Claudionor Coelho, Chief AI Officer i Zscaler – Intervju-serie

Claudionor Coelho er Chief AI Officer i Zscaler, og er ansvarlig for å lede sitt team til å finne nye måter å beskytte data, enheter og brukere gjennom state-of-the-art applied Machine Learning (ML), Deep Learning og Generative AI-teknikker. Før han begynte i Zscaler, var han Chief AI Officer og Senior Vice President of engineering i Advantest. Tidligere var Coelho Vice President og Head of AI Labs i Palo Alto Networks. Han har også hatt ML- og deep learning-roller i Google.

Zscaler fokuserer på å accelerere digital transformasjon ved å enable organisasjoner til å oppnå større smidighet, effisiens, motstandskraft og sikkerhet. Selskapets cloud-native Zero Trust Exchange-plattform er designet for å beskytte brukere mot cyberangrep og data tap ved å sikre tilkobling av brukere, enheter og applikasjoner, uavhengig av deres plassering. Zscaler betjener tusenvis av kunder verden over, med fokus på robust sikkerhet og sømløs tilkobling.

Som Zscalers første Chief AI Officer, hvordan har du formet selskapets AI-strategi, særlig når det gjelder integrering av AI med sikkerhet?

Zscaler har gjort betydelige fremskritt i AI for sikkerhet, som skiller det fra konkurrentene. Zscalers Zero Trust-plattform utnytter AI for å oppdage og stoppe kreditoriske tyverier og nettleser-utnyttelse fra phishing-sider. Trusselintelligensen fra over 400 milliarder daglige transaksjoner leverer sanntidsanalyser som forbedrer forsvar mot sofistikerte cyberangrep. I tillegg samarbeider vi med NVIDIA for å levere generative AI-drevne sikkerhets- og IT-innovasjoner som Zscaler ZDX Copilot, som forenkler IT- og nettverksoperasjoner, samtidig som det prosesserer data fra Zero Trust Exchange-plattformen for å proaktivt forsvare bedrifter mot trusler. Til slutt har vi, med Avalor-erhvervet, utvidet Zero Trust Exchange-kapasiteten ved hjelp av Data Fabric for Security. Med over 150 forhåndsbygde integrasjoner, identifiserer og forutsier det kritiske sårbarheter samtidig som det forbedrer operasjonelle effektiviteter.

Du har grunnlagt flere selskaper, inkludert Kunumi, og hatt ledende roller i toppselskaper. Hvordan har din entreprenør-bakgrunn påvirket din tilnærming som en korporativ AI-leder i Zscaler?

Når jeg var SVP of Engineering i Jasper Design Automation, et startup-selskap innen elektronisk designautomatisering, konkurrerte vi mot multibillion-dollar-selskaper, men oppnådde over 70-80 % markedsandel på grunn av innovasjon, forretningsprosesser og smidighet. En av bøkene jeg alltid refererte til under våre strategimøter var “Competing on the Edge: Strategy as Structured Chaos” av Prof. Kathleen M. Eisenhardt. Selv om denne boken er fra 1998, gjelder den fortsatt for det vi ser med Generative AI i dag.

Aldri før har en verdensomspennende teknologi beveget seg så raskt. Motorola-ingeniøren Martin Cooper gjorde det første cellulære telefonoppretten i 1973, men det tok verden 10 år før det første kommersielle nettverket åpnet og 24 år til iPhone ble lansert, og endret måten vi interagerer med datamaskiner.

ChatGPT ble lansert i november 2022. Året etter diskuterte vi i et WEF-sponset seminar at Artificial General Intelligence (AGI) var på vei. På den tiden var det bare noen av oss som erkjente at vi kan bruke agenter til å skape mange intelligente systemer ved å fylle hullene i LLM-er med verktøy – selv før AGI. I 2024 skiftet diskusjonen til AI-agenter, og mot slutten av året begynner vi å se flere intelligente AI-agenter (som ZDX Copilot eller blogging-plattformen Kiroku).

