Rick Caccia, CEO e Co-Fundador da WitnessAI – Série de Entrevistas

Rick Caccia, CEO e Co-Fundador da WitnessAI, tem ampla experiência no lançamento de produtos de segurança e conformidade. Ele ocupou cargos de liderança em produtos e marketing na Palo Alto Networks, Google e Symantec. Caccia liderou anteriormente o marketing de produtos na ArcSight durante sua IPO e operações subsequentes como empresa pública e serviu como o primeiro Diretor de Marketing da Exabeam. Ele possui múltiplos diplomas da Universidade da Califórnia, Berkeley.

WitnessAI está desenvolvendo uma plataforma de segurança focada em garantir o uso seguro e seguro de IA em empresas. Com cada grande mudança tecnológica – como web, móvel e computação em nuvem – novos desafios de segurança surgem, criando oportunidades para líderes de indústria emergirem. A IA representa a próxima fronteira nessa evolução.

A empresa tem como objetivo estabelecer-se como líder em segurança de IA, combinando expertise em aprendizado de máquina, segurança cibernética e operações de nuvem em grande escala. Sua equipe traz experiência profunda em desenvolvimento de IA, engenharia reversa e implantação de Kubernetes multi-nuvem, abordando os desafios críticos de segurança de tecnologias impulsionadas por IA.

O que o inspirou a co-fundar a WitnessAI e quais desafios-chave em governança e segurança de IA você estava tentando resolver? 

Quando começamos a empresa, pensamos que as equipes de segurança estariam preocupadas com ataques a seus modelos de IA internos. Em vez disso, os primeiros 15 CISOs com quem falamos disseram o oposto, que a ampla implantação de LLMs corporativos estava longe, mas o problema urgente era proteger o uso de aplicativos de IA de seus funcionários. Nós demos um passo atrás e vimos que o problema não era repelir ataques cibernéticos assustadores, mas permitir que as empresas usassem a IA de forma produtiva. Embora a governança possa ser menos atraente do que os ataques cibernéticos, é o que as equipes de segurança e privacidade realmente precisam. Eles precisam de visibilidade do que seus funcionários estão fazendo com aplicativos de IA de terceiros, uma maneira de implementar políticas de uso aceitável e uma maneira de proteger dados sem bloquear o uso desses dados. Então, é isso que construímos.

Dada sua ampla experiência na Google Cloud, Palo Alto Networks e outras empresas de segurança cibernética, como esses papéis influenciaram sua abordagem para construir a WitnessAI? 

Eu falei com muitos CISOs ao longo dos anos. Uma das coisas mais comuns que ouço de CISOs hoje é: “Eu não quero ser o ‘Doutor Não’ quando se trata de IA; quero ajudar nossos funcionários a usá-la para ser melhor.” Como alguém que trabalhou com fornecedores de segurança cibernética por muito tempo, essa é uma declaração muito diferente. É mais reminiscente da era do dotcom, quando a Web era uma tecnologia nova e transformadora. Quando construímos a WitnessAI, começamos especificamente com capacidades de produto que ajudavam os clientes a adotar a IA com segurança; nossa mensagem era que essa coisa é como mágica e, claro, todos querem experimentar a mágica. Acho que as empresas de segurança são muito rápidas em jogar a carta do medo, e queríamos ser diferentes.

O que distingue a WitnessAI de outras plataformas de governança e segurança de IA no mercado hoje? 

Bem, para começar, a maioria dos outros fornecedores no espaço está focada principalmente na parte de segurança e não na governança. Para mim, a governança é como os freios de um carro. Se você realmente quer chegar a algum lugar rapidamente, você precisa de freios eficazes, além de um motor poderoso. Ninguém vai dirigir um Ferrari muito rápido se ele não tiver freios. Nesse caso, sua empresa usando IA é o Ferrari, e a WitnessAI é os freios e o volante.

Em contraste, a maioria de nossos concorrentes se concentra em ataques teóricos assustadores ao modelo de IA de uma organização. Esse é um problema real, mas é um problema diferente do que obter visibilidade e controle sobre como meus funcionários estão usando qualquer um dos 5.000+ aplicativos de IA já na internet. É muito mais fácil para nós adicionarmos um firewall de IA (e temos) do que para os fornecedores de firewalls de IA adicionarem governança e gerenciamento de risco eficazes.

