博客 | 首席技术官办公室

是否允许并采用 AI,并借鉴公共云的经验教训

Sam Bisbee 缩略图
山姆·比斯比
2023 年 4 月 6 日发布

事实证明,比竞争对手更好地操作数据的能力是企业的制胜优势,因此,关于 ChatGPT 和生成式人工智能的持续讨论正在迅速发展成为一波“随时准备射击”的产品发布和早期初创企业获得资助的浪潮。 如果这些能力能够安全、准确、客观地发挥作用和扩展,那么它们将带来多个数量级的进步。 无论从炒作还是技术优势来看,这都感觉像是公共云的早期阶段,但这一次将更加困难,因为跨越要大得多。

亚马逊网络服务 (AWS) 于 2004 年推出 SQS,随后于 2006 年推出 S3 和 EC2。 如果我们接受这些作为公共云时间线的开始,或它被广泛使用的时间,那么这意味着到现在还没有采用公共云的企业已经接受了二十年的机会成本。 2006 年,公有云对于受监管的企业来说可能风险太大,但 2016 年或 2026 年的情况又如何呢? 我们已经看到金融机构、政府和其他传统上不愿承担风险的组织采用公共云来存储部分或全部应用和数据。 对于那些学习如何操作数据以及如何同时扩展底层技术的人来说,这些好处是如此巨大,以至于任何尚未开始采用这些技术的人可能都来不及弥补他们所失去的优势。 

与公共云不同,如果企业希望保持竞争力,他们将没有数十年的时间来评估和采用人工智能等功能,这是企业担心的问题,因为人工智能的时间线并不是从 ChatGPT 开始的。 这个领域发展得太快了,其能力似乎比短期内替代技术所能提供的能力要先进很多个数量级。 像 ChatGPT 这样具有熟悉用户界面的对话式人工智能可以让更多不同类型的人更快地采用它,而不需要像公共云那样具备专业知识。 新采用者认为它具有创新性,而那些深陷该领域的人则指出了其他进步,并想知道为什么突然有这么多人关注它。

如果技术能够成功,那些先于竞争对手采用该技术的企业将拥有压倒性的优势,而且当他们在采用曲线的早期出现失误时(而不是如果),他们将得到宽大处理。 “这个领域还处于发展的早期阶段,我们都在学习,但在<ACME>,我们仍然是这个令人兴奋且竞争激烈的领域的领导者……”生成式人工智能可能会撰写新闻稿,市场很快就会忘记这个冒烟的陨石坑,同时奖励下一次迭代,就像我们已经习惯的许多消费者安全和数据泄露头条新闻一样。

与公共云一样,无论法律、IT、安全和合规性如何,都会采用它。 对于先行者来说,他们的采用将是直接的,将人工智能嵌入到他们的流程和产品中。 这将推动“观望”企业的间接采用,因为无论他们是否知道,他们都会使用嵌入了人工智能的软件或 SaaS,这意味着如果他们还没有进入这些系统,他们的数据就会进入。 其中一些是显而易见的,比如科技公司能够迅速接受风险并在部署后评估后果,但安全计划更难管理的风险将是人工智能在水下的应用,就像我们在金融和保险领域已经看到的那样。 我们在违规分析中不断看到的证据表明,第三方风险管理无法充分清点下游数据使用情况和水线以下的子服务提供商,特别是对于不属于 GDPR 和 HIPAA 等范围的监管较少的数据分类,因此安全程序可能也不知道或不了解其供应商供应链中 AI 的使用情况。

鉴于 ChatGPT 因其可用性和性能而引起的关注,员工将您企业的一些专有或保密资料发送到 ChatGPT 的可能性接近 100%。 恭喜你,即使你要求员工不要这样做,你的企业也已经采用了生成式人工智能。 这种感觉应该很熟悉,因为当您发现工程部门的某个人刷信用卡在公共云上部署他们团队的新应用时,您很可能会感到这种感觉,而他们却因为更快的上市时间、创新的方法和拥抱前沿技术而得到了企业的奖励。 当今在大多数环境中,要求技术团队不要使用公共云就好比要求员工在日常工作中不要使用谷歌搜索。

在这里,安全必须走在采用的前面,并引导其沿着适合风险的道路发展,在第三方和监管机构试图规定自己的方法之前,利用他们的专业知识来帮助他们的同行制定适合风险的投资论文、成熟度模型和路线图。 在深入了解NIST 的人工智能风险管理框架 (AI RMF 1.0)并对您当前的实践进行差距分析之前,以下是安全团队应该在内部和与同行进行探索的一些示例入门对话:

  1. 我们如何确定其承诺的价值有多少已经实现、有多少是理想的、有多少是不可能实现的? 在投资实验、产品开发或更高水平的投资之前,我们需要看到哪些特性?
  2. 我们的竞争对手在我们之前采用的可能性有多大? 如果他们成功了,后续采用是我们缩小差距的唯一方法吗?还是他们已经获得了不可逾越的优势?
  3. 这个决定是单向的还是双向的? 采用是否存在已知风险? 如果我们确实采用并发现新的风险,会有什么重大影响?
  4. 我们在多大程度上可以内部拥有这项技术并对我们的数据和系统保持积极的控制? 我们是否拥有或能否合理地获得必要的人才? 依赖第三方服务提供商这项技术是否更安全?

这些问题都没有提到 ChatGPT 或 AI。对于任何基于风险的安全计划来说,它们通常是合理的谈话开场白,用于在采用之前评估早期技术,无论是自带设备 (BYOD)、公有云、容器、机器学习还是最终的 AI。这不是许多团队对公有云采取的方法,当他们意识到公有云在组织中直接和间接使用的频率时,他们措手不及,毫无知觉。 威胁行为者的适应速度并不慢,因为他们比大多数消费者更快地学习和利用公共云的属性——所有技术都是双重用途的。

技术的方向和采用很难预测,但它将继续加速是可以预见的。 如果当前或不久的将来人工智能的迭代遇到瓶颈并停止前进,或者人工智能在更大的技术规模或由于成本原因被证明不可行,那么它已经达到了企业可用和可投资的状态。 如果人工智能没有遇到障碍,那么它很可能会成为一种预期的投资和与数据、产品和业务交互的手段,正如我们已经在销售、营销、医疗保健和金融领域看到的那样。 因此,安全团队必须应对如何发展其数据安全和第三方风险管理实践以应对这项技术,这是当前的现实,而不是未来的现实。 他们必须赶上并领先于已经不断增长的采用率,这样他们就不必再次经历公共云领先于云安全的经历。