Συνεντεύξεις

Σον Ρότσι, Σénior Διευθυντής Προϊόντων και Μηχανικής Αξίας, Obsidian Security – Σειρά Συνεντεύξεων

mm
Published

Σον Ρότσι, Σénior Διευθυντής Προϊόντων και Μηχανικής Αξίας στην Obsidian Security, ηγείται διασυνοριακών πρωτοβουλιών που επικεντρώνονται στην ασφάλεια SaaS, ασφάλεια AI και στρατηγική go-to-market. Έχει διαδραματίσει βασικό ρόλο στην ανάπτυξη του πρώτου ενοποιημένου πλαισίου χρήσης της εταιρείας, ευθυγραμμίζοντας τις πωλήσεις, την.marketing και την επιτυχία των πελατών γύρω από μετρήσιμες επιχειρηματικές αποτελέσματα, ενώ παράλληλα εποπτεύει τις εκδόσεις λύσεων ασφάλειας GenAI και AI agent. Πριν από την Obsidian Security, ο Ρότσι κατείχε ηγετικές θέσεις σε εταιρείες όπως η Forter, η Aviatrix και η Okta, όπου ειδικεύτηκε στην αξιολόγηση επιχειρηματικής αξίας, στρατηγική τιμολόγησης, μηχανική αξίας πελατών και ανάλυση απόδοσης για υψηλό επίπεδο. Το υπόβαθρό του συνδυάζει κυβερνοασφάλεια, στρατηγική επιχειρηματικού λογισμικού και οικονομική έρευνα, δίνοντάς του εκτεταμένη εμπειρία στη μετάφραση τεχνικών ικανοτήτων σε μετρήσιμη επιχειρηματική επίδραση για επιχειρηματικούς πελάτες.

Obsidian Security είναι μια εταιρεία κυβερνοασφάλειας που επικεντρώνεται στην ασφάλεια εφαρμογών SaaS, agent AI, ταυτοτήτων και ενσωματώσεων επιχειρήσεων σε σύγχρονα περιβάλλοντα cloud. Η εταιρεία παρέχει ένα ενοποιημένο πλαίσιο που σχεδιάστηκε για να βοηθήσει τις οργανώσεις να ανιχνεύουν απειλές, να διαχειρίζονται την ασφάλεια SaaS, να κυβερνούν την πρόσβαση δεδομένων και να παρακολουθούν επικίνδυνες δραστηριότητες σε κρίσιμες επιχειρηματικές εφαρμογές όπως το Microsoft 365, το Salesforce, το Slack και άλλες υπηρεσίες cloud. Τα τελευταία χρόνια, η Obsidian έχει επεκταθεί στην ασφάλεια agent AI, βοηθώντας τις επιχειρήσεις να αποκτήσουν ορατότητα σε πώς οι αυτόνομοι AI συστήματα αλληλεπιδρούν με πλαίσια SaaS, δεδομένα και ροές εργασίας σε πραγματικό χρόνο. Ιδρυθείσα από ηγέτες ασφαλείας με προφίλ σε εταιρείες όπως η CrowdStrike, η Okta, η Cylance και η Carbon Black, η Obsidian позиτίζεται ως πλήρης πλαίσιο ασφαλείας SaaS και AI που κατασκευάζεται για να αντιμετωπίσει την αυξανόμενη сложκότητα των περιβαλλόντων cloud και AI.

Έχετε χτίσει την καριέρα σας στο σημείο τομής της επιχειρηματικής αξίας, στρατηγικής κινδύνου και ασφάλειας SaaS, και τώρα ηγείστε την μηχανική αξίας και την προώθηση προϊόντων στην Obsidian Security. Τι σας drew να εστιάσετε στην ασφάλεια AI-κίνητων οικοσυστημάτων SaaS, και πώς διαφέρει η προσέγγιση της Obsidian όταν πρόκειται για αναδυόμενες τεχνολογίες όπως το OpenClaws;

