TMF Group首席安全与韧性官Kumar Ravi正在反对AI供应商专注于功能而非控制的销售说辞。在一次新访谈中,Ravi认为评估AI工具的管理合伙人在问错误的问题——痴迷于勒索软件防护,却忽视了"逐渐且不易察觉的"威胁,如过度权限访问和薄弱的工作流控制,这些威胁"在多个流程、团队、系统和应用程序中累积"。
这触及了AI采购功能失调的核心。当供应商演示令人印象深刻的功能,企业买家专注于明显的攻击向量时,真正的风险在于枯燥的身份管理和数据治理。Ravi关于法律特权造成信息共享瓶颈的观点特别尖锐——公司越来越多地"将所有数据点视为特权",这"可能减慢并危及及时的信息共享",而监管机构和同行需要"快速、具体和可操作的洞察"。
大多数AI供应商对话中缺少的是真正重要的无趣内容:谁有权访问什么数据?权限如何在AI系统中管理?当您的AI工具与已经存在权限蔓延的现有工作流集成时会发生什么?Ravi的更广泛论点——安全需要董事会级别的衡量和独立保证——表明大多数组织在不了解其实际安全态势的情况下购买AI工具。
对于集成AI API和工具的开发者来说,这意味着不仅要审计AI供应商的安全声明,还要审计他们的工具如何与您现有的访问控制交互。华丽的AI演示不会向您展示部署六个月后发生的权限扩散。