在洛杉矶一场活动的后台,Google Cloud COO Francis de Souza 抽出几分钟,谈了谈企业如何应对 AI 安全问题。他以大学 professor 般的沉稳语气说:「会有一个过渡期,之后我们就能达到一个更好的状态。」但事实上,Google 自己也还在摸索这个过渡期。
de Souza 的核心观点是安全专业人士多年来一直试图让高管们理解的东西——在 AI 的冲击下,安全不能成为马后炮。他特别警告了「影子 AI」现象:员工绕过企业 IT 部门,直接使用消费者级 AI 工具,由此带来的数据泄露风险正以肉眼可见的速度攀升。
「当企业踏上 AI 之旅时,需要采用平台化方法,」他说,「安全不能事后补救,也不能完全依赖员工自觉。」
📌核心要点
- 影子AI成最大隐患:员工自发使用消费者AI工具,企业数据安全策略形同虚设
- 安全必须内嵌而非外挂:Google Cloud COO 强调安全不能「之后补救」,需要在AI系统设计阶段就纳入考量
- 平台化方法是关键:单一、集中的AI平台比分散的工具堆栈更容易实施安全管控
- 行业正处于过渡期:从「先上线再打补丁」的旧模式,到「设计即安全」的新范式,整个行业都在摸索
影子AI:企业安全的隐形炸弹
🔗 分享文章:https://xlx.baby/?p=662
想象一个场景:市场部的同事为了提高效率,用个人账号登录了一个看起来「无害」的 AI 写作工具,开始处理包含客户信息的提案。与此同时,IT 部门对这一切一无所知——因为这些工具从未经过企业安全审计。
这就是 de Souza 所描述的「影子 AI」危机。当 AI 工具的使用门槛低到「只需一个邮箱」就能注册时,企业的安全边界也随之瓦解。de Souza 指出,很多公司还在用「补丁式」思维管理 AI 安全——先把工具用起来,安全问题以后再说。
这种思维的危险性在于:AI 系统一旦接入业务工作流,就会接触到企业最核心的数据资产——客户名单、财务信息、研发配方、员工数据。出了问题再补救,为时已晚。
Google怎么做:从内部实践到产品策略
作为全球最大的云服务提供商之一,Google 在 AI 安全方面的路径选择颇具参考价值。de Souza 提到,Google Cloud 正试图将安全能力深度嵌入到 AI 平台层面,让企业客户无需在「功能」与「安全」之间做二选一。
具体措施包括:在 AI 模型层面引入数据分类与脱敏机制,让敏感信息在进入模型训练或推理流程前就被标记;提供企业级的身份认证与访问控制,确保只有授权人员才能调用特定 AI 能力;以及对 AI 工具的使用行为进行持续监控,发现异常立刻告警。
但 de Souza 也承认,即便是 Google 自身,也还在「过渡期」内。「我们也在学习,」他在采访中直言,「整个行业都在摸着石头过河。」
企业该怎么做:三条实用建议
基于 de Souza 的分享以及当前 AI 安全领域的最新实践,我们为企业管理者提炼出三条核心建议:
第一,采用平台化 AI 战略,而非工具堆砌。分散采购各种 AI 工具虽然灵活,但安全管控难度呈指数级上升。集中式的 AI 平台更容易实施统一的数据治理策略,也更利于安全团队进行审计和监控。
第二,将安全纳入 AI 项目的立项流程。在评估一个 AI 工具或供应商时,安全能力的权重应该与功能能力对等甚至更高。如果一个 AI 解决方案无法说清楚它的数据存储位置、访问控制机制和合规认证情况,那就不要纳入采购清单。
第三,投资员工 AI 安全素养培训。技术手段无法解决所有问题。如果员工不了解基本的 AI 安全风险——比如为什么要避免将客户数据粘贴到外部 AI 工具——再强大的技术防线也会被绕过。
结语:安全不是AI的敌人,而是AI大规模落地的通行证
AI 技术的采用速度正在全面超越安全能力的建设速度。这种失衡不会自动修复——除非企业从战略层面真正重视起来。
de Souza 的乐观预测或许是对的:经过过渡期的探索,行业最终会找到「功能与安全兼得」的新路径。但这个路径不会凭空出现,需要每一家企业从今天的决策开始,主动把安全放在更靠前的位置。
毕竟,在 AI 时代,一个数据泄露事件的代价,可能远超「安全投入」本身。
🔗 分享文章:https://xlx.baby/?p=662
发表回复