Σε όλη τη διάρκεια της καριέρας μου, το μεγαλύτερο κενό ήταν πάντα αυτό που η ασφάλεια δεν μπορεί να δει, γιατί εκεί είναι που ζουν οι παραβιάσεις. Έχουμε δει αυτό σε περιστατικά όπου αποσυνδεδεμένα ή μη διαχειριζόμενα συστήματα δημιούργησαν έκθεση που οι παραδοσιακές ελέγχοι απλώς δεν έπιασαν. Και έχω δει την ίδια δυναμική από πρώτο χέρι με τις πιο σύγχρονες γέφυρες που οι άνθρωποι χρησιμοποιούν για να συνδεθούν σε κύριες πλατφόρμες, ή συνδέσεις που ήταν εκτός της κανονικής ορατότητας ασφαλείας, και σε ορισμένες περιπτώσεις ακόμη και μετά την IT ομάδα νόμιζε ότι τις είχε απενεργοποιήσει. Αυτές οι εμπειρίες έκαναν σαφές πόσο από τον κίνδυνο κάθεται στα ραφιά μεταξύ συστημάτων, όχι μόνο μέσα στα συστήματα που νομίζουμε ότι έχουμε ασφαλίσει.

Αυτή η πραγματικότητα μεταφέρεται από την shadow IT στο shadow AI, όπου νέα εργαλεία και agent-κίνητες ροές εργασίας μπορούν να εμφανιστούν και να εξαπλωθούν γρηγορότερα από τις στρατηγικές κυβερνοασφάλειας που μπορούν να τις跟ουν. Πολλές προσεγγίσεις ασφαλείας απαντούν προσπαθώντας να κεντρώσουν και να ελέγξουν όλα τα πάντα σε ένα μόνο πεδίο ελέγχου. Αλλά αυτό το μοντέλο καταρρέει σε κατανεμημένα περιβάλλοντα, ιδιαίτερα όταν κρίσιμα δεδομένα και δραστηριότητες συμβαίνουν μέσα σε τρίτες εφαρμογές που δεν κατέχετε και δεν μπορείτε να ελέγξετε πλήρως.

Αυτό είναι που με drew στην ασφάλεια AI-κίνητων οικοσυστημάτων SaaS, και είναι επίσης γιατί η προσέγγιση της Obsidian είναι τόσο ελκυστική. Ο αριθμός των παραβιάσεων SaaS έχει αυξηθεί κατά 300%, και όμως οι περισσότερες οργανώσεις ακόμη λείπουν της σωστής ορατότητας σε πώς αυτές οι εφαρμογές χρησιμοποιούνται. Αυτό είναι το κενό που επικεντρωνόμαστε, ώστε να μπορείτε να κατανοήσετε τι συμβαίνει πραγματικά μέσα στην επιχείρηση και πού υπάρχει η έκθεση. Όσο οι τεχνολογίες agent AI όπως το OpenClaws ωριμάζουν, αυτή η προσέγγιση γίνεται ακόμη πιο σημαντική, γιατί ο κίνδυνος δεν είναι μόνο αν ένας agent έχει πρόσβαση σε某μένα δεδομένα, αλλά τι μπορεί να προσεγγίσει και πώς γρήγορα μπορεί να ενεργήσει.

Συστήματα AI agent όπως το OpenClaws κερδίζουν σημαντική προσοχή μετά το NVIDIA GTC. Από την οπτική σας, τι διαφοροποιεί ουσιαστικά αυτά τα συστήματα από προηγούμενα εργαλεία AI σε όρους κινδύνου ασφαλείας;

Η κατανόηση των μη ανθρώπινων ταυτοτήτων και πώς να τις ασφαλίσουμε έχει γίνει κρίσιμη για τις ομάδες ασφαλείας, καθώς 68% των περιστατικών ασφαλείας IT现在 εμπλέκουν μη ανθρώπινες ταυτότητες και η μισή των επιχειρήσεων που ερωτήθηκαν έχουν υποστεί παραβίαση ασφαλείας λόγω μη διαχειριζόμενων μη ανθρώπινων ταυτοτήτων. Η βιομηχανία ασφαλείας έχει επικεντρωθεί κυρίως στην διαχείριση στάθμης ασφαλείας SaaS και στην κυβερνοασία ανθρώπινων ταυτοτήτων, ενώ οι μη ανθρώπινες ταυτότητες έχουν πολλαπλασιαστεί στο παρασκήνιο. Τώρα, καθώς οι οργανώσεις αναπτύσσουν agents AI με διοικητικές εξουσίες σε κλίμακα, το έλλειμμα κυβερνοασίας έχει γίνει κρίσιμο.

