Interviste

Rick Caccia, CEO e Co-Fondatore di WitnessAI – Serie di Interviste

mm
Published
Updated

Rick Caccia, CEO e Co-Fondatore di WitnessAI, ha una vasta esperienza nel lancio di prodotti di sicurezza e conformità. Ha ricoperto ruoli di leadership nel marketing e nel prodotto in Palo Alto Networks, Google e Symantec. In precedenza, Caccia ha guidato il marketing del prodotto in ArcSight durante la sua IPO e le successive operazioni come società pubblica e ha ricoperto il ruolo di primo Chief Marketing Officer in Exabeam. Ha conseguito più lauree presso l’Università della California, Berkeley.

WitnessAI sta sviluppando una piattaforma di sicurezza focalizzata sull’uso sicuro e protetto dell’AI nelle imprese. Con ogni grande cambiamento tecnologico – come il web, il mobile e il cloud computing – emergono nuove sfide di sicurezza, creando opportunità per i leader di settore di emergere. L’AI rappresenta la prossima frontiera in questa evoluzione.

La società mira a stabilirsi come leader nella sicurezza dell’AI combinando competenze in apprendimento automatico, sicurezza informatica e operazioni cloud su larga scala. Il suo team porta una profonda esperienza nello sviluppo di AI, reverse engineering e distribuzione di Kubernetes multi-cloud, affrontando le sfide critiche della sicurezza delle tecnologie guidate dall’AI.

Cosa ti ha ispirato a co-fondare WitnessAI e quali sono stati i principali problemi di governance e sicurezza dell’AI che intendevi risolvere?

Quando abbiamo iniziato la società, pensavamo che i team di sicurezza sarebbero stati preoccupati per gli attacchi ai loro modelli di AI interni. Invece, i primi 15 CISO con cui abbiamo parlato hanno detto il contrario, che la diffusione su larga scala dei modelli di linguaggio LLM nelle imprese era ancora lontana, ma il problema urgente era proteggere l’uso degli app di AI da parte dei dipendenti. Ci siamo ritirati e abbiamo visto che il problema non era difendersi da attacchi cibernetici spaventosi, ma abilitare in modo sicuro le imprese a utilizzare l’AI in modo produttivo. Mentre la governance potrebbe essere meno “sexy” degli attacchi cibernetici, è ciò di cui i team di sicurezza e privacy hanno realmente bisogno. Avevano bisogno di visibilità su cosa i dipendenti stavano facendo con le app di AI di terze parti, un modo per implementare politiche di utilizzo accettabile e un modo per proteggere i dati senza bloccare l’uso di quei dati. Quindi è questo che abbiamo costruito.

Considerata la tua vasta esperienza in Google Cloud, Palo Alto Networks e altre società di sicurezza informatica, come quei ruoli hanno influenzato il tuo approccio alla costruzione di WitnessAI?

Ho parlato con molti CISO nel corso degli anni. Una delle cose più comuni che sento dai CISO oggi è: “Non voglio essere il ‘Dottor No’ quando si tratta di AI; voglio aiutare i nostri dipendenti a utilizzarla per essere migliori.” Come qualcuno che ha lavorato con i vendor di sicurezza informatica per molto tempo, questa è una dichiarazione molto diversa. È più simile a quella dell’era del dotcom, quando il web era una tecnologia nuova e trasformativa. Quando abbiamo costruito WitnessAI, abbiamo iniziato specificamente con capacità di prodotto che aiutavano i clienti ad adottare l’AI in modo sicuro; il nostro messaggio era che questa tecnologia è come la magia e, naturalmente, tutti vogliono sperimentare la magia. Penso che le società di sicurezza siano troppo rapide a giocare la carta della paura e abbiamo voluto essere diversi.

Cosa distingue WitnessAI dalle altre piattaforme di governance e sicurezza dell’AI presenti sul mercato oggi?

Bene, innanzitutto, la maggior parte degli altri vendor nello spazio si concentra principalmente sulla parte della sicurezza e non sulla governance. Per me, la governance è come i freni di una macchina. Se vuoi realmente andare da qualche parte velocemente, hai bisogno di freni efficaci in aggiunta a un motore potente. Nessuno guiderà una Ferrari molto velocemente se non ha freni. In questo caso, la tua azienda che utilizza l’AI è la Ferrari e WitnessAI sono i freni e il volante.