Dette tempo kan bare ses i en startup-miljø, så det medfører enormt stress i store organisasjoner, som sliter med å bli smidige nok til å håndtere en teknologi med utenforliggende hastighet.

Gitt din erfaring med å lede selskaper i både Brasil og USA, hva er noen av de viktigste forskjellene mellom de to markedene når det gjelder AI- og sikkerhetsadopsjon?

Å diskutere startup-selskaper er en god måte å illustrere likhetene og forskjellene mellom markedene, siden det ofte er der du ser radikale innovasjoner før de når store korporasjoner. En vanlig strategi i Brasil for startup-selskaper har vært å kopiere vellykkede tidlige US-startup-selskaper, siden US-startup-selskaper vanligvis ser på det interne markedet først (selv om dette har endret seg). Imidlertid har USA tradisjonelt hatt et mer stabilt kapital-system som gjør det lettere å starte et selskap.

Jeg skapte Kunumi i 2014 som det første Deep Learning-selskapet i Brasil. Det ble solgt til Bradesco Bank tidligere i år. Generelt vet ikke korporasjoner i Brasil hvordan de vil adoptere Generative AI, og du vil se mange feil – også sant i USA. Jeg har bygget fire Copilots i mitt liv – den første i 2016, mens jeg var i Synopsys. Det var en agent som kunne skanne kompilering og kjøring av store emuleringsmaskiner, søke etter informasjon relatert til brukerens spørsmål, med flerspråklig støtte. På den tiden var det ingen transformatorer, ingen LLM-er, og selv oversettelse var svært annerledes enn det vi har i dag.

I 2020 var jeg en forsker i Google som arbeidet med Deep Learning-modellkomprimering og kvantisering, med CERN som brukte det jeg skapte for å søke etter subatomære partikler. Når jeg trodde at vi var i en krig om data, ble det klart at sikkerhet er et globalt problem som ikke er begrenset til ett land eller ett annet. Da bestemte jeg meg for å gå over til det.

For noen måneder siden snakket jeg med en utenlandsk regjeringsfunksjonær som sa at sikkerhet var et problem for USA og hans etat hadde ingen å frykte – bare for å få en cyberangrep i hans organisasjon noen uker senere.

Til slutt, i sammenligning av tilstanden for sikkerhet med ransomware-angrep mellom Brasil og USA, er virkeligheten at estimerte ransomware-avgifter er omtrent like.

Hvordan forskjeller seg det regulative miljøet for AI og sikkerhet mellom Brasil og USA, og hvordan påvirker det innovasjon i disse regionene?

Fordi Generative AI beveger seg så raskt, erkjenner regjeringer behovet for å beskytte noe, men er ofte usikre på hva de prøver å beskytte. Hva er effekten hvis vi skapte lover for LLM-er i 2023, og i 2024 bruker vi AI-agenter? Vi trenger reguleringer, men vi trenger også å gjøre en ubøyelige analyse av det regulative miljøet for å se hvordan vi kan bedre beskytte lokale borgere.

Det sagt, når AI tar beslutninger utelukkende basert på eksakte numeriske inndata som representerer årsaker eller egenskaper, er analysen ofte ufullstendig og gir en feilaktig virkelig resultat. For eksempel, hvis en AI-algoritme tar en lånebeslutning til en person basert på et tvetydig kriterium som “sannsynlighet” og en faktor som lønn eller rase var inkludert, kunne du lett se en situasjon hvor en person ville bli nektet et lån basert på den samlede effekten av en av disse to faktorene. Med Generative AI blir problemet enda verre, på grunn av LLM-ernes evne til å bringe eksterne data for å gjøre antagelser om grunnlag. Det er viktig å sikre at vi har reguleringer som ikke tillater feilaktige systemer å ta beslutninger (spesielt uten dypt tilsyn), ettersom de er bundet til å gjøre feil.