Συστήματα agent AI όπως το OpenClaws δείχνουν και την υπόσχεση και τον κίνδυνο του πραγματικά agent AI. Είναι μια από τις πρώτες φορές που βλέπουμε AI να κυκλοφορεί στο άγριο με πραγματική αυτονομία, λειτουργώντας πέρα από μια στενή, εποπτευόμενη ροή εργασίας.

Ο κίνδυνος ασφαλείας αλλάζει γρήγορα όταν αυτές οι ικανότητες γίνονται πιο ευρέως προσιτές, μειώνοντας το εμπόδιο για μη εμπειρογνώμονες να αλληλεπιδράσουν και πιθανώς να εκμεταλλευτούν αυτά τα κρίσιμα συστήματα. Οι άνθρωποι έχουν ήδη συνδέσει agents AI με τα περιβάλλοντα SaaS τους και επεκτείνουν το τοπίο απειλών με πολλούς τρόπους, συμπεριλαμβανομένων API κλειδιών, εγγενών ενσωματώσεων και τρίτων εφαρμογών. Ωστόσο, κάθε νέα ροή εργασίας που ενεργοποιείται από agent πολλαπλασιάζει τους δρόμους πρόσβασης.

Η πρόσφατη παραβίαση Vercel εικονογραφεί αυτή την αυξανόμενη απειλή που αντιμετωπίζουν οι ομάδες ασφαλείας. Όταν авторизείτε μια τρίτη εφαρμογή, εμπιστεύεστε 암PLICITLY όλους όσους αγγίζουν την υποδομή της εφαρμογής, τον παρόχου cloud, τους dévelopers, τις δικές τους συνδεδεμένες υπηρεσίες. Οι περισσότερες οργανώσεις δεν ξέρουν τι έχουν συμφωνήσει πραγματικά, και αυτό το ζήτημα ενισχύεται από την ραγδαία χρήση agent AI.

Πολλοί agents AI λειτουργούν χωρίς πραγματικό χειρισμό για να τους ελέγξουν. Όταν δεν έχετε πρόσβαση σε δακτυλικά αποτυπώματα ή έχετε αδύναμους φρουρούς σε θέση, είναι δύσκολο να γνωρίσετε τι έκανε ο agent, τι άγγιξε και τι άλλαξε μέχρι μετά το γεγονός. Αυτό το συνδυασμό είναι αυτό που κάνει το προφίλ κινδύνου ουσιαστικά διαφορετικό από προηγούμενα εργαλεία AI.

Μπορείτε να μας οδηγήσετε σε ένα πραγματικό σценάριο όπου ο κίνδυνος γίνεται ορατός για μια επιχείρηση;

Οι κίνδυνοι όπως αυτοί που προβάλλουν τα OpenClaws γίνονται ορατοί τη στιγμή που αυτά τα agents μεταφέρονται από απομονωμένες εργασίες και εγκαθίστανται σε πραγματικά περιβάλλοντα παραγωγής, κάτι που ήδη συμβαίνει.

Οι περισσότερες οργανώσεις εστιάζονται στο να βεβαιωθούν ότι ο σωστός άνθρωπος μπορεί να προσεγγίσει έναν agent και ότι ο agent συμπεριφέρεται όπως αναμένεται. Ωστόσο, λίγες οργανώσεις σκέφτονται τι συμβαίνει όταν ένας agent αρχίζει να αλληλεπιδρά με έναν άλλον agent.

Εκεί είναι που το τοπίο απειλών επεκτείνεται δραματικά. Μόλις οι έξοδοι από ένα σύστημα, όπως μηνύματα Slack ή εισιτήρια Jira, γίνουν ερέθισμα για δράσεις σε ένα άλλο. Οι ηγέτες χάνουν τον έλεγχο των αλληλεπιδράσεων και δεν μπορούν να διατηρήσουν συνεχή ορατότητα και ιχνηλασία. Αυτοί οι agents συνδέονται επίσης ταυτόχρονα σε APIs SaaS, πολλές από τις οποίες ακόμη λείπουν της σωστής πύλης ή προστασίας ασφαλείας.

Η μέση επιχείρηση τρέχει ήδη εκατοντάδες agents, αριθμός που έχει αυξηθεί σχεδόν 100x τον τελευταίο χρόνο. Όταν οι ομάδες πραγματικά κοιτάξουν, το 38% φέρνει μέτριους, υψηλούς ή κρίσιμους παράγοντες κινδύνου, οι περισσότεροι χωρίς ντοκιμαντέρ ιδιοκτήτη, πολλοί από τους οποίους χτίστηκαν από λογαριασμούς που δεν υπάρχουν πλέον, με ζωντανούς συνδεσμούς σε συστήματα παραγωγής και μηδενική ιστορία εκτέλεσης.