A differenza di questo, la maggior parte dei nostri competitor si concentra sugli attacchi teorici spaventosi sui modelli di AI di un’organizzazione. Quello è un problema reale, ma è un problema diverso dal ottenere visibilità e controllo su come i miei dipendenti stanno utilizzando le app di AI già presenti su internet. È molto più facile per noi aggiungere un firewall per l’AI (e lo abbiamo fatto) rispetto a quanto lo sia per i vendor di firewall dell’AI aggiungere una governance e una gestione dei rischi efficaci.

Come WitnessAI bilancia la necessità di innovazione dell’AI con la sicurezza e la conformità aziendale?

Come ho scritto in precedenza, crediamo che l’AI dovrebbe essere come la magia – può aiutarti a fare cose incredibili. Con questo in mente, pensiamo che l’innovazione dell’AI e la sicurezza siano collegate. Se i tuoi dipendenti possono utilizzare l’AI in modo sicuro, lo faranno spesso e tu ti ritroverai in vantaggio. Se applichi la mentalità di sicurezza tipica e la blocchi, il tuo concorrente non lo farà e si ritroverà in vantaggio. Tutto ciò che facciamo è sull’abilitazione dell’adozione sicura dell’AI. Come mi ha detto un cliente, “Questa tecnologia è magia, ma la maggior parte dei vendor la tratta come se fosse magia nera, spaventosa e qualcosa da temere.” In WitnessAI, stiamo aiutando a rendere possibile la magia.

Puoi parlare della filosofia di base dell’azienda riguardo alla governance dell’AI – vedi la sicurezza dell’AI come un abilitatore piuttosto che una restrizione?

Abbiamo regolarmente CISO che ci si avvicinano durante gli eventi in cui abbiamo presentato e ci dicono: “I vostri competitor sono tutti concentrati su quanto sia spaventosa l’AI e voi siete l’unico vendor che ci sta dicendo come utilizzarla effettivamente.” Sundar Pichai di Google ha detto che “l’AI potrebbe essere più profonda del fuoco” e questo è un interessante paragone. Il fuoco può essere incredibilmente dannoso, come abbiamo visto recentemente. Ma il fuoco controllato può produrre acciaio, che accelera l’innovazione. A volte in WitnessAI parliamo di creare l’innovazione che consente ai nostri clienti di dirigere il “fuoco” dell’AI in modo sicuro per creare l’equivalente dell’acciaio. Alternativamente, se pensi all’AI come alla magia, allora forse il nostro obiettivo è darti una bacchetta magica per dirigere e controllarla.

In entrambi i casi, crediamo assolutamente che abilitare in modo sicuro l’AI sia l’obiettivo. Solo per darti un esempio, ci sono molti strumenti di prevenzione della perdita di dati (DLP), è una tecnologia che esiste da sempre. E le persone cercano di applicare DLP all’uso dell’AI e forse il plug-in del browser DLP vede che hai digitato una lunga richiesta di aiuto per il tuo lavoro e che quella richiesta contiene accidentalmente un numero di ID del cliente. Cosa succede? Il prodotto DLP blocca la richiesta in uscita e non ottieni mai una risposta. Quello è un limite. Invece, con WitnessAI, possiamo identificare lo stesso numero e silenziosamente e chirurgicamente oscurarlo in tempo reale e poi desoscurarlo nella risposta dell’AI, in modo che tu ottenga una risposta utile mentre mantieni i tuoi dati al sicuro. Quello è abilitazione.

Quali sono i maggiori rischi che le imprese affrontano quando distribuiscono l’AI generativa e come WitnessAI li mitiga?

Il primo è la visibilità. Molte persone sono sorprese nell’apprendere che l’universo delle app di AI non è solo ChatGPT e ora DeepSeek; ci sono letteralmente migliaia di app di AI su internet e le imprese assorbono rischi dai dipendenti che utilizzano queste app, quindi il primo passo è ottenere visibilità: quali app di AI stanno utilizzando i miei dipendenti, cosa stanno facendo con quelle app e se è rischioso?

Il secondo è il controllo. Il tuo team legale ha costruito una politica di utilizzo accettabile per l’AI, una che garantisce la sicurezza dei dati dei clienti, dei cittadini, della proprietà intellettuale, nonché la sicurezza dei dipendenti. Come implementerai questa politica? È nel tuo prodotto di sicurezza endpoint? Nel tuo firewall? Nel tuo VPN? Nella tua cloud? E se provengono tutti da vendor diversi? Quindi, hai bisogno di un modo per definire e applicare una politica di utilizzo accettabile che sia coerente attraverso modelli di AI, app, cloud e prodotti di sicurezza.

