今年早些時候，Verizon 發布了年度資料外洩調查報告(DBIR)，該報告從新興和持續趨勢的角度審視了當前的網路安全狀況。隨著人工智慧在幾乎所有行業中日益普及，這項技術成為該報告的常客也就不足為奇了。儘管 Verizon 謹慎地指出，攻擊者尚未使用人工智慧來創建全新的攻擊策略，但他們正在利用這項技術來提升現有攻擊手段的規模和有效性。像社會工程學這樣的攻擊策略本身就難以阻止，而攻擊者利用人工智慧來產生更具說服力的網路釣魚電子郵件或簡訊詐騙則是一個真正的問題。

然而，人工智慧領域最迫切的問題是缺乏有效的治理實踐。 DBIR 報告強調了一系列人工智慧治理問題，包括生成式人工智慧解決方案在企業政策和執行能力之外的廣泛使用，這導致了嚴重的安全盲點。今年發布的另一份研究報告指出，只有不到一半的組織制定了應對人工智慧威脅的具體策略。隨著人工智慧應用的不斷擴展以及像代理人工智慧 (Agentic AI) 這樣的技術日益成為主流，組織已迫不及待。他們需要在為時已晚之前製定一個人工智慧治理計劃。

隨著人工智慧模型變得越來越快、越來越先進，組織實施和利用它們的速度也不斷加快。這使得組織能夠在其業務流程中創造廣泛的新效率，但也帶來了風險。特定人工智慧功能所帶來的明顯優勢引發了一種「不落後」的心態，推動了對人工智慧的快速應用需求，有時甚至在人工智慧尚未經過充分審查之前就已開始。其他人工智慧技術，包括 ChatGPT 或 Perplexity 等生成式人工智慧工具，已被廣泛使用且易於獲取，這使得雇主難以對其進行監管。正如 Verizon DBIR 指出的那樣，雇主對員工在使用個人裝置和非公司帳戶時與 ChatGPT 共享的內容的監管有限。

這是一個嚴重的問題，因為資料外洩仍然是當今人工智慧應用中最常見（且可能造成破壞）的問題之一。員工可能不了解特定資料是否可以安全地與基於人工智慧的解決方案共享，這可能導致敏感或機密資料進入公共資料模型（或被狡猾的駭客透過快速操作和其他新興策略竊取）。事實上，Gartner 預測，到 2027 年，所有違規行為中高達 40% 的事件將由生成型人工智慧的不當使用造成，並明確指出用戶進行未經授權的跨境資料傳輸的問題。談到人工智慧，企業逐漸意識到安全甚至不是他們面臨的最大挑戰——治理才是。

對於尋求增強 AI 治理方法的組織而言，必須認識到變革始於頂層。企業領導者需要全力支持這項舉措，因為他們為組織定調，更重要的是，他們決定了組織的風險偏好。在製定治理實務時，了解組織的整體風險承受能力至關重要。這意味著組織本身需要擁有一種“風險文化”，確保員工始終考慮與其決策相關的風險。僅僅了解 AI 使用帶來的潛在優勢是不夠的——企業需要了解不同 AI 工具帶來的風險，了解它們是否符合組織的整體風險承受能力，並考慮影子 AI 和/或經批准的 AI 模型濫用對營運和聲譽造成的後果。

這項流程始於資訊接收。這涉及與各個業務部門合作，了解人工智慧目前的應用場景，以及員工未來希望在哪些領域使用人工智慧。成立一個專門負責制定人工智慧可接受使用政策的委員會至關重要，一些獨立諮詢機構已經提供了一些指導方針，可以幫助這些委員會更好地了解如何前進。 NIST 和 OWASP 等機構提供的高階架構雖然不全面，但至少可以幫助企業更透徹地了解人工智慧帶來的風險以及如何成功應對這些風險。掌握了這些知識後，人工智慧委員會應該能夠從更明智的角度批准或拒絕用例。

已擁有完善風險管理方案的組織將更容易實施強大的AI治理。隨著技術的進步，監管和合規環境已（並取得了不同程度的成功）建立了最低安全和資料隱私標準。幸運的是，如今的組織可以使用各種解決方案來幫助自動化風險管理流程的各個要素，這對於制定AI指南至關重要。能夠將可接受的使用政策和AI用例與現有標準和框架持續映射，可以幫助組織更輕鬆地直觀地了解其是否遵循了AI最佳實踐。或許更重要的是，它也為企業在選擇潛在合作夥伴時提供了比較的基礎——使企業能夠在以高風險或不負責任的方式使用AI的供應商造成實際損害之前，將其淘汰。

隨著人工智慧日益強大，世界各地的企業都在尋求快速利用其先進能力來推進自身業務目標的方法。然而，人工智慧也伴隨著風險，那些尚未建立風險意識文化來指導決策過程的企業可能無法識別與該技術相關的潛在陷阱。如今的企業不能等到為時已晚。透過強調風險管理，並基於公認的人工智慧風險指南制定明確的治理政策和實踐，企業領導者可以確保最大限度地發揮人工智慧解決方案的優勢，而不會將自身暴露於重大且不必要的風險之中。