Η κλείσιμο αυτού του κενού απαιτεί βαθιά ορατότητα μέσα στις εφαρμογές για να κατανοήσετε καλύτερα τι μπορούν να κάνουν αυτά τα διαπιστευτήρια, σε κάθε σύστημα, σε κάθε σύνολο δεδομένων, για κάθε πιθανό invoker. Χωρίς αυτήν την ορατότητα, λειτουργείτε με μόνο την μισή εικόνα. Οι ηγέτες πρέπει επίσης να μεταφέρουν τις στρατηγικές από ανίχνευση σε runtime επιβολή για να μπλοκάρουν δράσεις στη στιγμή της εκτέλεσης, πριν ολοκληρωθεί η δράση, και όχι μετά το γεγονός.

Πολυάριθμες οργανώσεις πιστεύουν ότι έχουν ήδη επαρκή ασφάλεια SaaS στη θέση τους. Πού σπάει αυτή η υπόθεση όταν το agent AI μπαίνει στη σκηνή;

Πολυάριθμες οργανώσεις πιστεύουν ότι έχουν ήδη “λύσει” την ασφάλεια SaaS, αλλά αυτή η υπόθεση προκύπτει ως προκλήση καθώς η υιοθέτηση agent AI επιταχύνεται. Η ασφάλεια SaaS συχνά αντιμετωπίζεται ως ένα κουτί που πρέπει να ελεγχθεί: το προϋπολογισμό εγκρίνεται, ένα εργαλείο αναπτύσσεται και το πρόβλημα θεωρείται αντιμετωπισμένο. Στην πράξη, όμως, οι APIs SaaS που υποστηρίζουν αυτά τα περιβάλλοντα δεν έγιναν ποτέ πλήρως ελεγχόμενοι, κυρίως λόγω της πραγματικά περιορισμένης ορατότητας της επιχείρησης σε αυτό που συμβαίνει στο επίπεδο API και ποια SaaS περιουσίες μιλάνε μεταξύ τους.

Αυτό δημιουργεί ένα δομικό τυφλό σημείο, όπου οι επιχειρήσεις μπορεί να ασφαλίσουν ταυτότητες και τελικούς, αλλά συχνά λείπουν μιας σαφής εικόνας για το πώς τα δεδομένα SaaS προσεγγίζονται και ενεργούν όταν οι APIs είναι σε λειτουργία. Jako αποτέλεσμα, πολλές οργανώσεις λειτουργούν ακόμη πάνω από το ανοιχτό διαδίκτυο απευθείας σε κρίσιμα συστήματα χωρίς να κατανοούν πλήρως το μέγεθος ή τη συμπεριφορά των αλληλεπιδράσεων API που συμβαίνουν κάτω.

Το agent AI αποκαλύπτει αυτήν την κενή και δημιουργεί προκλήσεις γρηγορότερα από ό,τι οι ομάδες μπορούν να τις κλείσουν, και κατά τη διαδικασία γίνεται καταλύτης για τη συζήτηση API.

Πώς πρέπει οι οργανώσεις να ξανασκέφτουν την κυβερνοασία όταν έχουν να κάνουν με αυτόνομους agents AI που μπορούν να προσεγγίσουν, να μετακινήσουν και να ενεργήσουν σε δεδομένα σε πολλαπλά συστήματα;

Κανείς ηγέτης δεν θέλει να επιβραδύνει την υιοθέτηση AI αυτή τη στιγμή, ιδιαίτερα καθώς οι πιέσεις αυξάνονται για να κινηθούν γρηγορότερα ή να δείξουν μετρήσιμα αποτελέσματα, ακόμη και όταν η κατανάλωση token χρησιμοποιείται σε αξιολογήσεις. Σε πολλές περιπτώσεις, οι οδηγίες AI έρχονται απευθείας από την κορυφή, με CEOs που αναφέρουν πρόοδο σε διοικητικά συμβούλια ή ακόμη και δημόσιους μετόχους, που chỉ ενισχύουν την πίεση για υιοθέτηση με ταχύτητα. Σε αυτό το περιβάλλον, όπου “AI με mọi κόστος” γίνεται η mặc định στάση, οι λανθασμένες ρυθμίσεις και η υπερ-εξουσιοδότηση δεν μπορούν να διορθωθούν πραγματικά μέσω των παραδοσιακών κύκλων κυβερνοασίας.

