AI 如何颠覆软件购买
制定降低 AI 相关风险的制胜战略
转眼之间,AI 已无处不在,成为人人谈论的焦点话题。企业正利用生成式 AI (GenAI) 提供全天候客户支持服务、生成个性化购物推荐、加速软件开发、创建营销内容等。
如今,AI 的影响力和颠覆作用不亚于计算机首次被引入商业世界时盛况。如果企业不采用 AI,可能会迅速变得无足轻重。
因此,首席信息官和首席信息安全官都面临着启动 AI 计划的巨大压力。企业希望他们采用基于 AI 的新的软件解决方案,并允许员工使用 AI 工具。但与此同时,这些技术领导者�也明白,AI 会带来了新的安全风险。许多企业正迅速部署策略和保护措施,以保护敏感信息,阻止影子 AI,并减少生成虚假信息的可能性。
虽然技术领导者努力尝试在启用 AI 与治理 AI 使用之间找到适当的平衡,但他们必须修改软件的购买和续订流程。试图在支持 AI 和管理其使用之间找到适当的平衡,但他们必须修改软件的购买和续订流程。如果说软件购买有时看起来像一场游戏,那么 AI 正在改变游戏规则。遵循旧规则会让企业面临风险。为了降低这种风险,首席信息官和首席信息安全官需要加强对软件协议、应用架构以及软件供应商本身的审核。
挑战 1:不断变化的软件协议
随着软件供应商将 AI 集成到越来越多的产品中,首席信息官和首席信息安全官需要改变处理软件续订的方式。对于已购买的软件,您可能已经签署了主服务协议 (MSA) 并同意了某些条款。但是,其中一些条款通过超链接关联了其它文档。供应商可能会在更新软件时,更改那些超链接文档中的内容,除非您持续查看 MSA,否则您可能不会察觉。
问题在于,集成到应用中的任何新增 AI 功能,可能会与您的 AI 和数据治理策略产生冲突。在竞相提供 AI 增强型软件的过程中,现�有软件供应商可能会将您的策略和安全置于风险之中。
挑战 2:构建多租户和模型
在评估 SaaS 解决方案时,我总是会仔细了解供应商如何处理多租户。具体来说,我想知道供应商会如何处理我的数据。我的数据是否会与其他人的数据完全隔离?
考虑到供应商正将 AI 融入其产品中,那么供应商处理数据的方式可能会带来一些额外的安全问题。首先,许多供应商并没有托管其 AI 服务,它们可能在公共云上运行这些服务。而此类云平台供应商可能无法充分保护数据。
其次,软件供应商可能正在使用客户的数据训练自有 AI 模型,无论该模型位于何处。现在,我确实希望自己的软件供应商能够成为 AI 方面的专家,介绍如何在这个领域内造福客户它们的客户。例如,如果某供应商拥有一款 AI 增强型人力资源应用,我希望该供应商是全球顶尖的此类软件交付方。而且最优秀的供应商,应该是拥有最多数据来训练其模型的供应商。
然而,我不希望供应商将我的敏感数据用于模型训练。某些供应商可能会故意混合多个客户的数据,用于训练其模型。但至少,在购买软件之前,我需要确信:我的所有数据均已完全匿名化处理,然后才用于训练供应商的模型。
挑战 3:AI 供应商的经营存续时间不足
新 AI 软件供应商总是不断涌现,像是职业体育联盟中��源源不断增加的扩编队伍一样。除了那些正在推出新增 AI 功能的大型知名科技公司之外,只专注于 AI 软件或工具的 AI 初创公司也在迅速增加。如果 OpenAI 让人感觉它像是一个成熟的市场参与者,您就知道这个市场正在以惊人的速度不断发展。
我会使用与旧版应用供应商类似的标准来评估这些新供应商。例如,我想了解这些供应商如何保护我的数据,以及如何分离我的数据与其他客户的数据。
但我也非常担心这些供应商能否长期经营。AI 公司的诞生和消亡都非常迅速。在购买初创公司的 AI 软件之前,我想知道这家公司在几年后是否还会存在。如果公司被收购或倒闭,会怎样处理我的数据?
快速变化的软件购买策略
本文的弊端在于,假设 IT 环境的某些方面会保持不变。但事实并非如此。AI 将从根本上改变一切,包括您已购买且使用了多年的软件应用。因此,在更新软件和购买新的 AI 工具时,也必须改变购买流程的各个方面。以下六种最佳实践至关重要:
监测不断变化的 MSA
在这个 AI 时代,软件续订需要展开更严格的尽职调查。首先,与正在部署 AI 的核心供应商进行对话。直接询问供应商:你们会如何处理我的数据?我的数据是否与其他客户的数据存储在相同的环境中?