Como a WitnessAI equilibra a necessidade de inovação em IA com segurança e conformidade empresarial? 

Como escrevi anteriormente, acreditamos que a IA deve ser como mágica – pode ajudá-lo a fazer coisas incríveis. Com isso em mente, pensamos que a inovação em IA e a segurança estão ligadas. Se seus funcionários puderem usar a IA com segurança, eles a usarão com frequência e você se destacará. Se você aplicar a mentalidade de segurança típica e a bloquear, seu concorrente não fará isso, e ele se destacará. Tudo o que fazemos é sobre permitir a adoção segura de IA. Como um cliente me disse: “Essa coisa é mágica, mas a maioria dos fornecedores a trata como se fosse magia negra, assustadora e algo a temer.” Na WitnessAI, estamos ajudando a permitir a mágica.

Você pode falar sobre a filosofia central da empresa em relação à governança de IA – você vê a segurança de IA como um facilitador em vez de uma restrição? 

Nós regularmente temos CISOs que nos procuram em eventos onde apresentamos, e eles nos dizem: “Seus concorrentes estão todos falando sobre o quão assustadora é a IA, e vocês são os únicos que estão nos dizendo como realmente usá-la de forma eficaz.” Sundar Pichai, da Google, disse que “a IA pode ser mais profunda do que o fogo”, e essa é uma metáfora interessante. O fogo pode ser incrivelmente destrutivo, como vimos recentemente. Mas o fogo controlado pode fazer aço, o que acelera a inovação. Às vezes, na WitnessAI, falamos sobre criar a inovação que permite aos nossos clientes direcionar o “fogo” de IA de forma segura para criar o equivalente a aço. Alternativamente, se você acha que a IA é semelhante à mágica, então talvez nosso objetivo seja dar a você uma varinha mágica para direcionar e controlar.

Em qualquer caso, acreditamos absolutamente que permitir a IA de forma segura é o objetivo. Apenas para dar um exemplo, existem muitas ferramentas de prevenção de perda de dados, é uma tecnologia que existe há muito tempo. E as pessoas tentam aplicar a prevenção de perda de dados ao uso de IA, e talvez o plug-in do navegador de prevenção de perda de dados veja que você digitou um longo prompt solicitando ajuda com o trabalho, e esse prompt acidentalmente tem um número de ID de cliente. O que acontece? O produto de prevenção de perda de dados bloqueia o prompt de sair, e você nunca obtém uma resposta. Isso é restrição. Em vez disso, com a WitnessAI, podemos identificar o mesmo número e silenciosamente e cirurgicamente removê-lo em tempo real, e então desfazer a remoção na resposta de IA, para que você obtenha uma resposta útil enquanto também mantém seus dados seguros. Isso é facilitação.

Quais são os maiores riscos que as empresas enfrentam ao implantar IA geradora, e como a WitnessAI mitiga esses riscos?

O primeiro é a visibilidade. Muitas pessoas ficam surpresas ao saber que o universo de aplicativos de IA não é apenas ChatGPT e agora DeepSeek; existem literalmente milhares de aplicativos de IA na internet, e as empresas absorvem riscos de funcionários que usam esses aplicativos, então o primeiro passo é obter visibilidade: quais aplicativos de IA meus funcionários estão usando, o que eles estão fazendo com esses aplicativos e é arriscado?

O segundo é o controle. Sua equipe jurídica construiu uma política de uso aceitável abrangente para IA, uma que garante a segurança de dados de clientes, dados de cidadãos, propriedade intelectual, bem como a segurança dos funcionários. Como você vai implementar essa política? Está no seu produto de segurança de endpoint? No seu firewall? No seu VPN? Na sua nuvem? E se todos forem de fornecedores diferentes? Então, você precisa de uma maneira de definir e aplicar uma política de uso aceitável que seja consistente em todos os modelos de IA, aplicativos, nuvens e produtos de segurança.

