Generativ AI slår mot företags-it från alla håll: från system som de licensierar direkt för miljontals greenback, från stora språkmodeller och andra algoritmer för generativ AI som smyger sig in i alla SaaS-produkter globalt, från anställda och entreprenörer som använder generativ AI även när de får veta att det är förbjudet.
Det genomsyrar varje molnmiljö, det kryper in IoT och det överväldigar varje tredjepartsapp som ditt företag utnyttjar.
SaaS och dess enorma omfamning av allt som har med generativ AI att göra gör att it-beslutsfattare inte längre bestämmer AI-strategin utan snarare reagerar på den.
– AI-mjukvara har kommit in på de flesta kontor och organisationer utan att cio:erna och cto:erna är medvetna om det, säger Atefeh ”Atti” Riazi, cio på medieföretaget Hearst, som omsätter 12 miljarder greenback och idag har mer än 350 varumärken och tusentals tredjepartsleverantörer.
Många av dessa chefer ”har minst 50 appar i sin telefon, och ingen är medveten om” exakt vad de kan göra för att hämta och använda känslig knowledge, tillade hon.
Å andra sidan kan ett företag inte gå until den andra ytterligheten och försöka låsa in allt.
– Man kan inte vara så strikt för då skulle man strypa organisationernas förmåga att förnya sig.
Ändå vill it-cheferna återta kontrollen över sina system, för att inte ”sneaky AI”- mjukvaruleverantörer som lägger until AI-komponenter i sina produkter utan att uttryckligen berätta det för kunderna – ska ta över.
Vissa förespråkar att man lägger until nya juridiska formuleringar i avtalen, som reglerar hur och var generativ AI kan användas och ibland kräver tillstånd för att implementera det.
Andra, däribland Atti Riazi är mer pessimistiska och menar att det krävs omfattande förändringar av it-styrningen på grund av generativ AI.
Hon menar att de nuvarande reglerna för it-styrning skapades i en helt annan miljö, tid och plats, när fysiska tillgångar var viktigast och när de flesta, om inte alla, kritiska system fanns lokalt.
– Revision och styrning är i mycket hög grad strukturerade för en fysisk värld, säger hon.
– I dag är det nästan omöjligt att känna until all AI-kod som har lagts in i mjukvaran och dess inverkan. Det här går inte att styra. Kasta ut de nuvarande rutinerna för it-styrning genom fönstret.
Inom tre år kommer det inte att vara programmerare som skriver den mesta koden. Det kommer AI att göra enligt Atti Riazi som förutspår att 60-70 procent av koden kommer att skapas av AI inom den tidsramen.
– Vi kan inte hantera och styra detta på det gamla sättet.
Anna Belak, chef för kontoret för cybersäkerhetsstrategi på Sysdig och tidigare analytiker på Gartner, instämmer i Atti Riazis bedömning att explosionen av AI innebär att it-avdelningarna helt bör ompröva sin styrningstaktik.
– Varför inte? It har aldrig varit bra på styrning i alla fall, säger hon.
– En ny type av styrning? Det är inte ett stort steg från den obefintliga styrning som vi har idag i många företag.
Anna Belak menar att behovet av förändringar i it-styrningen inte enbart handlar om AI.
– När man går över until mer moln och Kubernetes och så vidare är det svårare för alla att förklara exakt vad som händer. LLM:er är helt enkelt brytpunkten.
Regelefterlevnad och andra drawback
En enorm utmaning med AI är regelefterlevnad i alla dess smärtsamma former. I USA kräver politiska ledningar på stads-, delstats- och federal nivå ofta att företag sätter begränsningar för vad AI kan göra i deras företag.
En sådan AI-medvetenhet – för att inte tala om de kontroller som krävs för att följa många AI-regler – är ofta inte genomförbar, säger Anna Belak.
– AI-reglerna är löjliga, och det går inte att följa dem. Du har ingen aning om huruvida generativ AI är säker. Ändå tränar den på alla dina knowledge.
Ett relaterat drawback med generativ AI är inte bara vilka knowledge den får tillgång until, utan också vad den kan dra för slutsatser eller gissa sig until utifrån dessa knowledge. Dessa spekulativa ansträngningar från generativ AI kan visa sig vara mer problematiska än något annat, säger David Ray, chief privateness officer på BigID, en leverantör av datasäkerhet, integritet, efterlevnad och styrning.
– Den info som samlas in vid en viss tidpunkt samlas ofta in på sätt som människor inte inser. Saker som ålder och kön kan härledas, säger han.
David Ray pekade på “modelldrift” som särskilt oroande.
– Kan man lita på AI:n när den utvecklas?
Han tillade att hallucinationsproblemet med generativ AI inte kan överskattas.