På den andre siden har jeg vært ekstremt fornøyd med den fullstendige selvkjørende kapasiteten til Tesla-biler, som, i sammenligning med mennesker, har vist seg å overstige antall mil kjørt før de er involvert i ulykker. Ja, de gjør feil, men selv i fly med copilot på, må piloter ta over kontrollen i tilfelle av en nødsituasjon.

Med hensyn til sikkerhet har flere US-organisasjoner (f.eks JCDC.AI, NIST, CISA osv.) diskutert behovet for å håndtere AI og sikkerhet. Selvfølgelig, i raskt bevegende markeder eller teknologier, trenger du å kontinuerlig tilpasse deg endringer, og når de beveger seg ekstremt raskt, må du operere på kanten av kaos.

Zscalers Zero Trust Exchange er en nøkkelkomponent i selskapets sikkerhetsmodell. Hvordan forbedrer AI denne plattformen, og hva er noen av de mest spennende utviklingene i dette området?

Zscalers zero trust-arkitektur hjelper organisasjoner å skape en mer sikker miljø for AI-utviklinger, men plattformen utnytter også AI på flere måter, fra ZDX Copilot som leverer generative AI-drevne sikkerhetsinnovasjoner. Utviklet i samarbeid med NVIDIA, utnytter agenten Generative AI for å proaktivt forsvare bedrifter mot trusler og forenkle IT- og nettverksoperasjoner. Zscaler har også forbedret sin prediktive sårbarhetsidentifikasjon ved å legge til Avalor sin Data Fabric for Security til Zscaler Zero Trust Exchange. Til slutt bor AI i kjernen av Zscalers zero trust-plattform, og oppdager og stopper kreditoriske tyverier og nettleser-utnyttelse fra phishing-sider. Sanntidsanalyser basert på trusselintelligens fra over 400 milliarder daglige transaksjoner forbedrer forsvar mot sofistikerte cyberangrep.

AI har blitt stadig mer sentral i kampen mot cybertrusler. Hvordan ser du på AI-evolusjonen for å håndtere den økende kompleksiteten av sikkerhetsrisiko, særlig i området IoT- og OT-enheter?

Trussellandskapet har uten tvil utviklet seg med introduksjonen av AI-baserte cyberangrep, så organisasjoner må kjempe AI med AI. Den største evolusjonen vil være å forbedre AI-løsninger med flere datakilder.

Som antall cyberangrep øker, må vi bruke mer automatisering med AI for å oppdage og håndtere cyber-risiko. Det er verdt å merke seg at AI og Generative AI brukes nå til å skape nye angrepsfrontier, og på grunn av dette må vi øke spillet ved å korrelere flere signaler enn vi gjorde før.

I tilfelle av IoT- og OT-enheter utgjør de betydelige risikoer for organisasjoner, ettersom flere IoT-enheter ikke bruker de mest oppdaterte programvare-stakkene – til tross for at du lett kan kjøpe Wi-Fi-brytere, internett-tilkoblede TV-er, diskmaskiner, ovner osv. I årevis har vi sett mange artikler som viser sårbarhetene vi er utsatt for i IoT/OT.

Vi må ha kontinuerlig bevissthet og forbedre sikkerhetsforsvaret ved å analysere alle typer data og signaler for å oppdage anomalier og potensielle trusler. For å vinne dette spillet, trenger vi state-of-the-art AI-modeller trent med massive mengder data i sanntid. Generative AI spiller en instrumental rolle ved å enable selskaper til å analysere og summerere resultater for brukere og sikkerhetsoperatører.

Som medlem av AI- og sikkerhetsarbeidsgrupper i Verdens økonomiske forum, hvordan former globale diskusjoner om AI-etikk og sikkerhet din tilnærming til din rolle i Zscaler?

