Wawancara

Rick Caccia, CEO dan Co-Founder WitnessAI – Seri Wawancara

mm
Published
Updated

Rick Caccia, CEO dan Co-Founder WitnessAI, memiliki pengalaman luas dalam meluncurkan produk keamanan dan kepatuhan. Ia telah memegang peran kepemimpinan dalam produk dan pemasaran di Palo Alto Networks, Google, dan Symantec. Caccia sebelumnya memimpin pemasaran produk di ArcSight melalui IPO dan operasi selanjutnya sebagai perusahaan publik dan menjabat sebagai Chief Marketing Officer pertama di Exabeam. Ia memegang beberapa gelar dari University of California, Berkeley.

WitnessAI sedang mengembangkan platform keamanan yang fokus pada memastikan penggunaan AI yang aman dan terjamin di perusahaan. Dengan setiap pergeseran teknologi besar – seperti web, mobile, dan komputasi awan – tantangan keamanan baru muncul, menciptakan kesempatan bagi pemimpin industri untuk muncul. AI mewakili frontier berikutnya dalam evolusi ini.

Perusahaan ini bertujuan untuk memposisikan diri sebagai pemimpin dalam keamanan AI dengan menggabungkan keahlian dalam pembelajaran mesin, keamanan siber, dan operasi awan skala besar. Timnya membawa pengalaman mendalam dalam pengembangan AI, reverse engineering, dan penerapan Kubernetes multi-awan, yang menangani tantangan kritis dalam mengamankan teknologi yang digerakkan oleh AI.

Apa yang menginspirasi Anda untuk mendirikan WitnessAI, dan apa tantangan utama dalam tata kelola dan keamanan AI yang Anda coba selesaikan? 

Ketika kami pertama kali memulai perusahaan, kami pikir bahwa tim keamanan akan khawatir tentang serangan pada model AI internal mereka. Sebaliknya, 15 CISO pertama yang kami ajak berbicara mengatakan sebaliknya, bahwa penggelaran LLM korporat secara luas masih jauh, tetapi masalah yang mendesak adalah melindungi penggunaan AI oleh karyawan mereka. Kami mengambil langkah mundur dan melihat bahwa masalahnya bukanlah menghadapi serangan siber yang menakutkan, melainkan memungkinkan perusahaan untuk menggunakan AI secara produktif. Sementara tata kelola mungkin kurang menarik daripada serangan siber, itu adalah apa yang tim keamanan dan privasi sebenarnya butuhkan. Mereka membutuhkan visibilitas tentang apa yang dilakukan karyawan mereka dengan AI pihak ketiga, cara menerapkan kebijakan penggunaan yang dapat diterima, dan cara melindungi data tanpa memblokir penggunaan data tersebut. Jadi itulah yang kami bangun.

Bagaimana pengalaman Anda yang luas di Google Cloud, Palo Alto Networks, dan perusahaan keamanan siber lainnya mempengaruhi pendekatan Anda dalam membangun WitnessAI? 

Saya telah berbicara dengan banyak CISO selama bertahun-tahun. Salah satu hal yang paling umum yang saya dengar dari CISO hari ini adalah, “Saya tidak ingin menjadi ‘Dokter Tidak’ ketika datang ke AI; Saya ingin membantu karyawan kami untuk menggunakan AI agar lebih baik.” Sebagai seseorang yang telah bekerja dengan vendor keamanan siber selama waktu yang lama, pernyataan ini sangat berbeda. Ini lebih mengingatkan pada era dotcom, ketika Web adalah teknologi baru dan transformatif. Ketika kami membangun WitnessAI, kami secara khusus memulai dengan kemampuan produk yang membantu pelanggan mengadopsi AI dengan aman; pesan kami adalah bahwa ini seperti sihir dan tentu saja semua orang ingin mengalami sihir. Saya pikir bahwa perusahaan keamanan terlalu cepat memainkan kartu ketakutan, dan kami ingin menjadi berbeda.

