TMF Group首席資安與韌性長Kumar Ravi正在反擊專注於功能而非控制的AI供應商銷售話術。在一次新的訪談中,Ravi認為評估AI工具的管理合夥人問錯了問題——過度關注勒索軟體防護,卻忽略了「漸進且難以察覺的」威脅,如過度權限存取和薄弱的工作流程控制,這些威脅「在多個流程、團隊、系統和應用程式中累積」。
這觸及了AI採購功能失調的核心。當供應商展示令人印象深刻的功能,企業買家專注於明顯的攻擊向量時,真正的風險在於枯燥的身分管理和資料治理。Ravi關於法律特權造成資訊分享瓶頸的觀點特別尖銳——企業越來越「將所有資料點視為特權」,這「可能拖慢並危及及時的資訊分享」,而監管機構和同業需要「快速、具體且可操作的洞察」。
大多數AI供應商對話中缺少的是真正重要的無趣內容:誰有權存取什麼資料?權限如何在AI系統中管理?當您的AI工具與已經存在權限蔓延的現有工作流程整合時會發生什麼?Ravi的更廣泛論點——資安需要董事會層級的衡量和獨立保證——顯示大多數組織在不了解其實際資安態勢的情況下購買AI工具。
對於整合AI API和工具的開發者來說,這意味著不僅要稽核AI供應商的資安聲明,還要稽核他們的工具如何與您現有的存取控制互動。華麗的AI展示不會向您顯示部署六個月後發生的權限擴散。