Kumar Ravi, Diretor de Segurança e Resiliência do TMF Group, está reagindo contra o discurso de vendas de fornecedores de IA que foca em capacidades sobre controles. Em uma nova entrevista, Ravi argumenta que parceiros gestores avaliando ferramentas de IA estão fazendo as perguntas erradas—obsecando com proteção contra ransomware enquanto ignoram ameaças "graduais e imperceptíveis" como acesso super-privilegiado e controles de fluxo de trabalho fracos que "se acumulam através de múltiplos processos, equipes, sistemas e aplicações".
Isso vai ao cerne da disfunção de aquisição de IA. Enquanto fornecedores demonstram recursos impressionantes e compradores empresariais focam em vetores de ataque óbvios, o risco real está no gerenciamento de identidade chato e governança de dados. O ponto de Ravi sobre privilégio legal criando gargalos no compartilhamento de informações é particularmente certeiro—empresas cada vez mais "tratam todos os pontos de dados como privilegiados", o que "pode atrasar e comprometer o compartilhamento oportuno de informações" com reguladores e pares que precisam de "insights rápidos, específicos e acionáveis".
O que está faltando na maioria das conversas com fornecedores de IA é o material sem graça que realmente importa: Quem tem acesso a quais dados? Como as permissões são gerenciadas através de sistemas de IA? O que acontece quando sua ferramenta de IA se integra com fluxos de trabalho existentes que já têm expansão de privilégios? O argumento mais amplo de Ravi—que segurança precisa de medição em nível de diretoria e garantia independente—sugere que a maioria das organizações está comprando ferramentas de IA sem entender sua postura de segurança real.
Para desenvolvedores integrando API e ferramentas de IA, isso significa auditar não apenas as alegações de segurança do fornecedor de IA, mas como suas ferramentas vão interagir com seus controles de acesso existentes. A demo chamativa de IA não vai te mostrar a proliferação de permissões que acontece seis meses depois da implantação.