Lemongrass聯(lián)合創(chuàng)始人兼首席技術(shù)官Eamonn O'Neill分享了企業(yè)在保護(hù)和管理生成式AI工具方面面臨的挑戰(zhàn)，并提出了整合現(xiàn)有數(shù)據(jù)治理政策的戰(zhàn)略。

當(dāng)前，許多企業(yè)在為保護(hù)GenAI工具和服務(wù)以及為其提供支持的數(shù)據(jù)而所采取的方法很混亂。

一些組織對將敏感信息暴露給ChatGPT等GenAI服務(wù)非常謹(jǐn)慎，以至于他們在公司網(wǎng)絡(luò)上完全屏蔽了這些服務(wù)，但這通常是一種下意識的、無效的方法。想要使用這些服務(wù)的員工可以通過其他方式輕松訪問它們，例如通過他們的個人通信設(shè)備。

在其他情況下，企業(yè)試圖根據(jù)監(jiān)管要求制定AI安全和治理策略。由于迄今為止全球?qū)enAI的監(jiān)管指導(dǎo)很少，因此結(jié)果往往是混亂且不斷變化的AI治理政策，這些政策可能與監(jiān)管機(jī)構(gòu)最終確定的授權(quán)一致，也可能不一致。

這里有更好的方法：使用現(xiàn)有的數(shù)據(jù)安全和治理政策作為管理組織內(nèi)生成式AI服務(wù)的基礎(chǔ)。這種方法對于保護(hù)生成式AI非常有效，以下是它在實踐中的表現(xiàn)。

GenAI治理的必要性

不可否認(rèn)的是，企業(yè)需要為GenAI制定并執(zhí)行明確的安全和治理政策。企業(yè)內(nèi)部部署的此類服務(wù)可能會訪問高度敏感的企業(yè)數(shù)據(jù)，這對數(shù)據(jù)隱私和安全具有重大影響。

例如，如果員工在提示中將專有業(yè)務(wù)信息輸入ChatGPT，理論上ChatGPT可以在此后的任何時候?qū)⑦@些數(shù)據(jù)泄露給競爭對手。由于企業(yè)無法控制ChatGPT的運作方式，因此企業(yè)無法控制ChatGPT在獲取其數(shù)據(jù)后如何使用這些數(shù)據(jù)。

同樣，沒有辦法從GenAI模型中“刪除”敏感數(shù)據(jù)。一旦被攝取，它就會永遠(yuǎn)存在，或者至少直到模型停止運行。從這個意義上說，企業(yè)內(nèi)部的GenAI提出了與企業(yè)控制私人信息生命周期的能力相關(guān)的深刻挑戰(zhàn)。一旦你不再需要這些數(shù)據(jù)，你就不能簡單地從GenAI模型中刪除這些數(shù)據(jù)，就像你可以從數(shù)據(jù)庫或文件系統(tǒng)中刪除私人數(shù)據(jù)一樣。

使這些挑戰(zhàn)更加復(fù)雜的是來自不同供應(yīng)商的GenAI服務(wù)數(shù)量眾多。由于這種多樣性，沒有簡單的方法來實現(xiàn)訪問控制，定義哪些員工可以在企業(yè)可能采用的不同GenAI解決方案中執(zhí)行哪些操作。像Active Directory這樣的身份管理框架最終可能會發(fā)展到支持跨GenAI服務(wù)的統(tǒng)一訪問控制集，但它們目前還沒有實現(xiàn)。

出于這些原因，企業(yè)必須為GenAI定義安全和治理規(guī)則。具體來說，規(guī)則需要控制GenAI模型可以訪問哪些數(shù)據(jù)、如何訪問這些數(shù)據(jù)，以及必須實施哪些訪問控制來管理員工與GenAI服務(wù)的交互。

數(shù)據(jù)治理作為GenAI治理的基礎(chǔ)

大多數(shù)組織都認(rèn)識到人工智能治理的重要性。然而，如前所述，實施有效的治理政策和控制對許多組織來說相當(dāng)具有挑戰(zhàn)性，主要是因為他們不知道從哪里開始。

解決這一挑戰(zhàn)的一個實用方法是根據(jù)大多數(shù)企業(yè)早已實施的數(shù)據(jù)治理政策來制定AI治理規(guī)則。畢竟，GenAI面臨的許多隱私和安全問題最終都?xì)w結(jié)為數(shù)據(jù)隱私和安全問題。因此，數(shù)據(jù)治理規(guī)則也可以擴(kuò)展到治理AI模型。

這在實踐中意味著在GenAI服務(wù)中建立訪問控制，根據(jù)企業(yè)已經(jīng)制定的數(shù)據(jù)治理規(guī)則限制這些服務(wù)可以訪問哪些數(shù)據(jù)。實施控制將有所不同，因為企業(yè)需要依賴支持生成式AI模型的訪問控制工具，而不是數(shù)據(jù)庫、數(shù)據(jù)湖等的訪問控制。但結(jié)果是相同的，因為控制將定義誰可以對組織的數(shù)據(jù)做什么。

這種方法特別有效，因為它為采用GenAI服務(wù)作為訪問和查詢業(yè)務(wù)數(shù)據(jù)的新界面奠定了基礎(chǔ)。只要你妥善管理和保護(hù)GenAI服務(wù)，就可以讓員工依賴這些服務(wù)來詢問有關(guān)你的數(shù)據(jù)的問題。而且，可以確信每位員工的訪問級別都是適當(dāng)?shù)?，這要歸功于你構(gòu)建的AI治理控制。

一種簡單有效的數(shù)據(jù)治理和人工智能治理方法

歸根結(jié)底，AI治理方法不僅為決定企業(yè)AI服務(wù)用戶可以訪問和不能訪問哪些數(shù)據(jù)提供了明確的基礎(chǔ)(以數(shù)據(jù)治理規(guī)則的形式)，還簡化了數(shù)據(jù)治理本身，因為它最大限度地減少了為每個數(shù)據(jù)資源實施訪問控制的需要。

當(dāng)GenAI服務(wù)成為與數(shù)據(jù)交互的集中式界面時，企業(yè)只需通過GenAI即可實施數(shù)據(jù)治理。這比為組織內(nèi)的每個數(shù)據(jù)資產(chǎn)建立不同的控制措施要容易得多，也更有效率。

因此，無需盲目制定企業(yè)AI治理政策，或者更糟的是，完全阻止AI服務(wù)并祈禱員工不會繞過企業(yè)的限制，而是需要評估現(xiàn)有的數(shù)據(jù)治理規(guī)則，并將其作為定義AI治理控制的務(wù)實基礎(chǔ)。