Το ζήτημα είναι ότι τα συστήματα agent δεν περιμένουν τη διόρθωση. Μπορούν να ανακαλύψουν συστήματα, να αλυσίδων δράσεις και να εκτελέσουν ροές εργασίας σε πολλαπλά SaaS εφαρμογές σε δευτερόλεπτα, συχνά ολοκληρώνοντας δέκα ή περισσότερα βήματα πριν ένας άνθρωπος μπορεί ακόμη και να ανιχνεύσει, πόσο μάλλον να παρέμβει.

Αυτό είναι γιατί η κυβερνοασία δεν είναι πλέον μόνο για το να πιάσει τα ζητήματα νωρίτερα στη διαδικασία ανάπτυξης, αλλά και για τον έλεγχο στη στιγμή που ο agent ενεργεί. Οι ηγέτες ασφαλείας δεν μπορούν να κυβερνήσουν αποτελεσματικά τους agents αν ο έλεγχος συμβαίνει μόνο μετά τη λανθασμένη χρήση.

Σε ένα κόσμο όπου οι agents λαμβάνουν αυτόνομες αποφάσεις σε SaaS συστήματα, η μόνη βιώσιμη προσέγγιση για την προστασία από αυτές τις απειλές agent-AI είναι η Runtime Governance. Αυτή η προσέγγιση απαιτεί να μεταφερθεί πέρα από την ανίχνευση μετά την εκτέλεση, για να ανιχνεύσει και να μπλοκάρει την ανύψωση προνομίων, την υπερβολική πρόσβαση δεδομένων και τις παραβιάσεις πολιτικής πριν μπορέσουν να επηρεάσουν την οργάνωση. Αυτοί οι έλεγχοι πρέπει να ευθυγραμμιστούν με τα πρότυπα OWASP και τις βέλτιστες πρακτικές της βιομηχανίας, εξασφαλίζοντας ότι οι agents λειτουργούν μέσα σε σαφείς και επιβαλλόμενες ορίους – ώστε οι ομάδες να μπορέσουν να跟ουν το ρυθμό της υιοθέτησης agent AI χωρίς να компромιττουν την καινοτομία.

Από τεχνική άποψη, ποια είναι τα πιο παραμελημένα κενά ασφαλείας που εισάγονται από το agent AI μέσα σε περιβάλλοντα SaaS;

Όταν οι οργανώσεις υιοθετούν ένα νέο εργαλείο SaaS, συχνά βρίσκουν ότι η λειτουργικότητα AI προστίθεται ή ενεργοποιείται από προεπιλογή. Το πρόβλημα είναι ότι αυτές οι ικανότητες συχνά δεν έρχονται με το ίδιο επίπεδο ελέγχου ρυθμίσεων ή ελέγχου που οι ομάδες ασφαλείας εξαρτώνται για τις παραδοσιακές λειτουργίες SaaS. Jako αποτέλεσμα, όταν μια δράση λαμβάνει χώρα, γίνεται δύσκολο να διακρίνουμε αν ξεκίνησε από έναν άνθρωπο ή έναν αυτόνομο agent. Σε πολλές περιπτώσεις, οι επιχειρήσεις δεν έχουν την επιλογή να απενεργοποιήσουν τη λειτουργικότητα AI, поскольку αυτές οι ικανότητες είναι ενσωματωμένες στη δική τους εφαρμογή SaaS.

Αυτή η αμφιiguity δημιουργεί ένα μεγάλο τυφλό σημείο για την ασφάλεια και την κυβερνοασία. Αν μια ενσωματωμένη λειτουργία AI λαμβάνει αποφάσεις για λογαριασμό ενός χρήστη, οι οργανώσεις συχνά δεν έχουν σαφές τρόπο να ανιχνεύσουν την πρόθεση, να κατανοήσουν τη λογική απόφασης ή ακόμη και να επιβεβαιώσουν τι προκάλεσε μια συγκεκριμένη δράση.