Fordi teknologien beveger seg så raskt, trenger regjeringer og organisasjoner å ha grundig informasjon, og jeg ser på dette som rollen til Verdens økonomiske forum. AI og sikkerhet alene har nok behov for å kreve separate grupper, men når du kombinerer de to, er det nesten et nytt område i seg selv. For eksempel viste Gartner i år at Generative AI øker angrepsflaten betraktelig, og tar det fra prompt-injeksjon på inndata og utdata til applikasjonskodeangrep, modellangrep og selv plug-in-angrep.

Noen av disse angrepene er spesifikke for LLM-er som ChatGPT, men hvis du tar i betraktning at vi går fra LLM-er til AI-agenter og multi-agent-systemer, må du også ta i betraktning mye mer informasjon. For eksempel, i LLM-er kan du bry deg om prompt-injeksjon, sove-celle-atferd (utløsing LLM til å svare annerledes basert på spesielle nøkkelord), eller proprietær informasjonslekkasje. Når du diskuterer AI-agenter, må du også ta i betraktning angrep på verktøy og datakilder – selv hvis du antar at SQL-injeksjon og OS-kommandoinjeksjon kan være mulig igjen.

Til slutt må vi forberede vår arbeidsstyrke til å bruke Generative AI, og gi dem verktøy og en miljø hvor de kan operere i denne nye verden.

Du har vært en sterk forkjemper for mangfold og inklusjon, særlig som en Executive Sponsor for Zscalers Latino- og hispaniske ERG, Sabor. Hvordan har din kulturelle bakgrunn påvirket din ledelsesstil og tilnærming til AI-utvikling?

Som en stolt latino født og oppvokst i Brasil, er jeg lidenskapelig opptatt av å støtte og enable latino- og hispaniske samfunn i Zscaler. Jeg føler en stor følelse av å ha bidratt til en bedre verden gjennom sikkerhet, hvor vi hjelper til å beskytte samfunnet i en stadig mer kompleks verden. Mine verdier har hjulpet meg til å nå hvor jeg er i dag, og jeg er ekstremt stolt av hvor jeg kommer fra.

Mitt råd ville være å aldri glemme hvor du kommer fra og hva du har gjort. Alltid være stolt av hva som gjør deg unik, men også erkjenne at mangfold er kongen. Jeg lever med meg selv 24 timer i døgnet. Hvis jeg bare ansetter mennesker som er like meg og som er enige med meg, vil jeg ikke øke min kunnskap. Å ansette mennesker fra mange steder og bakgrunner hjelper oss til å bedre forstå de spesifikke behovene til vår globale kundebase.

Til slutt, hva er det som spenner deg mest om fremtiden for AI i sikkerhet, og hva rolle ser du for Zscaler i denne fremtiden?

AI endrer ikke grunnleggende prinsipper for effektiv cyber-forsvar – det understreker deres betydning. Vi forventer å se gjennomsiktighet, robuste sikkerhetspraksiser og kontinuerlig overvåking spre seg over hele industrien. Organisasjoner må adoptere en komprehensiv tilnærming til sikkerhet, og implementere avanserte tiltak for å oppdage og respondere på trusler. Dette inkluderer å foster en kultur av sikkerhetsbevissthet, gjennomføre regelmessige sikkerhetsauditorer og samarbeide med interessenter for å utvikle effektive sikkerhetsstrategier. Ved å gjøre dette kan organisasjoner redusere risikoen for brudd og beskytte sine sensitive informasjoner.

Zscaler er dedikert til å beskytte brukerens personvern, og anvender de mest avanserte teknikkene for å anonymisere data og sikre at vi holder det utenfor våre LLM-er, og forhindrer identifisering av enkelte brukere eller organisasjoner. Mens vi kan utforske finjustering av LLM-er i fremtiden, vil våre strenge dataprivatitetsmessige tiltak for å sikre at ingen brukerdata blir kompromittert, fortsette å være av største betydning. Vårt mål er å utnytte kraften til AI for å forbedre sikkerhet uten å krenke kundens personvern.

Takk for det flotte intervjuet, lesere som ønsker å lære mer, bør besøke Zscaler.