企業(yè)如何為GenAI定義數(shù)據(jù)安全和治理規(guī)則
Lemongrass聯(lián)合創(chuàng)始人兼首席技術官Eamonn O'Neill分享了企業(yè)在保護和管理生成式AI工具方面面臨的挑戰(zhàn),并提出了整合現(xiàn)有數(shù)據(jù)治理政策的戰(zhàn)略。
當前,許多企業(yè)在為保護GenAI工具和服務以及為其提供支持的數(shù)據(jù)而所采取的方法很混亂。
一些組織對將敏感信息暴露給ChatGPT等GenAI服務非常謹慎,以至于他們在公司網(wǎng)絡上完全屏蔽了這些服務,但這通常是一種下意識的、無效的方法。想要使用這些服務的員工可以通過其他方式輕松訪問它們,例如通過他們的個人通信設備。
在其他情況下,企業(yè)試圖根據(jù)監(jiān)管要求制定AI安全和治理策略。由于迄今為止全球對GenAI的監(jiān)管指導很少,因此結果往往是混亂且不斷變化的AI治理政策,這些政策可能與監(jiān)管機構最終確定的授權一致,也可能不一致。
這里有更好的方法:使用現(xiàn)有的數(shù)據(jù)安全和治理政策作為管理組織內(nèi)生成式AI服務的基礎。這種方法對于保護生成式AI非常有效,以下是它在實踐中的表現(xiàn)。
GenAI治理的必要性
不可否認的是,企業(yè)需要為GenAI制定并執(zhí)行明確的安全和治理政策。企業(yè)內(nèi)部部署的此類服務可能會訪問高度敏感的企業(yè)數(shù)據(jù),這對數(shù)據(jù)隱私和安全具有重大影響。
例如,如果員工在提示中將專有業(yè)務信息輸入ChatGPT,理論上ChatGPT可以在此后的任何時候將這些數(shù)據(jù)泄露給競爭對手。由于企業(yè)無法控制ChatGPT的運作方式,因此企業(yè)無法控制ChatGPT在獲取其數(shù)據(jù)后如何使用這些數(shù)據(jù)。
同樣,沒有辦法從GenAI模型中“刪除”敏感數(shù)據(jù)。一旦被攝取,它就會永遠存在,或者至少直到模型停止運行。從這個意義上說,企業(yè)內(nèi)部的GenAI提出了與企業(yè)控制私人信息生命周期的能力相關的深刻挑戰(zhàn)。一旦你不再需要這些數(shù)據(jù),你就不能簡單地從GenAI模型中刪除這些數(shù)據(jù),就像你可以從數(shù)據(jù)庫或文件系統(tǒng)中刪除私人數(shù)據(jù)一樣。
使這些挑戰(zhàn)更加復雜的是來自不同供應商的GenAI服務數(shù)量眾多。由于這種多樣性,沒有簡單的方法來實現(xiàn)訪問控制,定義哪些員工可以在企業(yè)可能采用的不同GenAI解決方案中執(zhí)行哪些操作。像Active Directory這樣的身份管理框架最終可能會發(fā)展到支持跨GenAI服務的統(tǒng)一訪問控制集,但它們目前還沒有實現(xiàn)。
出于這些原因,企業(yè)必須為GenAI定義安全和治理規(guī)則。具體來說,規(guī)則需要控制GenAI模型可以訪問哪些數(shù)據(jù)、如何訪問這些數(shù)據(jù),以及必須實施哪些訪問控制來管理員工與GenAI服務的交互。
數(shù)據(jù)治理作為GenAI治理的基礎
大多數(shù)組織都認識到人工智能治理的重要性。然而,如前所述,實施有效的治理政策和控制對許多組織來說相當具有挑戰(zhàn)性,主要是因為他們不知道從哪里開始。
解決這一挑戰(zhàn)的一個實用方法是根據(jù)大多數(shù)企業(yè)早已實施的數(shù)據(jù)治理政策來制定AI治理規(guī)則。畢竟,GenAI面臨的許多隱私和安全問題最終都歸結為數(shù)據(jù)隱私和安全問題。因此,數(shù)據(jù)治理規(guī)則也可以擴展到治理AI模型。
這在實踐中意味著在GenAI服務中建立訪問控制,根據(jù)企業(yè)已經(jīng)制定的數(shù)據(jù)治理規(guī)則限制這些服務可以訪問哪些數(shù)據(jù)。實施控制將有所不同,因為企業(yè)需要依賴支持生成式AI模型的訪問控制工具,而不是數(shù)據(jù)庫、數(shù)據(jù)湖等的訪問控制。但結果是相同的,因為控制將定義誰可以對組織的數(shù)據(jù)做什么。
這種方法特別有效,因為它為采用GenAI服務作為訪問和查詢業(yè)務數(shù)據(jù)的新界面奠定了基礎。只要你妥善管理和保護GenAI服務,就可以讓員工依賴這些服務來詢問有關你的數(shù)據(jù)的問題。而且,可以確信每位員工的訪問級別都是適當?shù)?,這要歸功于你構建的AI治理控制。
一種簡單有效的數(shù)據(jù)治理和人工智能治理方法
歸根結底,AI治理方法不僅為決定企業(yè)AI服務用戶可以訪問和不能訪問哪些數(shù)據(jù)提供了明確的基礎(以數(shù)據(jù)治理規(guī)則的形式),還簡化了數(shù)據(jù)治理本身,因為它最大限度地減少了為每個數(shù)據(jù)資源實施訪問控制的需要。
當GenAI服務成為與數(shù)據(jù)交互的集中式界面時,企業(yè)只需通過GenAI即可實施數(shù)據(jù)治理。這比為組織內(nèi)的每個數(shù)據(jù)資產(chǎn)建立不同的控制措施要容易得多,也更有效率。
因此,無需盲目制定企業(yè)AI治理政策,或者更糟的是,完全阻止AI服務并祈禱員工不會繞過企業(yè)的限制,而是需要評估現(xiàn)有的數(shù)據(jù)治理規(guī)則,并將其作為定義AI治理控制的務實基礎。