斯里·艾尔，Kovr.ai 的首席技术官和联合创始人 – 采访系列

斯里·艾尔，Kovr.ai 的首席技术官和联合创始人，是一位成就斐然的技术领袖，拥有丰富的经验，曾在人工智能、数据分析、量子计算和自动化等领域推动创新。在创立 Kovr.ai 之前，他曾在亚马逊、Guidehouse、普华永道和雷神公司等公司担任高级职务，领导团队开发下一代解决方案，涉及公共和私营部门。凭借十多年的新兴技术经验和众多行业认证，艾尔建立了帮助组织利用颠覆性工具解决复杂业务和安全挑战的声誉。

Kovr.ai 通过为云和混合环境设计的 AI 本地平台，重新定义了网络合规性。该公司使用实时、代码驱动的智能自动执行复杂的监管框架，例如 FedRAMP 和 CMMC，使企业能够在短短 15 分钟内获得授权。通过替换传统的手动咨询和不灵活的合规工具，Kovr.ai 提供了一种可扩展、适应性的风险管理方法，赋予高度监管的组织保持安全、合规和随时准备适应不断变化的能力。

在联合创立 Kovr.ai 之前，您曾在 AWS、PwC 和各种面向联邦政府的初创公司担任领导职务。是什么个人或职业经历让您意识到有必要找到一种更好的方式来解决联邦 IT 合规问题，并最终激发您创立 Kovr.ai 的灵感？

我从两个方面经历了联邦 IT 合规挑战：首先作为系统所有者，为国防部构建大型平台，后来在 AWS 领导云和 AI 计划。在一个案例中，我帮助构建的系统需要几年时间开发，但后来却因合规问题而被延迟了更长时间。那时的沮丧成为一个转折点。

在 AWS，我领导的团队支持服务通过 FedRAMP 和类似合规流程。尽管亚马逊拥有丰富的资源，但在新地区获得服务授权仍然需要长达三年的时间。即使在这种规模下，最佳的内部解决方案基本上是使用 Quip 或 Google Docs 等工具来跟踪和管理流程。低效率是惊人的，我亲眼看到大多数机构都面临着同样的问题。

多年来，我一直认为一定有更好的方法，但由于合规性控制的复杂性和代码库、文档的映射，真正的自动化似乎无法实现。这种情况发生了变化，当我领导 AWS 的 AI/ML 解决方案架构团队时。看到生成式 AI 如何转变手动工作流程是令人开眼界的。突然，似乎不可能的事情——减少合规工作量，而不仅仅是将其转移到不同的工具中——看起来是可行的。

经过一些实验和研发，我的现在的联合创始人和我意识到，我们可以构建一个不仅可以跟踪合规性，还可以真正加速合规性的平台。这种洞察力是 Kovr.ai 的起源，利用 AI 来减少联邦 IT 合规的负担，而不仅仅是管理它。

许多科技初创公司在面对联邦合规要求时，苦于复杂性、成本和节奏。您在 Kovr.ai 早期遇到的最大障碍是什么，以及 Kovr.ai 如何成功克服这些挑战，建立了一个可行的解决方案？

Kovr.ai 在解决科技初创公司的联邦合规问题时，遇到了几个主要障碍，包括：

• 复杂性和手动流程：初创公司通常发现联邦合规过于复杂，因为控制数量庞大（例如，NIST 800-53 有超过 1200 个控制），并且通常使用手动、基于电子表格的流程。这使得合规变得缓慢、容易出错和耗费资源。
• 反馈和迭代缓慢：传统的合规流程需要团队和顾问之间长时间的来回沟通，延迟了进展，并使初创公司难以知道他们的状态或下一步该做什么。
• 高成本和资源负担：初创公司拥有有限的时间和资金，难以优先考虑合规而不是他们的核心产品路线图，通常会延迟政府工作数年。

