 en de Guidelines for Securing AI Systems stellen allemaal eisen rond AI-verantwoording.

Beschikbaarheid en implementatie

Shadow AI Detection is beschikbaar als onderdeel van JFrog AI Catalog. De algemene beschikbaarheid moet dit jaar nog volgen. Het bedrijf positioneert de functionaliteit als uitbreiding van zijn 360-graden benadering voor het beveiligen van de AI supply chain.

De nieuwe detectiemogelijkheden helpen organisaties om provenance, accountability en resilience te waarborgen. Ze moeten verantwoorde AI-ontwikkeling ondersteunen door rigoureuze risicobeheersing en rapportagestandaarden af te dwingen. Ook verplichten ze zichtbaarheid in softwarecomponenten en het beveiligen van AI-systemen van ontwerp tot deployment.