AI 如何擾亂軟體購買
制定可降低 AI 相關風險的製勝策略
轉眼間,AI 已無所不在。各大企業正在利用生成式人工智慧 (GenAI) 提供全天候客戶支援、提供個人化購物推薦、加速軟體開發、創作行銷內容等等。
如今,AI 所帶來的影響力與顛覆性,就如同電腦剛被引入商業世界時一般。如果一家企業不採用 AI,可能很快就會被時代淘汰。
因此,CIO 與 CISO 面臨啟動 AI 計畫的巨大壓力。他們需要採用基於 AI 的全新軟體解決方案,並讓員工能夠使用 AI 工具。但同時,這些科技領導者也明白,AI 會帶來新的風��險。許多企業正在迅速實施政策和保護措施,以保護敏感資訊,防止影子 AI 的出現,並降低產生錯誤資訊的可能性。
當技術領導者試圖在啟用 AI 與規範其使用之間找到平衡點時,他們也必須調整購買與續約軟體的流程。如果說軟體採購有時像是一場遊戲,那麼 AI 正在改變遊戲規則。繼續沿用舊規則,將使企業面臨風險。為了降低這類風險,CIO 與 CISO 必須加強對軟體協議、應用程式架構,以及軟體廠商本身的審查。
挑戰一:軟體協議的變動
隨著軟體廠商將 AI 整合到越來越多的產品中,CIO 和 CISO 需要改變他們處理軟體續約的方式。對於您已購買的軟體,您可能已經簽署了主服務協議 (MSA) 並同意了某些條款。但其中一些條款透過超連結指向其他文件。軟體更新時,廠商可能會變更這些超連結文件中的內容,除非您持續查看 MSA,否則您可能不會察覺。
問題在於,任何整合到應用程式中的新 AI 功能都可能與您的 AI 和資料治理政策相衝突。在競相為您提供 AI 增強軟體的過程中,現有軟體的廠商可能會將您的政策以及您的安全置於風險之中。
挑戰二:多租用戶和模型建置
在評估 SaaS 解決方案時,我始終會仔細瞭解廠商如何處理多租用戶。具體來說,我想知道他們會如何處理我的資料。我的資料會與其他人的資料完全隔離嗎?
現在廠商正在將 AI 整合到他們的產品中,可能會出現一些與廠商的資料處理方式相關的額外安全問題。首先,許多廠商沒有自行託管 AI 服務。他們可能在公有雲端中執行 AI 服務。而且該雲端供應商可能未能充分保護資料。
其次,軟體廠商可能會使用客戶資料來訓練 AI 模型,無論該模型在何處執行。誠然,我希望我的軟體供應商是他們領域內最懂如何運用 AI 為客戶帶來價值的專家。例如,如果某供應商提供的是一款 AI 強化的人力資源應用程式,我希望該供應商是該領域中最優秀的。而最優秀的供應商,通常就是擁有最多資料來訓練模型的那個。
然而,我不希望他們使用我的敏感資料來訓練模型。有些供應商可能會刻意將來自多位客戶的資料混合在一起,用來訓練模型。但至少,在我購買軟體之前,我需要確信我的所有資料在用於訓練供應商的模型之前,都會被完全匿名化處理。
挑戰三:AI 廠商的(缺乏)長期穩定性
新的 AI 軟體供應商不斷湧現,就像職業運動聯盟中不斷擴編的新球隊一樣。除了那些已具規模的大型科技公司推出新的 AI 功能之外,專注於 AI 型軟體或工具的新創公司也正快速增加。當連 OpenAI 都已經感覺像是個穩固的老牌玩家時,你就知道這個市場的發展速度有多麼驚人。
我評估這些新供應商的方式,與評估傳統應用程式供應商的方式類似。例如,我想知道這些供應商是如何保護我的資料,並將其與其他客戶的資料分開的。
但我同時也非常擔心這些供應商的長期生存能力。AI 公司誕生得快,倒閉得也快。在向一家新創公司購買 AI 軟體之前,我想知道這家公司是否能在幾年後依然存在。如果該公司被收購或倒閉,我的資料又會發生什麼事?
快速變化的軟體購買策略
這個故事中的「反派」,是那種認為 IT 環境中的某些部分會保持不變的假設。但事實是:沒有任何事情會一成不變。AI 正在從根本上改變一切,包括您已經使用多年的軟體應用程式。因此,在您續約現有軟體與購買新的 AI 工具時,您的採購流程也必須跟著改變。以下六項最佳做法將是關鍵:
監控不斷變化的 MSA
在 AI 時代,軟體續約需要更謹慎的盡職調查。首先,與那些正在導入 AI 的主要供應商進行對話,直接向他們提問:你們是如何處理我的資料的?它是否與其他客戶的資料存放在同一個環境中?
