杰拉尔德·基尔斯，Trustible 的 CEO 和联合创始人 – 采访系列

杰拉尔德·基尔斯，Trustible 的 CEO 和联合创始人，是一位专注于负责人工智能运营的技术和政策领导者。他领导 Trustible 的使命，帮助组织建立信任，管理风险，并遵守新兴的人工智能法规。之前，他曾担任 FiscalNote 的人工智能解决方案副总裁和总经理，在那里他负责企业人工智能产品，并在公司发展、产品、客户成功和高管运营等领域担任过高级职务。他的职业生涯始终处于技术、法规和可扩展的企业执行的交叉点。

Trustible 提供一个人工智能治理平台，帮助组织清点人工智能系统，评估和减轻风险，并通过结构化工作流和文档来实现合规。该平台面向法律、合规和人工智能团队，集中治理活动，人工智能用例与监管框架保持一致，并使企业内负责人工智能的部署更加快速和透明。

您从产品营销和首席工作转到 FiscalNote 的人工智能解决方案领导，然后创立了 Trustible。在这些角色中，您看到什么问题使您相信人工智能治理需要一个专门的平台，您在启动 Trustible 时首先要解决什么问题？

我很幸运在 FiscalNote 有很多角色，在那里我从早期种子轮/系列 A 员工开始，离开时成为高级执行官，在 IPO 之后。跨产品营销、首席工作和最终领导 FiscalNote 的人工智能解决方案，我一直看到同一个问题从不同的角度出现。人工智能治理本质上是一个社会技术问题，但大多数组织以零碎的方式处理它。团队将人工智能性能、安全性、隐私、道德和法律审查视为单独的轨道，通常由不同的职能部门拥有，几乎没有共同的运营骨架将它们联系在一起。这些五个维度绝对很重要，它们需要被协作地解决。但组织在哪里挣扎的是，将这种社会技术意图转化为当人工智能进入真正的决策时的可持续性。

同时，人工智能的监管环境正在明显变化。欧盟人工智能法案和相关标准表明，人工智能正从实验技术转向受监管的基础设施。很明显，许多公司正在尝试将政策和监管期望映射到人工智能系统上，但是在部署之后，而不是在设计时就将治理纳入其中。

我的 FiscalNote 经验很重要，因为我们将人工智能应用于政策、法律和监管领域本身。我们帮助组织了解法律如何演变，如何解释要求，以及如何将监管期望转化为随时间变化的运营义务。这种经验使我清楚，有效的人工智能治理需要同样的纪律，但方向相反：直接将政策和监管思维应用于人工智能系统的构建、部署、监控和适应，以及随着条件的变化。

客户一致描述了相同的痛点。他们无法自信地回答哪些人工智能系统处于生产状态，哪些在新兴法规下风险最高，谁在系统跨越职能边界时负责，或者如何证明持续的合规性，因为模型、数据、供应商和法规同时演变。

当我们推出 Trustible 时，我们要解决的第一个问题是将社会技术治理从理论转化为运营现实。我们专注于创建一个系统，将技术行为、用例风险背景、所有权和监管期望联系在一起。Trustible 的设计目的是为组织提供一个关于人工智能的活系统记录，具有持续的可见性和问责制，因此治理可以跟上技术变化和监管演变的步伐，而不是落后于它们。

从前线来看，您过去一年学到了什么关于为什么治理计划一旦人工智能进入真正的决策、工作流程和面向客户的体验就会停滞不前？

一旦人工智能进入真正的工作流程，治理往往会因非常实际的原因而停滞，而不是哲学上的原因。大多数组织根本不知道如何评估人工智能风险的方式能够映射到系统实际使用的方式。他们可以在抽象中评估模型，但他们难以在用例级别评估风险，在那里上下文、影响和下游决策比技术指标更重要。

这个问题变得更加明显，尤其是在生成式人工智能中。一个单一的基础模型可能用于客户支持、内部研究、决策支持或内容生成，每个都有非常不同的风险特征。没有结构化的方法来评估和比较这些用例，团队要么过度谨慎，要么在没有真正信心的情况下继续前进。