Ο κίνδυνος γίνεται ακόμη πιο έντονος όταν λάβετε υπόψη την αλυσίδα εφοδιασμού AI μέσα στη δική της SaaS. Αυτές οι ενσωματωμένες ικανότητες AI εξαρτώνται συχνά από ανώτερες μοντέλα, υπηρεσίες και ενσωματώσεις τρίτων. Αν οποιοδήποτε μέρος αυτής της αλυσίδας είναι υποβαθμισμένο, παραβιασμένο ή χειραγωγημένο, η AI μέσα στην εφαρμογή SaaS μπορεί να μετατρέψει τις αξιόπιστες επιχειρηματικές εφαρμογές σε ενεργούς συμμετέχοντες σε ένα μονοπάτι επίθεσης.

Το επίπεδο AI μέσα στη SaaS έχει αποτελέσει την δική του αλυσίδα εφοδιασμού, και εισάγει μια νέα κατηγορία κινδύνου που πρέπει να παρακολουθείται και να κυβερνάται με δικό του δικαίωμα. Χωρίς ορατότητα σε πώς αυτές οι ενσωματωμένες συστήματα AI συμπεριφέρονται και ποια δεδομένα εξαρτώνται, οι οργανώσεις είναι τυφλές σε μια αυξανόμενη μερίδα του τοπίου απειλών SaaS.

Πώς πρέπει οι οργανώσεις να μετρήσουν την οικονομική και τη φήμη έκθεση που συνδέεται με μη ασφαλισμένους agents AI;

Αν ένας agent AI χρησιμοποιηθεί λανθασμένα ή προκαλέσει μια παραβίαση, η άμεση επίδραση δεν είναι μόνο το γεγονός selbst, αλλά η οργανωτική απάντηση που ακολουθεί. Αυτό το γεγονός θα επιβραδύνει το ρυθμό με τον οποίο η εταιρεία είναι διατεθειμένη να υιοθετήσει και να κλιμακώσει την AI, καθώς οι ηγέτες γίνονται πιο προσεκτικοί. Μόλις η εμπιστοσύνη σπάσει, γίνεται σημαντικά πιο δύσκολο να επανεκκινήσετε τον κινητήρα καινοτομίας που οδήγησε την αξία από την αρχή.

Αυτή η δυναμική επεκτείνεται πέρα από τις εσωτερικές ομάδες και στους εξωτερικούς μετόχους. Διοικητικά συμβούλια, πελάτες και μετόχοι αναμένουν υπεύθυνη ανάπτυξη, και οποιαδήποτε αποτυχία που συνδέεται με αυτόνομους agents γρήγορα γίνεται ζήτημα εύθυνης και φήμης. Όταν η ασφάλεια δεν είναι χτισμένη με σκόπιμο σχεδιασμό, οι οργανώσεις αναγκάζονται σε αντιδραστικές συνομιλίες για έλεγχο και ασφάλεια, που αναπόφευκτα επιβραδύνουν την λήψη αποφάσεων σε όλη την επιχείρηση.

Υπάρχει επίσης ένα πιο δομικό οικονομικό κενό που συχνά παραμελείται. Όσο η αντιλαμβανόμενη ακτίνα των agents AI μεγαλώνει, οι εταιρείες τείνουν να γίνονται πιο συντηρητικές στο πώς διαθέτουν κεφάλαια. Σε ορισμένες περιπτώσεις, αυτό σημαίνει να κρατούν πίσω τα κεφάλαια ή να καθυστερούν επενδύσεις για να προστατεύσουν ενάντια σε πιθανές παραβιάσεις.

Σε αυτή την περίπτωση, η ασφάλεια των agents AI γίνεται λιγότερο μια άσκηση μείωσης κινδύνου και περισσότερο μια συζήτηση για έσοδα και ανάπτυξη. Οι οργανώσεις που μπορούν να αναπτύξουν την AI με εμπιστοσύνη, γνωρίζοντας ότι οι agents είναι κυβερνώμενοι και περιεχόμενοι, θα μπορέσουν να κινηθούν γρηγορότερα, ενώ αυτές που δεν έχουν αυτήν την εμπιστοσύνη θα επιβραδύνουν φυσικά. Το 2026, αυτή η ικανότητα να ζευγαρώσει ταχύτητα με εμπιστοσύνη γίνεται μια siêuδύναμη.