當您為已購買的軟體續約時,請務必擷取並審查從 MSA(主服務協議)中超連結出去的更新條款。確保新加入的條款不會與既有的 AI ��與資料治理政策產生衝突。
對於您已經在使用的一些現有應用程式,有可能您從未審查過相關協議。也許您最初只是小規模部署,認為沒有必要。但如果您擴大了部署規模,並轉向企業級合約,就值得投入時間進行審查。您可以制定一項政策,要求當軟體部署規模達到某個門檻時,就必須對條款與條件進行稽核。
這種直接與供應商溝通並審查更新 MSA 的工作,可能需要投入大量資源。畢竟,有些企業使用數百個 SaaS 應用程式。然而,找到方法持續掌握這些不斷演變的協議,對於維護資安全性至關重要。詢問資料保護措施
除了瞭解資料的儲存和管理方式外,還要詢問資料是如何受到保護的。有些軟體供應商可能會為每位客戶部署一套獨立的應用程式執行個體,並使用完整的應用程式安全服務來保護每個執行個體。
但也有些供應商可能將所有客戶的資料放在同一個大型資料庫中。這應該引起警覺。不過,如果他們能證明他們對資料進行了充分的加密或標記化處理,確保敏感資訊不會外洩,您或許仍願意使用該軟體。評估廠商優先事項
針對提供 AI 工具的新興供應商,評估他們的策略優先級,以確定他們是否適合貴組織的長期發展。假設您一直在使用一家新創公司的軟體,並且遇到了一些問題。然後,您得知這家新創公��司剛剛完成了新一輪融資。請詢問他們計劃如何使用這筆資金。如果答案是銷售而不是工程,那就另尋他處。與業界社群交流經驗
減少審查所有 MSA 與評估新廠商工作量的方法之一,是與其他技術領導者交流經驗。詢問同儕:你們在各大供應商的條款與條件中看到了哪些趨勢?你們對這些改變感到滿意嗎?
同樣地,針對您正在考慮的純 AI 型供應商,尋求其他領導者的見解。詢問他們:如果這家公司倒閉了,您對您的資料仍能繼續受到保護有多大信心?做好離開的準備
衡量基於 AI 的軟體帶來的風險可能非常困難。因此,無論您是在更新軟體還是評估新應用程式,都要捫心自問,對於無法精確衡量的風險,您能承受多少。
在某些情況下,您可能會認為潛在風險大於潛在價值。您可以選擇停止使用那些因導入 AI 功能而帶來無法接受風險的軟體;或者,您也可以出於對資料安全性或供應商的未來發展缺乏信心,而決定不採用某個新 AI 應用程式。
也有一些折衷方案。例如,您可以等待新創公司成熟後再購買他們的軟體。或者,您可以讓他們使用精簡的功能(或部分資料)來證明其應用程式的價值。考慮自行建置而非購買
許多提供 AI 強化功能的 SaaS �供應商,希望服務盡可能廣泛的客戶群。因此,他們設計出的產品往往針對的是這些潛在客戶中的最低共同標準。
然而,作為一位 CISO,我更希望擁有能深入服務我組織的軟體。例如,我希望使用能減輕員工認知負擔的 AI 工具,讓他們在我們的組織中更具生產力與效率。這些工具應該能運用我們自己的資料,進而幫助整個企業運作得更好。問題在於,市場上很難找到能完全符合我們組織精準需求的現成軟體。
因此,在某些情況下,自行開發會比購買更合理。如果您能打造出既能為企業帶來效益、提供競爭優勢,又能將風險降至最低的能力,那麼自行開發可能會是更好的選擇。而合適的開發人員平台,也能加速這些 AI 應用程式的建立過程。
為 AI 對軟體採購帶來的顛覆做好準備
我們都感受到採用 AI 並推動組織轉型的壓力。軟體供應商也急於促成這種轉變,他們正迅速將新的 AI 功能整合進自己的產品中。因此,身為負責採購軟體的我們,必須時刻保持警覺:軟體採購規則正在改變。如今,我們更需要謹慎評估軟體創新對安全帶來的影響。
並非所有應用程式都能提供足夠的價值,來抵消我們願意承受的風險。在這種情況下,自行開發 AI 應用程式可能是更合適的選擇。Cloudflare 開發人員平台能協助簡化 AI 應用程式的開發與交付流程。透過 Cloudflare Workers AI,您可以在靠近使用者的邊緣環境中開發並執行 AI 應用程式;而 AI Gateway 則能提供對使用者如何使用這些 AI 應用的可見度與控制力。
即使您只是希望維持某些企業軟體的現狀,也請認識到,AI 功能很可能會在這些傳統應用程式中出現——這將迫使您改變採購流程。為這場即將到來的、對軟體採購帶來巨大顛覆的 AI 浪潮做好準備,將是降低風險的關鍵。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
閱讀《確保安全 AI 做法:CISO 可擴展的 AI 策略制定指南》電子書,深入瞭解 AI 如何改變企業運作方式,以及如何智慧、安全地加以利用。
作者
Mike Hamilton – @mike-hamilton-us
Cloudflare CIO
重點
閱讀本文後,您將能夠瞭解:
AI 功能正在悄悄地新增到現有的合約協議中
購買或更新軟體時要考慮的 6 種最佳做法
如何確保 AI 和資料治理政策的合規性