第三方人工智能进一步复杂化了问题。组织严重依赖供应商和嵌入式人工智能能力，但缺乏一致的方法来评估这些系统，了解上游控制，或者确定供应商风险如何转化为他们自己的监管和运营暴露。因此，审查变得主观和缓慢。

这些挑战因专业知识和所有权的差距而加剧。治理责任通常分散在法律、合规、安全、数据和产品团队中，没有一个共同的框架或一个明确的负责人，一旦系统达到生产状态。结合不合适的工具，如电子表格、文档存储库或遗留的 GRC 平台，治理团队失去了对正在发生什么以及为什么重要的可见性。

在其核心，治理停滞是因为组织正在将旧的适用于静态系统的游戏规则应用于动态的人工智能系统。人工智能需要持续的风险评估、与结果相关的明确所有权以及反映系统实际在生产中行为的工具，而不是批准时的行为。治理团队无法看到正在发生什么变化、什么时候发生变化或为什么它很重要。

最后，所有权往往没有解决。许多组织没有一个人工智能系统的明确负责人，一旦系统从实验转移到生产。没有一个有明确责任的业务所有者来负责人工智能系统做出或影响的决策，治理变得建议性，进展变慢。

共同的线索是，组织正在将旧的治理游戏规则应用于根本新的技术。这些游戏规则是为静态系统和周期性审查而设计的。人工智能需要持续的风险评估、更清晰的所有权以及直接连接到系统实际在生产中如何运行的工具。

您如何定义第二年的治理，并且当组织从初始采用转向持续监控、漂移管理和持续合规时会发生什么变化？

第二年的人工智能治理是人工智能不再被视为一系列项目，而是被视为决策的基础设施的时候。我的意思是，在第一年，人工智能治理主要是关于使能。团队专注于批准用例、记录模型和建立审查流程，以便人工智能可以负责任地推进。

随着人工智能系统的扩展和嵌入核心业务流程，焦点会转移。问题不再是是否应该部署某事物，而是它是否可以在数据、用户、供应商和法规发生变化时安全可靠地运行。人工智能治理变得连续而不是周期性的，触发器是系统行为或上下文的实际变化，而不是基于日历的审查。

风险也变得动态。与其在启动时分配静态风险评级，组织需要了解风险如何随着模型漂移、范围扩展或新利益相关者与系统交互而演变。合规性遵循相同的转变。法规要求从映射到政策转变为通过实时控制、监控信号和持续捕获的证据来执行。

第二年人工智能治理的另一个关键方面是引入真正的人工智能事件管理。组织需要知道哪些系统正在被监控，根据固有的风险将它们优先级排列，集成正确的数据以显示有意义的信号，并定义明确的警报和升级标准。这使团队能够在问题变成事件之前进行干预。

在分散的系统和有限的资源下，哪些治理能力您认为公司应该在整个组织中标准化？

当资源有限时，组织需要在开始时有明确的方向，因为早期的选择会为接下来的一切设定轨迹。首要任务是获得对人工智能系统在业务中的实际存在的可靠可见性。许多团队认为他们只有少数人工智能系统，但后来发现了影子人工智能、嵌入式供应商能力和从未正式审查的安静扩展用例。没有对生产中内容的生动视图，治理讨论将停留在理论上，与现实脱节。

一旦可见性通过人工智能库存存在，治理就会分崩离析，当责任分散在委员会或职能部门时。组织需要明确指出谁对人工智能系统做出或影响决策负责，而不仅仅是谁最初构建或审查了它。这一清晰度在系统发生故障或模型超出原始范围时变得尤为重要。

从那里，团队需要一种实用的方法来推理风险。这意味着在内部构建系统、生成式人工智能用例和第三方供应商中建立一个共享的风险分类方法。没有一个共同的风险视角，组织要么过度审查低影响系统，要么低估对最重要的系统的监控。

最后，治理必须作为正常运营的副产品生成证据。我们经常喜欢谈论“说、做、证明”作为一种展示人工智能治理可信度的方式。捕获审批、更改和监控信号，因为系统正在运行，允许组织用信心响应审计、事件、客户请求和监管问题，而不是重建它们。这些基础不需要在开始时完美，但它们需要在开始时是一致且可重复的，如果治理需要扩展的话。

