Lemongrass聯合創始人兼首席技術官 Eamonn O'Neill分享了企業在保護和管理生成式 AI 工具方面面臨的挑戰，并提出了整合現有數據治理政策的戰略。

當前，許多企業在為保護 GenAI 工具和服務以及為其提供支持的數據而所采取的方法很混亂。

一些組織對將敏感信息暴露給 ChatGPT 等 GenAI 服務非常謹慎，以至于他們在公司網絡上完全屏蔽了這些服務，但這通常是一種下意識的、無效的方法。想要使用這些服務的員工可以通過其他方式輕松訪問它們，例如通過他們的個人通信設備。

在其他情況下，企業試圖根據監管要求制定AI安全和治理策略。由于迄今為止全球對 GenAI 的監管指導很少，因此結果往往是混亂且不斷變化的 AI 治理政策，這些政策可能與監管機構最終確定的授權一致，也可能不一致。

這里有更好的方法：使用現有的數據安全和治理政策作為管理組織內生成式 AI 服務的基礎。這種方法對于保護生成式 AI 非常有效，以下是它在實踐中的表現。

GenAI 治理的必要性

不可否認的是，企業需要為 GenAI 制定并執行明確的安全和治理政策。企業內部部署的此類服務可能會訪問高度敏感的企業數據，這對數據隱私和安全具有重大影響。

例如，如果員工在提示中將專有業務信息輸入 ChatGPT，理論上 ChatGPT 可以在此后的任何時候將這些數據泄露給競爭對手。由于企業無法控制 ChatGPT 的運作方式，因此企業無法控制 ChatGPT 在獲取其數據后如何使用這些數據。

同樣，沒有辦法從 GenAI 模型中“刪除”敏感數據。一旦被攝取，它就會永遠存在，或者至少直到模型停止運行。從這個意義上說，企業內部的 GenAI 提出了與企業控制私人信息生命周期的能力相關的深刻挑戰。一旦你不再需要這些數據，你就不能簡單地從 GenAI 模型中刪除這些數據，就像你可以從數據庫或文件系統中刪除私人數據一樣。

使這些挑戰更加復雜的是來自不同供應商的 GenAI 服務數量眾多。由于這種多樣性，沒有簡單的方法來實現訪問控制，定義哪些員工可以在企業可能采用的不同 GenAI 解決方案中執行哪些操作。像 Active Directory 這樣的身份管理框架最終可能會發展到支持跨 GenAI 服務的統一訪問控制集，但它們目前還沒有實現。

出于這些原因，企業必須為 GenAI 定義安全和治理規則。具體來說，規則需要控制 GenAI 模型可以訪問哪些數據、如何訪問這些數據，以及必須實施哪些訪問控制來管理員工與 GenAI 服務的交互。

數據治理作為GenAI治理的基礎

大多數組織都認識到人工智能治理的重要性。然而，如前所述，實施有效的治理政策和控制對許多組織來說相當具有挑戰性，主要是因為他們不知道從哪里開始。

解決這一挑戰的一個實用方法是根據大多數企業早已實施的數據治理政策來制定 AI 治理規則。畢竟，GenAI 面臨的許多隱私和安全問題最終都歸結為數據隱私和安全問題。因此，數據治理規則也可以擴展到治理 AI 模型。

這在實踐中意味著在 GenAI 服務中建立訪問控制，根據企業已經制定的數據治理規則限制這些服務可以訪問哪些數據。實施控制將有所不同，因為企業需要依賴支持生成式 AI 模型的訪問控制工具，而不是數據庫、數據湖等的訪問控制。但結果是相同的，因為控制將定義誰可以對組織的數據做什么。

這種方法特別有效，因為它為采用 GenAI 服務作為訪問和查詢業務數據的新界面奠定了基礎。只要你妥善管理和保護 GenAI 服務，就可以讓員工依賴這些服務來詢問有關你的數據的問題。而且，可以確信每位員工的訪問級別都是適當的，這要歸功于你構建的 AI 治理控制。

一種簡單有效的數據治理和人工智能治理方法

歸根結底，AI 治理方法不僅為決定企業 AI 服務用戶可以訪問和不能訪問哪些數據提供了明確的基礎(以數據治理規則的形式)，還簡化了數據治理本身，因為它最大限度地減少了為每個數據資源實施訪問控制的需要。

當 GenAI 服務成為與數據交互的集中式界面時，企業只需通過 GenAI 即可實施數據治理。這比為組織內的每個數據資產建立不同的控制措施要容易得多，也更有效率。

因此，無需盲目制定企業 AI 治理政策，或者更糟的是，完全阻止 AI 服務并祈禱員工不會繞過企業的限制，而是需要評估現有的數據治理規則，并將其作為定義 AI 治理控制的務實基礎。