Υπάρχει μια σαφής ένταση μεταξύ ταχείας υιοθέτησης AI και υπεύθυνης ανάπτυξης. Τι μοιάζει μια ισορροπημένη στρατηγική για εταιρείες που θέλουν να καινοτομήσουν χωρίς να αυξάνουν το προφίλ κινδύνου τους;

Τώρα, ένα από τα μεγαλύτερα κενά μεταξύ υιοθέτησης AI και υπεύθυνης ανάπτυξης είναι η επικοινωνία. Πολυάριθμες εταιρείες χρησιμοποιούν ενεργά την AI σε περιβάλλοντα SaaS, αλλά δεν έχουν μια συνεχή, εξωτερική συζήτηση για το πώς χρησιμοποιείται και ποια προστασία υπάρχει. Αυτή η έλλειψη διαφάνειας μπορεί πραγματικά να αυξήσει τον κίνδυνο, γιατί αφήνει τους πελάτες και τους συνεργάτες να υποθέτουν το χειρότερο σενάριο αντί να κατανοήσουν την πραγματική προστασία που υπάρχει.

Μια πιο ισορροπημένη προσέγγιση αντιμετωπίζει την υπεύθυνη χρήση AI ως μέρος της αξίας, όχι μόνο ως εσωτερική άσκηση συμμόρφωσης. Υπάρχει μια ευκαιρία για τις εταιρείες να είναι πιο σαφείς σχετικά με το πώς η AI κυβερνάται μέσα στα περιβάλλοντά τους, συμπεριλαμβανομένου τι μπορεί και τι δεν μπορεί να κάνει και ποια προστασία υπάρχει όταν αλληλεπιδρά με ευαίσθητα συστήματα. Αυτή η σαφήνεια χτίζει εμπιστοσύνη για να κλιμακώσει την AI με ασφάλεια.

Οι εταιρείες που μπορούν να εξηγήσουν σαφώς πώς η AI χρησιμοποιείται σε περιβάλλοντα SaaS και να δείξουν ότι είναι ελεγχόμενη με einen δομημένο, παρατηρήσιμο τρόπο, θα μπορέσουν να καινοτομήσουν γρηγορότερα χωρίς να αυξάνουν τον αντιλαμβανόμενο κίνδυνο.

Όσο περισσότερες εταιρείες πειραματίζονται με agent AI, ποια άμεσα βήματα πρέπει οι ομάδες ασφαλείας να λάβουν σήμερα για να αποφύγουν το να γίνουν η επόμενη επικεφαλίδα παραβίασης;

Το agent AI δεν εισάγει μόνο μια νέα κατηγορία κινδύνου, αλλά cũng επιταχύνει αυτούς που οι οργανώσεις δεν μπορούν ακόμη να δουν. Πράγματι, το shadow AI προσθέτει ένα επιπλέον $670K στο μέσο κόστος παραβίασης. Ωστόσο, το βασικό ζήτημα είναι η ορατότητα. Όταν οι οργανώσεις δεν ξέρουν πού χρησιμοποιείται η AI ή πώς αλληλεπιδρά με συστήματα, παίρνει περισσότερο χρόνο να ανιχνεύσει και να περιορίσει τα περιστατικά, αυξάνοντας直接 cả τον οικονομικό και τον κανονιστικό αντίκτυπο.

Το πρώτο άμεσο βήμα είναι η εγκατάσταση ορατότητας σε όλη την επιχείρηση. Οι ομάδες ασφαλείας χρειάζονται μια σαφή εικόνα τόσο της εγκεκριμένης όσο και της μη εγκεκριμένης χρήσης AI, όχι μόνο στο επίπεδο εφαρμογής αλλά και στις ροές εργασίας όπου η AI ενεργεί ή επηρεάζει αποφάσεις.

Μόλις η ορατότητα υπάρχει, η εστίαση μεταφέρεται στη μετάφραση της σε επιβαλλόμενη πολιτική και την ενσωμάτωση της στα συστήματα όπου συμβαίνει η δουλειά. Αυτό σημαίνει να ευθυγραμμιστεί με την επιχείρηση σε πώς πρέπει να χρησιμοποιηθεί η AI, και στη συνέχεια να μεταφερθεί από τη τεκμηρίωση σε τεχνικούς ελέγχους που λειτουργούν σε τελικούς, πλατφόρμες SaaS και συστήματα agent. Όσο νωρίτερα εισαχθούν αυτοί οι έλεγχοι στο μονοπάτι εκτέλεσης, τόσο μικρότερο είναι το πιθανό να εμφανιστούν περιστατικά υψηλού κόστους και δύσκολα να περιοριστούν που προκύπτουν από το shadow AI και τους αυτόνομους agents.