为什么您认为人工智能治理需要像网络安全或 GRC 一样被严肃对待，领导者在哪里低估了运营工作量？

人工智能治理带来了可与网络安全和 GRC 相比拟的系统性风险，但复杂性更高。像网络安全故障一样，人工智能故障可以迅速且不可见地在整个组织中传播。像 GRC 一样，人工智能与法律、道德和运营义务相交叉。然而，与这两者不同，人工智能系统可以在没有明确的人类干预下随时间变化其行为。

领导者往往低估工作量是在持续的运营需求方面。监控是连续的，而不是周期性的。协调跨越产品、数据、IT、法律、合规和采购团队。变更管理是持续的，因为模型、供应商、用例和法规同时演变。

将人工智能治理视为一次性合规练习的组织最终会挣扎。那些将其视为运营基础设施的组织，类似于安全或可靠性工程，将更好地定位以扩大人工智能的规模，并以更安全、更可持续的方式进行扩张。

随着美国各州推进人工智能法规的制定，而联邦政策仍存在争议，企业如何设计治理以保持对监管不确定性的适应性？

人工智能的监管环境是不可预测和不断演变的。最有韧性的治理计划是围绕要求而非个别法规构建的。组织不应对每个新法律都有专门的流程，而应该专注于各司法管辖区中出现的共同期望，例如清单、透明度、问责制、风险评估、人类监督和文档记录。

当治理系统是模块化的，新的监管要求可以映射到现有的控制中，而不是迫使团队每次监管环境发生变化时都重新发明他们的方法。这减少了摩擦，并帮助治理跟上政策变化的步伐。

目标不是针对今天的规则进行优化，而是适应它们的演变。

展望 2026 年，您预计哪些人工智能治理能力将成为不可商量的条件，随着组织在更多业务单元中扩大人工智能？

随着人工智能从孤立的试点转变为影响现实世界决策的系统，治理期望也在迅速变化。到 2026 年，组织将不再能够依赖于 2024 年和 2025 年曾经奏效的游戏规则，当时人工智能监督往往是手动的、周期性的和集中在单个审查上的。持续监控将成为基本要求，因为静态文档和点时评估将无法满足监管机构、董事会、员工或客户在动态人工智能环境中的要求。

随着人工智能在更多团队和工作流程中得到嵌入，组织还需要在日益复杂的人工智能供应链中保持一致的治理。内部模型、第三方供应商、嵌入式人工智能功能和自治组件都需要通过同一视角进行治理，而不是将供应商人工智能视为盲点或假设责任在采购时结束。

随着监管执行力度的加强和公众对透明度的期望提高，审计准备好的证据将需要按需提供。这意味着在人工智能系统被设计、部署和监控时捕获治理活动，而不是在事件或审计请求后重建决定。

最后，治理需要嵌入整个人工智能生命周期中。监督将不再是部署时的法律审查，而是集成到 SDLC、MLOps 和第三方供应商的采购工作流程中的运营能力。构建这些能力的组织将更好地适应监管不确定性、响应事件并随着期望继续演变时更快、更安全地扩大人工智能规模。

如果您正在为一家已经在生产中使用人工智能但没有正式治理计划的公司提供建议，现实的前 90 天将是什么样子？

前 30 天应该专注于获得基本的可见性。这意味着确定哪些人工智能系统处于生产状态，了解它们在哪里影响真正的决策，并分配明确的所有权。

下一阶段是关于建立基线控制。组织应该定义他们如何对风险进行分类，引入高风险系统的批准检查点，并开始监控最重要的领域。

在最后的冲刺阶段，治理需要从设置转变为运营。监控应该集成到现有的工作流程中，升级路径应该明确定义，证据应该开始自然积累，因为系统正在运行。

前 90 天的目标不是完美。它是动力。一个在实践中功能不完美但运作的治理计划比仅存在于纸面上的计划更有价值。”

感谢这次精彩的采访，希望了解更多的读者可以访问 Trustible。