在续订已购买软件的许可证时,请获取并查看 MSA 中超链接的更新条款。确保新增的条款与您的 AI 和数据治理策略不会产生冲突。
对于某些现有的应用,您可能从未审核过相关协议内容。也许您最初的部署规模非常小,并且认为没有必要审核。但是,如果部署规模的扩大并转向企业协议,请务必花时间进行审核。您可以制定一项政策,要求在软件部署规模达到一定阈值时审核条款和条件。
直接与供应商沟通并审核更新后的 MSA 可能需要大量资源。毕竟,某些企业适用的 SaaS 应用多达数百个。尽管如此,找到一种方法来及时了解不断变化的协议,是维持安全的关键。询问数据保护方式
除了了解数据的存储和管理方式之外,还要询问数据保护方式。某个软件供应商可能会为每个客户部署一个应用实例,然后使用全方位的应用安全服务来保护每个实例。
而另一个供应商可能会使用一个大型数据库,存储所有客户的实例。这可能预示着危险信号。不过,如果供应商能够证明其对数据进行了充分的加密或标记化处理,确保敏感信息不会泄露,您可能仍然愿意使用该软件。评估供应商优先事项
对于提供 AI 工具的较新的供应商,评估其战略优先事项,确定其是否适合贵公司的长期发展需求。假设您一直在�使用某初创公司的软件,并且在使用产品的过程中遇到了一些问题。然后,您得知这家初创公司刚刚完成了新一轮融资。请询问这家公司计划如何使用这笔资金。如果答案是销售而不是工程,则请另寻其它供应商。在社区内交流经验
若要减少审核所有管理协议 (MSA) 和评估新供应商工作量,一种方法是与其他技术领导者交流经验。咨询业内的其他同行,观察到各供应商的条款和条件呈现怎样的趋势?能否适应这些变化?
同样,也要了解您正在考虑采用的纯 AI 供应商的见解。咨询其他领导者,如果这家公司倒闭,您对自己的数据是否仍然受到保护有多大信心?做好脱身的准备
可能非常难以衡量基于 AI 的软件带来的风险。因此,无论是续订软件还是评估新的应用,都请扪心自问,对于无法精确衡量的风险,您的接受度如何。
在某些情况下,您可能会认为潜在风险大于潜在价值。您可以停止使用那些因引入 AI 功能而带来不可接受的风险的软件。您可以决定不采用新的 AI 应用,因为您对数据的安全性或供应商的未来前景没有信心。
但也有一些折衷方案。例如,您可以等待初创公司发展成熟后,再购买它们的软件。或者,您可以让初创公司使用精简的功能选择(或您的数据子集),证明其应用的价值。考虑自主开发而非购买
许多拥有 AI 增强型产品的 SaaS 供应商希望触达广泛的客户群体。因此,此类供应商在设计产品时会考虑这些潜在客户的最低共同标准。
然而,作为一名首席信息安全官,我希望软件能够深深服务于我所在的企业。例如,我希望使用 AI 工具来减轻员工的认知负担,让他/她们在公司能够提高效率和生产力。这些工具应该利用我的数据,然后帮助我所在的整个公司更好地运行。问题在于,很难找到现成的软件来满足我所在企业的精准需求。
因此,在某些情况下,自主开发比购买更有意义。如果您开发的功能有利于业务发展、带来竞争价值,同时最大限度地降低风险,则自主开发或许是一种更好的选择。适当的开发人员平台可能有助于加速开发这些 AI 应用。
为软件采购中的 AI 变革做好准备
我们都感受到采用 AI 和推动企业转型的重重压力。软件供应商渴望推动这种转型,并迅速将新的人工智能功能集成到其产品中。因此,我们这些负责购买软件的人员需要保持警惕:软件购买的规则似乎正在发生变化。如今,我们需要更谨慎仔细地评估软件创新对安全的影响。
并非所有应用都能提供与我们愿意承担的风险相称的价值。在这种情况下,自主开发 AI 应用或许才是正确的做法。Cloudflare 开发人员平台可以帮助简化 AI 应用的构建和交付流程。采用 Cloudflare Workers AI,您可以在靠近用户的边缘开发并运行 AI 应用。同时,AI Gateway 可以监测和控制用户使用 AI 应用的方式。
即便您只是希望使用一些企业软件来维持现状,也要意识到 AI 功能很可能会出现在那些传统应用中,这将迫使您改变购买流程。为应对 AI 对软件购买的重大颠覆作用做好准备,是降低相关风险的关键。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读《确保安全的 AI 实践:CISO 创建可扩展的 AI 战略的指南》电子书,进一步了解 AI 将会怎样改变企业的运营方式以及如何智能、安全地加以利用。
作者
Mike Hamilton �– @mike-hamilton-us
Cloudflare 首席信息官
关键要点
阅读本文后,您将能够了解:
低调地将 AI 功能添加到现有合同协议
购买或续订软件时需要考虑的 6 种最佳实践
如何确保 AI 使用和数据治理策略合规