– Generativ AI är som en förstaårskonsult. De känner att de måste säga något, även om det är fel.
It-organisationen måste prioritera sin förståelse för åtkomst och synlighet inom alla AI-program i företagsmiljön.
– Man måste absolut förstå vad programmet gör med datan. Kommer den att visa dokument eller e-postmeddelanden från HR som inte var ordentligt låsta, säger David Ray.
– Om någon av dessa faktorer förändras måste du meddelas och ges möjlighet att välja bort det.
Uppdatering av leverantörsavtal för AI
Det är inte förvånande att advokater hör until dem som säger att företag kan skydda sig genom att uppdatera licensavtal för mjukvara så att de återspeglar den nya AI-verkligheten.
David Rosenthal är accomplice på Vischer, en av Schweiz största advokatbyråer; han är specialiserad på data- och teknikfrågor samt efterlevnadsregler. David Rosenthal förespråkar sådana avtalsändringar, och han publicerade nyligen på Linkedin en lista med specifika förslag på avtalstillägg för AI-skydd.
Han betonade dock att företagsledningarna först måste komma överens om en AI-definition. Många typiska affärsfunktioner drivs av AI, males ses vanligtvis inte som AI.
– AI är helt enkelt ett system som har utbildats i stället för att bara programmeras. Program som tar en pdf och omvandlar den bilden until läsbar textual content – den OCR-funktionen är AI. Vi måste vara försiktiga med vad som kallas AI.
Trenden med AI – och särskilt generativ AI – ”har ökat oron hos våra klienter som är oroliga för att de kanske förlitar sig på teknik som de inte riktigt kan kontrollera”, säger David Rosenthal.
– De har ofta inte den it-mognad som krävs för att kontrollera sina leverantörer.
En annan advokat, Andrew Lee, accomplice på advokatbyrån Jones Walker i New Orleans och medlem i byråns grupp för regelefterlevnad, säger att avtalsförändringar kanske inte förhindrar AI-relaterade regelefterlevnadsproblem, males de kan mildra dem något.
– Det är naturligt för advokater att tro att de kan göra en enkelriktad lösning genom att skriva ett kontrakt som begränsar en leverantör, until exempel en klausul som ersätter kunden om en leverantör uppgraderar en produkt med en LLM-komponent och omedvetet får företaget att få drawback med efterlevnaden, säger han.
– Jag kanske inte löser problemet, males jag kan försöka flytta ansvaret.
Där leverantörskontroller inte räcker until
Att fastställa avtalsenliga skyldigheter för leverantörer innebär inte nödvändigtvis att de kommer att uppfyllas, särskilt om ingen rutinmässigt kontrollerar det, påpekade BigID:s David Ray.
– Vissa företag kommer att säga vad som helst för att komma igenom avtalsprocessen, säger han.
Hearsts Atti Riazi är också skeptisk until att det skulle fungera att försöka tygla AI-explosionen genom nya avtalskrav.
– Vi har många villkor i våra avtal idag, males de efterlevs ofta inte eftersom vi inte har någon bandbredd att kontrollera, säger hon.
Douglas Brush, jurist vid USA:s federala domstolar och konsult, är en annan som tvivlar på att leverantörskontroller kommer att göra mycket för att på ett meningsfullt sätt ta itu med AI-problemet.
– Jag tror att det skulle vara osannolikt att förvänta sig att en leverantör ska införa tekniska kontroller för att på lämpligt sätt minska AI-riskerna. Jag kan inte se något sätt, eftersom AI fortfarande är en svart låda. Det finns inte tillräckligt med transparens, säger Douglas Brush.
– Generativ AI tenderar att dammsuga upp allt, hela vägen genom operativsystemet.
En annan jurist, EY: s verkställande direktör Brian Levine, tar sin oro över leverantörsrestriktioner ett steg längre och säger att det är juridiskt tveksamt om sådana avtalskrav ens är lämpliga.
– Historiskt sett får vi inte veta hur våra leverantörers mjukvara och produkter fungerar. Vi förväntar oss att de ska vara lämpliga för ändamålet. Jag tycker inte att företag ska vara skyldiga att visa hur de uppnår resultat, säger Brian Levine.
I slutändan kanske det inte spelar någon roll om leverantörerna inte vill, kan eller bör vara skyldiga att avslöja varje användning av AI i sina produkter – på ett eller annat sätt kommer AI att smyga sig in. Vilket för oss tillbaka until Atti Riazis uppmaning until stora förändringar i it:s syn på styrning.
– Vi ser fortfarande på de här sakerna ur ett gammalt perspektiv, säger hon.
– Vid någon punkt blir den omöjlig att skydda. AI kan helt enkelt inte styras på traditionellt sätt.