Apa yang membedakan WitnessAI dari platform tata kelola dan keamanan AI lainnya di pasar saat ini? 

Yang pertama, sebagian besar vendor lain di ruang ini fokus terutama pada bagian keamanan, dan tidak pada bagian tata kelola. Bagi saya, tata kelola seperti rem pada mobil. Jika Anda benar-benar ingin pergi dengan cepat, Anda membutuhkan rem yang efektif selain mesin yang kuat. Tidak ada yang akan mengemudi Ferrari dengan sangat cepat jika tidak memiliki rem. Dalam hal ini, perusahaan Anda yang menggunakan AI adalah Ferrari, dan WitnessAI adalah rem dan setir.

Sebaliknya, sebagian besar pesaing kami fokus pada serangan teoretis yang menakutkan pada model AI suatu organisasi. Itu adalah masalah nyata, tetapi itu adalah masalah yang berbeda dari mendapatkan visibilitas dan kontrol atas bagaimana karyawan saya menggunakan aplikasi AI yang sudah ada di internet. Ini jauh lebih mudah bagi kami untuk menambahkan firewall AI (dan kami telah melakukannya) daripada bagi vendor firewall AI untuk menambahkan tata kelola dan manajemen risiko yang efektif.

Bagaimana WitnessAI mengimbangkan kebutuhan akan inovasi AI dengan keamanan dan kepatuhan perusahaan? 

Seperti yang saya tulis sebelumnya, kami percaya bahwa AI harus seperti sihir – itu dapat membantu Anda melakukan hal-hal luar biasa. Dengan itu dalam pikiran, kami pikir bahwa inovasi AI dan keamanan saling terkait. Jika karyawan Anda dapat menggunakan AI dengan aman, mereka akan menggunakannya secara teratur dan Anda akan mendahului. Jika Anda menerapkan pola pikir keamanan yang khas dan menguncinya, pesaing Anda tidak akan melakukannya, dan mereka akan mendahului. Semua yang kami lakukan adalah tentang memungkinkan adopsi AI yang aman. Sebagaimana salah satu pelanggan kami mengatakan, “Ini seperti sihir, tetapi sebagian besar vendor memperlakukannya seperti sihir hitam, menakutkan dan sesuatu yang harus ditakuti.” Di WitnessAI, kami membantu memungkinkan sihir itu.

Bisakah Anda berbicara tentang filosofi inti perusahaan mengenai tata kelola AI – apakah Anda melihat keamanan AI sebagai pengaktif daripada pembatasan? 

Kami secara teratur memiliki CISO yang datang kepada kami di acara-acara di mana kami telah mempresentasikan, dan mereka mengatakan kepada kami, “Pesaing Anda semua berbicara tentang betapa menakutkannya AI, dan Anda adalah satu-satunya vendor yang mengatakan kepada kami bagaimana sebenarnya menggunakan AI secara efektif.” Sundar Pichai di Google telah mengatakan bahwa “AI bisa lebih mendalam daripada api,” dan itu adalah metafor yang menarik. Api dapat sangat merusak, seperti yang kita lihat baru-baru ini. Tetapi api yang terkendali dapat membuat baja, yang mempercepat inovasi. Terkadang di WitnessAI kami berbicara tentang menciptakan inovasi yang memungkinkan pelanggan kami untuk dengan aman mengarahkan “api” AI untuk menciptakan baja yang setara. Atau, jika Anda berpikir AI seperti sihir, maka mungkin tujuan kami adalah memberi Anda tongkat sihir, untuk mengarahkan dan mengendalikannya.

