Lemongrass聯(lián)合創(chuàng)始人兼首席技術官 Eamonn O'Neill分享了企業(yè)在保護和管理生成式 AI 工具方面面臨的挑戰(zhàn)，并提出了整合現(xiàn)有數(shù)據(jù)治理政策的戰(zhàn)略。

當前，許多企業(yè)在為保護 GenAI 工具和服務以及為其提供支持的數(shù)據(jù)而所采取的方法很混亂。

一些組織對將敏感信息暴露給 ChatGPT 等 GenAI 服務非常謹慎，以至于他們在公司網(wǎng)絡上完全屏蔽了這些服務，但這通常是一種下意識的、無效的方法。想要使用這些服務的員工可以通過其他方式輕松訪問它們，例如通過他們的個人通信設備。

在其他情況下，企業(yè)試圖根據(jù)監(jiān)管要求制定AI安全和治理策略。由于迄今為止全球?qū)?GenAI 的監(jiān)管指導很少，因此結果往往是混亂且不斷變化的 AI 治理政策，這些政策可能與監(jiān)管機構最終確定的授權一致，也可能不一致。

這里有更好的方法：使用現(xiàn)有的數(shù)據(jù)安全和治理政策作為管理組織內(nèi)生成式 AI 服務的基礎。這種方法對于保護生成式 AI 非常有效，以下是它在實踐中的表現(xiàn)。

GenAI 治理的必要性

不可否認的是，企業(yè)需要為 GenAI 制定并執(zhí)行明確的安全和治理政策。企業(yè)內(nèi)部部署的此類服務可能會訪問高度敏感的企業(yè)數(shù)據(jù)，這對數(shù)據(jù)隱私和安全具有重大影響。

例如，如果員工在提示中將專有業(yè)務信息輸入 ChatGPT，理論上 ChatGPT 可以在此后的任何時候?qū)⑦@些數(shù)據(jù)泄露給競爭對手。由于企業(yè)無法控制 ChatGPT 的運作方式，因此企業(yè)無法控制 ChatGPT 在獲取其數(shù)據(jù)后如何使用這些數(shù)據(jù)。

同樣，沒有辦法從 GenAI 模型中“刪除”敏感數(shù)據(jù)。一旦被攝取，它就會永遠存在，或者至少直到模型停止運行。從這個意義上說，企業(yè)內(nèi)部的 GenAI 提出了與企業(yè)控制私人信息生命周期的能力相關的深刻挑戰(zhàn)。一旦你不再需要這些數(shù)據(jù)，你就不能簡單地從 GenAI 模型中刪除這些數(shù)據(jù)，就像你可以從數(shù)據(jù)庫或文件系統(tǒng)中刪除私人數(shù)據(jù)一樣。

使這些挑戰(zhàn)更加復雜的是來自不同供應商的 GenAI 服務數(shù)量眾多。由于這種多樣性，沒有簡單的方法來實現(xiàn)訪問控制，定義哪些員工可以在企業(yè)可能采用的不同 GenAI 解決方案中執(zhí)行哪些操作。像 Active Directory 這樣的身份管理框架最終可能會發(fā)展到支持跨 GenAI 服務的統(tǒng)一訪問控制集，但它們目前還沒有實現(xiàn)。

出于這些原因，企業(yè)必須為 GenAI 定義安全和治理規(guī)則。具體來說，規(guī)則需要控制 GenAI 模型可以訪問哪些數(shù)據(jù)、如何訪問這些數(shù)據(jù)，以及必須實施哪些訪問控制來管理員工與 GenAI 服務的交互。

數(shù)據(jù)治理作為GenAI治理的基礎

大多數(shù)組織都認識到人工智能治理的重要性。然而，如前所述，實施有效的治理政策和控制對許多組織來說相當具有挑戰(zhàn)性，主要是因為他們不知道從哪里開始。

解決這一挑戰(zhàn)的一個實用方法是根據(jù)大多數(shù)企業(yè)早已實施的數(shù)據(jù)治理政策來制定 AI 治理規(guī)則。畢竟，GenAI 面臨的許多隱私和安全問題最終都歸結為數(shù)據(jù)隱私和安全問題。因此，數(shù)據(jù)治理規(guī)則也可以擴展到治理 AI 模型。

這在實踐中意味著在 GenAI 服務中建立訪問控制，根據(jù)企業(yè)已經(jīng)制定的數(shù)據(jù)治理規(guī)則限制這些服務可以訪問哪些數(shù)據(jù)。實施控制將有所不同，因為企業(yè)需要依賴支持生成式 AI 模型的訪問控制工具，而不是數(shù)據(jù)庫、數(shù)據(jù)湖等的訪問控制。但結果是相同的，因為控制將定義誰可以對組織的數(shù)據(jù)做什么。

這種方法特別有效，因為它為采用 GenAI 服務作為訪問和查詢業(yè)務數(shù)據(jù)的新界面奠定了基礎。只要你妥善管理和保護 GenAI 服務，就可以讓員工依賴這些服務來詢問有關你的數(shù)據(jù)的問題。而且，可以確信每位員工的訪問級別都是適當?shù)模@要歸功于你構建的 AI 治理控制。

一種簡單有效的數(shù)據(jù)治理和人工智能治理方法

歸根結底，AI 治理方法不僅為決定企業(yè) AI 服務用戶可以訪問和不能訪問哪些數(shù)據(jù)提供了明確的基礎（以數(shù)據(jù)治理規(guī)則的形式），還簡化了數(shù)據(jù)治理本身，因為它最大限度地減少了為每個數(shù)據(jù)資源實施訪問控制的需要。

當 GenAI 服務成為與數(shù)據(jù)交互的集中式界面時，企業(yè)只需通過 GenAI 即可實施數(shù)據(jù)治理。這比為組織內(nèi)的每個數(shù)據(jù)資產(chǎn)建立不同的控制措施要容易得多，也更有效率。

因此，無需盲目制定企業(yè) AI 治理政策，或者更糟的是，完全阻止 AI 服務并祈禱員工不會繞過企業(yè)的限制，而是需要評估現(xiàn)有的數(shù)據(jù)治理規(guī)則，并將其作為定義 AI 治理控制的務實基礎。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。