CTO 在 GenAI 时代强化组织的 3 种方式

快速阅读: 据《信息周刊》最新报道，生成式人工智能虽潜力巨大，但也带来数据安全和隐私风险。首席技术官（CTO）需通过制定清晰的使用政策、严格控制源代码访问及提供用户退出选项等方式，平衡技术创新与数据安全。

很少有技术能像生成式人工智能那样抓住公众的想象力。似乎每一天都有新的基于人工智能的聊天机器人、扩展程序和应用程序发布给世界各地渴望的用户。根据最近的一项针对IT领导者的调查，55%的组织要么正在试点生成式人工智能，要么已经将其投入生产模式。这一比例在任何情况下都相当可观，更不用说仅仅12个月前，“生成式人工智能”这个词还几乎不是我们集体词汇的一部分。然而，尽管这项技术承诺提高其劳动力的生产力和效率，它也留下了一系列潜在的风险和责任。八月份的一项Blackberry调查显示，75%的世界各地的组织正在考虑或实施对工作场所中ChatGPT和其他生成式人工智能应用的禁令，其中绝大多数（67%）提到的是数据安全和隐私风险。这类数据安全隐患之所以产生，是因为用户输入和互动是公共人工智能平台持续学习和改进所需的燃料。因此，如果用户与聊天机器人分享机密公司数据（例如：产品路线图或客户信息），这些信息就会被整合到其训练模型中，聊天机器人可能会将这些信息透露给后续用户。

当然，这一挑战不仅限于公共人工智能平台，即便是一家公司基于自有专有数据集训练的内部大型语言模型（LLM），也可能无意间让敏感信息对未授权员工可见。相关：弥合业务领导者和技术团队间的隔阂

为了更好地评估和减轻这些风险，大多数已经开始测试生成式人工智能的企业主要依靠两个高级角色来实施：首席信息安全官（CISO），他最终负责保护公司的敏感数据；以及总法律顾问，他监督组织的治理、风险和合规职能。然而，随着组织开始在其自己的数据上训练人工智能模型，他们忽视另一个关键角色的战略讨论将是不明智的：首席技术官（CTO）。

**数据安全与首席技术官（CTO）**

尽管CTO的职责因所在组织而异，但几乎所有CTO都负责构建技术栈并定义如何最好地利用该技术基础设施的政策。鉴于此，CTO有一个独特的视角，可以从战略上评估这些人工智能计划如何与其战略目标保持一致。相关：如何向《信息周刊》提交专栏文章

随着越来越多的组织可能对公共人工智能项目持谨慎态度，转而选择投资于基于自身数据训练的人工智能模型，他们的战略洞察力变得尤为重要。确实，在OpenAI最近的开发者大会（DevDay）上，其中一个主要公告就是关于自定义模型的发布，这是其旗舰ChatGPT服务的一个定制版本，可以专门针对公司的专有数据集进行训练。自然，鉴于数据安全方面的普遍不确定性，其他大型语言模型（LLM）很可能会效仿。

然而，仅仅因为选择了内部开发，并不意味着你已经规避了所有人工智能风险。例如，考虑当今数字企业中最宝贵的“皇冠上的明珠”之一：源代码。随着组织越来越多地将生成式人工智能集成到其运营中，它们面临着与源代码管理相关的新的复杂风险。在训练这些人工智能模型的过程中，组织通常会使用客户数据作为训练集的一部分，并将其存储在源代码存储库中。这种将敏感客户数据与源代码混合在一起的做法带来了许多挑战。

通常情况下，客户数据是在安全数据库中管理的，而通过生成式人工智能模型，这些敏感信息可能会嵌入到模型的算法和输出中。这就造成了一种情况，即人工智能模型本身成为敏感数据的存储库，模糊了数据存储和应用逻辑之间的传统界限。由于边界不明确，敏感数据可能会迅速蔓延到组织内的多个设备和平台上，显著增加被外部方意外泄露或在某些情况下被恶意内部人员泄露的风险。

那么，你如何将一个像人工智能模型这样技术性和抽象的东西转化为适合用户的形式——同时又不危及你的最敏感数据呢？CTO可以采取三种方式来平衡这一关系：

**每个企业CTO都理解权衡的原则。如果某个业务单元负责人要求某款特定应用更快的性能，那么资源或预算可能需要从其他项目中转移。鉴于他们对IT环境及其与第三方云服务交互的整体视角，CTO处于一个独特的位置，可以定义一种保持数据安全优先的人工智能策略。以下是CTO可以与其他关键利益相关者合作并找到正确平衡的三种方式：**

**CTO可以采取三种方式来平衡这一关系**

1. **教育而非禁止**：鉴于通过生成式人工智能暴露数据存在诸多安全和监管风险，许多组织本能地短期禁止其使用是很自然的。然而，这种短视的心态在长期内会阻碍创新。CTO可以帮助确保组织的可接受使用政策清晰界定生成式人工智能技术的合理与不合理用途，并详细说明生成式人工智能可以在哪些具体场景中使用，同时强调数据安全与合规要求。

2. **隔离并保护源代码存储库**：一旦知识产权被引入人工智能模型，过滤它的任务就会变得指数级困难。CTO的责任是确保对源代码存储库的访问受到严格控制和监控。这包括建立角色和权限以限制谁可以访问、修改或分发代码。通过执行严格的访问控制，CTO可以最小化未经授权访问或敏感数据泄漏的风险，并建立需要代码在合并到主存储库之前进行审查和批准的过程。

3. **为用户提供退出选项**：允许用户选择退出对于在公司与其用户之间建立信任和透明度至关重要——当用户感觉自己的隐私得到尊重和保障时，他们更有可能与人工智能技术互动。CTO拥有理解人工智能系统内数据收集、处理和使用的技术专业知识，这对于创建有效且真正保护用户数据的退出机制至关重要。CTO还可以在定义这些人工智能解决方案负责任部署的战略方向方面发挥关键作用，确保用户隐私和数据安全被置于优先地位并融入公司技术战略。

(以上内容均由Ai生成)