Dalam kedua kasus, kami absolut percaya bahwa memungkinkan AI yang aman adalah tujuan. Hanya untuk memberikan contoh, ada banyak alat pencegahan kehilangan data (DLP), itu adalah teknologi yang telah ada selama bertahun-tahun. Dan orang-orang mencoba menerapkan DLP pada penggunaan AI, dan mungkin plugin DLP browser melihat bahwa Anda telah mengetikkan prompt panjang yang meminta bantuan dengan pekerjaan Anda, dan prompt itu secara tidak sengaja memiliki nomor ID pelanggan di dalamnya. Apa yang terjadi? Produk DLP memblokir prompt dari keluar, dan Anda tidak pernah mendapatkan jawaban. Itu adalah pembatasan. Sebaliknya, dengan WitnessAI, kami dapat mengidentifikasi nomor yang sama, dan secara diam-diam serta bedah memotongnya secara langsung, dan kemudian memotongnya kembali dalam respons AI, sehingga Anda mendapatkan jawaban yang berguna sambil juga menjaga data Anda tetap aman. Itu adalah pengaktifan.

Apa yang menjadi risiko terbesar yang dihadapi perusahaan ketika menggelar AI generatif, dan bagaimana WitnessAI memitigasi risiko tersebut?

Yang pertama adalah visibilitas. Banyak orang terkejut mengetahui bahwa alam semesta aplikasi AI tidak hanya ChatGPT dan sekarang DeepSeek; ada ribuan aplikasi AI di internet dan perusahaan menyerap risiko dari karyawan yang menggunakan aplikasi tersebut, sehingga langkah pertama adalah mendapatkan visibilitas: aplikasi AI mana yang digunakan oleh karyawan saya, apa yang mereka lakukan dengan aplikasi tersebut, dan apakah itu berisiko?

Yang kedua adalah kontrol. Tim hukum Anda telah membuat kebijakan penggunaan yang komprehensif untuk AI, satu yang memastikan keamanan data pelanggan, data warga, kekayaan intelektual, serta keamanan karyawan. Bagaimana Anda akan menerapkan kebijakan ini? Apakah itu di produk keamanan endpoint Anda? Di firewall Anda? Di VPN Anda? Di awan Anda? Jika mereka semua dari vendor yang berbeda? Jadi, Anda membutuhkan cara untuk mendefinisikan dan menerapkan kebijakan yang konsisten di seluruh model AI, aplikasi, awan, dan produk keamanan.

Yang ketiga adalah perlindungan aplikasi Anda sendiri. Pada tahun 2025, kita akan melihat adopsi LLM yang lebih cepat di perusahaan, dan kemudian adopsi aplikasi obrolan yang ditenagai oleh LLM tersebut. Jadi, perusahaan perlu memastikan tidak hanya bahwa aplikasi tersebut dilindungi, tetapi juga bahwa aplikasi tersebut tidak mengatakan “hal-hal bodoh”, seperti merekomendasikan pesaing.

Kami menangani semuanya. Kami menyediakan visibilitas ke aplikasi mana yang diakses, bagaimana mereka menggunakan aplikasi tersebut, kebijakan yang didasarkan pada siapa Anda dan apa yang Anda coba lakukan, dan alat yang sangat efektif untuk mencegah serangan seperti jailbreak atau perilaku yang tidak diinginkan dari bot Anda.

Bagaimana fitur pengamatan AI WitnessAI membantu perusahaan melacak penggunaan AI karyawan dan mencegah risiko “bayangan AI”?

WitnessAI terhubung ke jaringan Anda dengan mudah dan secara diam-diam membangun katalog setiap aplikasi AI (dan ada ribuan di antaranya di internet) yang diakses oleh karyawan Anda. Kami memberitahu Anda di mana aplikasi tersebut berada, di mana mereka menyimpan data, dll sehingga Anda memahami seberapa berisikonya aplikasi tersebut. Anda dapat mengaktifkan visibilitas percakapan, di mana kami menggunakan inspeksi paket dalam untuk mengamati prompt dan respons. Kami dapat mengklasifikasikan prompt berdasarkan risiko dan niat. Niat mungkin “menulis kode” atau “menulis kontrak perusahaan.” Ini penting karena kami kemudian memungkinkan Anda untuk menulis kontrol kebijakan berbasis niat.

Apa peran yang dimainkan oleh penerapan kebijakan AI dalam memastikan kepatuhan AI perusahaan, dan bagaimana WitnessAI mempermudah proses ini?