O terceiro é a proteção de seus próprios aplicativos. Em 2025, veremos uma adoção muito mais rápida de LLMs dentro das empresas, e então uma implantação mais rápida de aplicativos de bate-papo alimentados por esses LLMs. Então, as empresas precisam garantir não apenas que os aplicativos estejam protegidos, mas também que os aplicativos não digam “coisas bobas”, como recomendar um concorrente.

Nós abordamos todos os três. Nós fornecemos visibilidade sobre quais aplicativos as pessoas estão acessando, como elas estão usando esses aplicativos, política baseada em quem você é e no que você está tentando fazer, e ferramentas muito eficazes para prevenir ataques, como jailbreaks ou comportamentos indesejados de seus bots.

Como a funcionalidade de observabilidade de IA da WitnessAI ajuda as empresas a rastrear o uso de IA por funcionários e prevenir riscos de “IA sombra”?

A WitnessAI se conecta facilmente à sua rede e constrói silenciosamente um catálogo de todos os aplicativos de IA (e existem literalmente milhares deles na internet) que seus funcionários acessam. Nós lhe dizemos onde esses aplicativos estão localizados, onde eles hospedam seus dados, etc., para que você entenda quão arriscados esses aplicativos são. Você pode ativar a visibilidade de conversa, onde usamos inspeção de pacotes para observar prompts e respostas. Podemos classificar prompts por risco e intenção. A intenção pode ser “escrever código” ou “escrever um contrato corporativo”. É importante porque então nos permite escrever controles de política baseados em intenção.

Qual é o papel da aplicação de política de IA na garantia de conformidade corporativa de IA, e como a WitnessAI simplifica esse processo?

A conformidade significa garantir que sua empresa está seguindo regulamentos ou políticas, e há duas partes para garantir a conformidade. A primeira é que você deve ser capaz de identificar atividade problemática. Por exemplo, eu preciso saber que um funcionário está usando dados de clientes de uma maneira que pode violar uma lei de proteção de dados. Fazemos isso com nossa plataforma de observabilidade. A segunda parte é descrever e aplicar política contra essa atividade. Você não quer apenas saber que os dados de clientes estão vazando, você quer parar de vazá-los. Então, construímos um mecanismo de política de IA exclusivo, Witness/CONTROL, que permite que você construa facilmente políticas baseadas em identidade e intenção para proteger dados, prevenir respostas prejudiciais ou ilegais, etc. Por exemplo, você pode construir uma política que diga algo como: “Apenas nosso departamento jurídico pode usar o ChatGPT para escrever contratos corporativos, e se fizer isso, automaticamente remova qualquer PII.” Fácil de dizer, e com a WitnessAI, fácil de implementar.

Como a WitnessAI aborda as preocupações em torno de jailbreaks de LLM e ataques de injeção de prompts?

Nós temos uma equipe de pesquisa de IA de ponta – realmente afiada. No início, eles construíram um sistema para criar dados de ataque sintéticos, além de conjuntos de dados de treinamento amplamente disponíveis. Como resultado, testamos nossa injeção de prompts contra tudo o que há lá fora, somos mais de 99% eficazes e regularmente pegamos ataques que os próprios modelos perdem.

Na prática, a maioria das empresas com quem falamos quer começar com a governança de aplicativos de funcionários e, um pouco mais tarde, implantam um aplicativo de IA de cliente baseado em seus dados internos. Então, eles usam a Witness para proteger suas pessoas, então ativam o firewall de injeção de prompts. Um sistema, uma maneira consistente de construir políticas, fácil de dimensionar.

Quais são seus objetivos de longo prazo para a WitnessAI, e onde você vê a governança de IA evoluindo nos próximos cinco anos? 

Até agora, só falamos sobre um modelo de aplicativo de bate-papo para pessoa aqui. Nossa próxima fase será lidar com aplicativo para aplicativo, ou seja, IA agente. Nós projetamos as APIs em nossa plataforma para funcionar igualmente bem com agentes e humanos. Além disso, acreditamos que construímos uma nova maneira de obter visibilidade e controle de nível de rede na era da IA, e cresceremos a empresa com isso em mente. Além disso, acreditamos que construímos uma nova maneira de obter visibilidade e controle em nível de rede na era da IA, e cresceremos a empresa com isso em mente. Thank you for the great interview, readers who wish to learn more should visit WitnessAI.