Κοιτάζοντας μπροστά, πώς βλέπετε το τοπίο ασφαλείας να εξελίσσεται καθώς τα συστήματα agent AI γίνονται πιο ενσωματωμένα σε υποδομή επιχείρησης;

Οι οργανώσεις θα χρειαστούν ασφάλεια AI-γενικής για να αντιμετωπίσουν τις απειλές που οδηγούνται από την AI. Αυτά τα συστήματα πρέπει να λειτουργούν με ταχύτητα μηχανής, αναδιαμορφώνοντας ουσιαστικά τις επιχειρήσεις ασφαλείας. Οι άνθρωποι θα παραμείνουν στο λούπ, αλλά θα μεταφερθούν σε στρατηγική εποπτεία, εφαρμόζοντας το контекст και την κρίση που η AI ακόμη λείπει.

Αυτή η μεταφορά αλλάζει επίσης πώς οι ομάδες ασφαλείας δομούνται. Οι ομάδες μπορεί να μην μειωθούν, αλλά ο όγκος τους θα επεκταθεί σημαντικά, με ένα seul ασφάλειας να είναι υπεύθυνο για πολύ μεγαλύτερη επιφάνεια μέσω αυτοματοποίησης και εργαλείων AI-κίνησης.

Επιπλέον, σε περιβάλλοντα agent, η παρακολούθηση και η ανίχνευση δεν είναι αρκετά. Οι οργανώσεις θα χρειαστούν να εφαρμόσουν πραγματικούς μηχανισμούς επιβολής. Αυτό σημαίνει να χτίζουν συστήματα που λειτουργούν ως διακόπτες: η ικανότητα να ενεργοποιήσετε ή να απενεργοποιήσετε ικανότητες, να περιορίσετε τη συμπεριφορά σε πραγματικό χρόνο και να απομονώσετε συστήματα που συμπεριφέρονται λανθασμένα ή που θα μπορούσαν να危險 την ευρύτερη επιχείρηση. Ο κίνδυνος αλυσίδας εφοδιασμού στην AI είναι απλά πολύ μεγάλος για να μην έχει ενσωματωμένους ελέγχους τύπου “kill-switch” στην αρχιτεκτονική.

Κοιτάζοντας μπροστά, η AI θα συνεχίσει να επιταχύνει πέρα από την ανθρώπινη ταχύτητα και ικανότητα. Αλλά η συζήτηση δεν μπορεί να επικεντρωθεί μόνο στον κίνδυνο; πρέπει επίσης να περιλαμβάνει την ευκαιρία. Όπως να μεγαλώνεις παιδιά, η AI θα μεγαλώσει και θα κάνει λάθη, αλλά έχει επίσης την ικανότητα να μας ξεπεράσει. Οι νικητές θα είναι αυτοί που θα ενσωματώσουν την AI σε κλίμακα ενώ χτίζουν τους ελέγχους που χρειάζονται για να την αναπτύξουν με ασφάλεια και εμπιστοσύνη. Ευχαριστώ για τη μεγάλη συνέντευξη, οι αναγνώστες που επιθυμούν να μάθουν περισσότερα πρέπει να επισκεφθούν την Obsidian Security.

mm

Ο Antoine είναι ένας οραματιστής ηγέτης και συνιδρυτής του Unite.AI, οδηγείται από μια αμετάβλητη страсть για το σχήμα και την προώθηση του μέλλοντος του AI και της ρομποτικής. Ένας σειριακός επιχειρηματίας, πιστεύει ότι το AI θα είναι τόσο διαταρακτικό για την κοινωνία όσο η ηλεκτρική ενέργεια, και συχνά πιάνεται να μιλάει για το δυναμικό των διαταρακτικών τεχνολογιών και του AGI.

Ως futurist, είναι αφοσιωμένος στο να εξερευνήσει πώς αυτές οι καινοτομίες θα σχήματίσουν τον κόσμο μας. Επιπλέον, είναι ο ιδρυτής του Securities.io, μια πλατφόρμα που επικεντρώνεται στις επενδύσεις σε τεχνολογίες που αναedefinουν το μέλλον και ανασχήματίσουν ολόκληρους τομείς.