Il terzo è la protezione delle tue app. Nel 2025, vedremo un’adozione molto più rapida di LLM all’interno delle imprese e poi una rapida diffusione di app di chat alimentate da quei LLM. Quindi, le imprese devono assicurarsi non solo che le app siano protette, ma anche che le app non dicano “cose stupide”, come raccomandare un concorrente.

Noi affrontiamo tutti e tre. Forniamo visibilità su quali app le persone stanno accedendo, come stanno utilizzando quelle app, politiche basate su chi sei e cosa stai cercando di fare e strumenti molto efficaci per prevenire attacchi come jailbreak o comportamenti indesiderati dai tuoi bot.

Come la funzionalità di osservabilità dell’AI di WitnessAI aiuta le aziende a tracciare l’uso dell’AI da parte dei dipendenti e a prevenire rischi di “AI ombra”?

WitnessAI si connette alla tua rete in modo facile e silenzioso e costruisce un catalogo di ogni app di AI (e ce ne sono letteralmente migliaia su internet) a cui i tuoi dipendenti accedono. Ti diciamo dove quelle app sono localizzate, dove ospitano i loro dati, ecc. in modo che tu capisca quanto sono rischiose quelle app. Puoi attivare la visibilità delle conversazioni, dove utilizziamo l’ispezione dei pacchetti per osservare le richieste e le risposte. Possiamo classificare le richieste per rischio e per intento. L’intento potrebbe essere “scrivere codice” o “scrivere un contratto aziendale”. È importante perché poi ti lasciamo scrivere controlli di politica basati sull’intento.

Qual è il ruolo dell’applicazione delle politiche di AI nella garanzia della conformità aziendale e come WitnessAI semplifica questo processo?

La conformità significa assicurarsi che la tua azienda stia seguendo le regolamentazioni o le politiche e ci sono due parti per garantire la conformità. La prima è che devi essere in grado di identificare attività problematiche. Ad esempio, ho bisogno di sapere che un dipendente sta utilizzando i dati dei clienti in un modo che potrebbe violare una legge sulla protezione dei dati. Lo facciamo con la nostra piattaforma di osservabilità. La seconda parte è descrivere e applicare politiche su quell’attività. Non vuoi semplicemente sapere che i dati dei clienti stanno fuoriuscendo, vuoi fermare la fuoriuscita dei dati. Quindi, abbiamo costruito un motore di politica unico per l’AI, Witness/CONTROL, che ti consente di costruire facilmente politiche basate sull’identità e sull’intento per proteggere i dati, prevenire risposte dannose o illegali, ecc. Ad esempio, puoi costruire una politica che dice qualcosa come: “Solo il nostro dipartimento legale può utilizzare ChatGPT per scrivere contratti aziendali e se lo fa, automaticamente oscura qualsiasi informazione personale”. Facile da dire e con WitnessAI, facile da implementare.

Come WitnessAI affronta le preoccupazioni relative agli jailbreak di LLM e agli attacchi di iniezione di prompt?

Abbiamo un team di ricerca sull’AI molto forte – veramente affilato. All’inizio, hanno costruito un sistema per creare dati di attacco sintetici, in aggiunta ai set di dati di addestramento ampiamente disponibili. Di conseguenza, abbiamo valutato la nostra iniezione di prompt contro tutto ciò che c’è là fuori e siamo oltre il 99% efficaci e catturiamo regolarmente attacchi che i modelli stessi mancano.

Nella pratica, la maggior parte delle aziende con cui parliamo vuole iniziare con la governance delle app dei dipendenti e poi, un po’ più tardi, distribuisce un’app di AI per i clienti basata sui propri dati interni. Quindi, utilizzano Witness per proteggere le persone e poi attivano il firewall di iniezione di prompt. Un sistema, un modo coerente per costruire politiche, facile da scalare.

Quali sono i tuoi obiettivi a lungo termine per WitnessAI e dove vedi l’evoluzione della governance dell’AI nei prossimi cinque anni?

Finora, abbiamo parlato solo di un modello di app di chat per persona. La nostra prossima fase sarà gestire l’interazione tra app e app, ovvero l’AI agente. Abbiamo progettato le API nella nostra piattaforma per funzionare altrettanto bene con entrambi gli agenti e gli esseri umani. Oltre a questo, crediamo di aver costruito un nuovo modo per ottenere visibilità e controllo a livello di rete nell’era dell’AI e cresceremo l’azienda con questo obiettivo in mente. Grazie per la grande intervista, i lettori che desiderano saperne di più possono visitare WitnessAI.

mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.