Kepatuhan berarti memastikan bahwa perusahaan Anda mengikuti peraturan atau kebijakan, dan ada dua bagian untuk memastikan kepatuhan. Yang pertama adalah Anda harus dapat mengidentifikasi aktivitas yang bermasalah. Misalnya, saya perlu tahu bahwa karyawan menggunakan data pelanggan dengan cara yang mungkin melanggar hukum perlindungan data. Kami melakukan ini dengan platform pengamatan kami. Bagian kedua adalah menggambarkan dan menerapkan kebijakan terhadap aktivitas tersebut. Anda tidak hanya ingin tahu bahwa data pelanggan bocor, Anda ingin menghentikan kebocoran tersebut. Jadi, kami telah membangun mesin kebijakan AI yang unik, Witness/CONTROL, yang memungkinkan Anda untuk dengan mudah membangun kebijakan berbasis identitas dan niat untuk melindungi data, mencegah respons yang berbahaya atau ilegal, dll. Misalnya, Anda dapat membangun kebijakan yang mengatakan sesuatu seperti, “Hanya departemen hukum kami yang dapat menggunakan ChatGPT untuk menulis kontrak perusahaan, dan jika mereka melakukannya, secara otomatis hapuskan semua PII.” Mudah dikatakan, dan dengan WitnessAI, mudah dilakukan.

Bagaimana WitnessAI menangani kekhawatiran seputar jailbreak LLM dan serangan injeksi prompt?

Kami memiliki tim penelitian AI yang sangat tajam – sangat pintar. Awalnya, mereka membangun sistem untuk membuat data serangan sintetis, selain menarik dataset pelatihan yang tersedia secara luas. Sebagai hasilnya, kami telah membandingkan injeksi prompt kami terhadap semua yang ada di luar sana, kami lebih dari 99% efektif dan secara teratur menangkap serangan yang model itu sendiri lewatkan.

Dalam prakteknya, sebagian besar perusahaan yang kami ajak berbicara ingin memulai dengan tata kelola aplikasi karyawan, dan kemudian sedikit kemudian mereka menggelar aplikasi AI pelanggan berbasis pada data internal mereka. Jadi, mereka menggunakan Witness untuk melindungi orang-orang mereka, kemudian mereka mengaktifkan firewall injeksi prompt. Satu sistem, satu cara konsisten untuk membangun kebijakan, mudah untuk diskalakan.

Apa yang menjadi tujuan jangka panjang Anda untuk WitnessAI, dan di mana Anda melihat evolusi tata kelola AI dalam lima tahun ke depan? 

Jadi, kami hanya berbicara tentang model aplikasi obrolan ke aplikasi di sini. Fase berikutnya kami akan menangani aplikasi ke aplikasi, yaitu AI agen. Kami telah merancang API dalam platform kami untuk bekerja sama baik dengan agen dan manusia. Di luar itu, kami percaya bahwa kami telah membangun cara baru untuk mendapatkan visibilitas dan kontrol kebijakan tingkat jaringan di era AI, dan kami akan tumbuh sebagai perusahaan dengan itu dalam pikiran. Thank you for the great interview, readers who wish to learn more should visit WitnessAI

mm

Antoine adalah seorang pemimpin visioner dan mitra pendiri Unite.AI, didorong oleh semangat yang tak tergoyahkan untuk membentuk dan mempromosikan masa depan AI dan robotika. Seorang wirausaha serial, ia percaya bahwa AI akan sama-sama mengganggu masyarakat seperti listrik, dan sering tertangkap berbicara tentang potensi teknologi mengganggu dan AGI.

As a futurist, ia berdedikasi untuk mengeksplorasi bagaimana inovasi ini akan membentuk dunia kita. Selain itu, ia adalah pendiri Securities.io, sebuah platform yang fokus pada investasi di teknologi-teknologi canggih yang mendefinisikan kembali masa depan dan membentuk kembali seluruh sektor.