如今，人工智能将渗透到我们生活的方方面面已成为普遍共识。这带来了与AI威胁、企业AI管理以及适应日益AI驱动世界的安全项目相关的新挑战。

在评估风险暴露时，最重要的是了解正在使用的AI类型。这存在直接关联：更现代的生成式AI和智能体AI可能使我们面临更大的威胁。生成式AI应用缺乏透明度，使安全团队更难获得必要的可见性，了解潜在敏感数据的去向。

AI工具的便利性和可访问性往往超过用户感知的安全风险，形成了采用和潜在暴露的循环。为了有效应对这些不断演变的威胁，组织必须调整其安全项目。基于这一考虑，让我们探讨防止这些挑战在各个组织领域中显现的策略。

培养灵活性

转型的一个关键领域是重新思考AI使用的审批工作流程。传统安全模型通常以二元的是/否或允许/阻止决策为特征，对于AI的动态性质来说过于僵化。相反，安全团队需要采用更灵活的方法，可能包括某些AI功能的选择加入/选择退出模型，特别是在涉及客户或监管数据时。

我与团队实施的一项策略是为用户可以和不可以使用的内容设定明确参数。目标是将安全从阻碍创新的瓶颈转变为安全AI采用的促进者，明确界定边界内外的活动。

是的，总会有一层影子AI和智能体AI需要关注，因为它们扩展了你的攻击面，但也需要回应业务部门的合理请求。重要的是要有一个系统来减少处理和审核来自组织内其他团队的新工具请求的摩擦。

我首先寻找值得信赖的平台和合作伙伴，并找到更快处理和批准这些工具请求的方法。我称之为"黄灯"流程，你可以决定加速或踩刹车。这意味着找到关于工具必须回答的两个问题，以获得这个可信平台或合作伙伴的批准。例如，我们可能会问："你们是否从我的数据中学习？"以及"如果我们需要，你们有什么控制措施让我们能够开启或关闭这个工具？"

这让我们能够将曾经需要数天的审查加速到仅15分钟。现在，团队在不牺牲必要安全层次的情况下，拥有使用所需工具的灵活性。

智能体大使的力量

我们许多人都熟悉在组织内设置"安全冠军"的概念，但我也大力支持"AI大使"。这些项目旨在让业务部门参与并赋权承担更多AI治理责任。

AI大使是来自各个团队和部门的人员，他们了解AI工具的规则，并能够鼓励团队遵循这些规则。本质上，他们作为安全团队的延伸，带来一层问责制，确保同事在选择和使用AI工具时遵循正确的程序。他们可以盘点团队的应用并请求审批流程审查，让他们更投入地确保团队使用AI的方式是安全的，符合更广泛的安全政策。

通过在不同部门培训和装备AI大使，组织可以分散一些初始安全审查流程。大使负责理解和遵守AI治理政策，确保从一开始就将安全考虑整合到引入组织的任何新工具中。

安全冠军和AI大使并不相同。保持团队彼此独立培养了共同责任的文化，在维持以客户为中心的治理和强大安全姿态的同时，能够更快地部署AI解决方案。

AI最终不需要重大变革，而是对现有策略进行较小的战略调整，以减轻终端用户的摩擦并培养更好的安全文化。

通过了解AI驱动威胁的真实本质，解决管理AI的独特性质，培养共同安全责任的文化，组织不仅能够缓解风险，还能发挥技术的全部潜力。

Q&A

Q1：什么是AI大使？他们的作用是什么？

A：AI大使是来自各个团队和部门的人员，他们了解AI工具的规则，并能够鼓励团队遵循这些规则。他们作为安全团队的延伸，带来问责制，确保同事在选择和使用AI工具时遵循正确的程序，可以盘点团队应用并请求审批流程审查。

Q2：传统安全模型为什么不适合AI管理？

A：传统安全模型通常以二元的是/否或允许/阻止决策为特征，对于AI的动态性质来说过于僵化。生成式AI应用缺乏透明度，使安全团队更难获得必要的可见性，了解潜在敏感数据的去向，需要更灵活的方法来应对。

Q3：黄灯流程是如何工作的？

A：黄灯流程是一种灵活的审批方法，通过找到关于工具必须回答的两个核心问题来快速处理请求，比如"你们是否从我的数据中学习？"和"你们有什么控制措施让我们能够开启或关闭这个工具？"这样可以将审查时间从数天缩短到15分钟。