我们通过使用自动化、灵活的输入、快速迭代和深度工作流集成，使初创公司更容易实现合规。该平台自动扫描文档、代码和云环境，以映射它们到合规控制并提供即时差距评估。它支持任何格式的文档，降低了进入门槛，并强调快速的用户反馈，以确保现实世界的相关性。通过将合规检查嵌入开发管道中，Kovr.ai 帮助团队无缝地集成合规性，而不会造成重大干扰。

像 OSCAL（开放安全控制评估语言）这样的机器可读合规格式的转变如何改变供应商和机构对安全性的态度？

OSCAL 有潜力使合规变得更加自动化和高效，但其影响目前受到供应商和机构采用速度的限制。随着更多方使用 OSCAL，合规流程的自动化和标准化的好处预计会增加。Kovr.ai 本地构建在 OSCAL 之上，能够以这种格式传输和处理合规信息，但更广泛的好处只有当更多利益相关者采用基于 OSCAL 的工作流时才能实现。

您将 Kovr.ai 描述为“合规 copilot”。请带我们了解一下实践中的情况，从文档到审计准备。背后发生了什么，使得这个过程更快或更容易？

在幕后，Kovr.ai 利用 AI 和自动化来消除手动工作，提供即时反馈，并保持合规文档的最新状态，使整个过程，从文档到审计准备，对于用户来说变得更快、更容易。

用户可以带来任何他们已经拥有的合规文档，无论格式如何——文档、代码、云环境数据、架构图等。从那里，Kovr.ai 自动扫描每个文档、代码库和环境的每一行，并将所有这些信息映射到相关的安全控制，例如 NIST 800-53 中的控制。使用构建用户合规性景观的综合知识图的 AI 模型来完成此操作。

然后我们的系统评估每个控制，识别差距，并生成可执行的补救建议。用户可以通过更新环境或文档并重新上传到 Kovr.ai 来解决这些差距，Kovr.ai 然后提供即时反馈，表明问题是否已解决。好消息是这个过程可以重复进行，允许用户通过快速、自动化的反馈来迭代改进他们的合规状况，从而消除了传统的团队和顾问之间的延迟。

Kovr.ai 还可以生成所有必需的合规文档，包括政府模板，例如 FedRAMP SSP，使用知识图中的信息。

最后，平台保持所有合规信息的更新，并可以为审计员包装。审计员甚至可以直接访问 Kovr.ai 来审查和查询合规数据，从而简化审计流程。

初创公司通常面临着一个艰难的权衡：快速行动并打破常规，还是减慢速度以满足合规要求。在构建 Kovr.ai 的过程中，您如何处理这种权衡？您会给其他试图进入监管市场的创新者什么建议？

Kovr.ai 从一开始就将合规和安全放在心上，融入了空气隔离系统、强身份验证和加密等功能，以支持监管环境。我们还将自动化合规检查直接集成到我们的 DevOps 管道中，实现了早期问题检测和避免了漫长的审查，并专注于快速原型设计和集成，基于用户反馈，以确保产品满足用户需求，同时保持合规。自动化进一步降低了手动开销，实现了快速、安全的开发扩展。

对于创新者来说，尤为重要的是要从一开始就将合规和安全融入产品中。将自动化合规检查集成到 DevOps 管道中，以便尽早发现问题，并在需要时引入人工合规专家。虽然合规可能会减慢功能开发的速度，但最终它会通过避免昂贵的返工来节省时间。

您谈到了现代化联邦采购的必要性。当前系统中哪些部分感觉最过时？什么实际的改变会使初创公司更容易竞争？

联邦采购系统通常感觉过时，具有缓慢的采购周期，资金优先考虑运营而不是创新，以及复杂的采购机制，使初创公司难以进入。为了支持初创公司，实际的改革包括分配更多灵活、创新导向的资金，降低采购门槛以实现更快、更小的采购，扩大进入采购车辆（如 DOD 的 Tradewinds）的机会，并创建简化的“应用商店”式平台，以简化机构发现和购买新技术的方式。

回顾过去，哪些基础决策——关于架构、营销策略或招聘——被证明对 Kovr.ai 的发展至关重要？

Kovr.ai 最重要的基础决策包括快速原型设计和迭代、用户驱动的产品愿景、灵活的生产策略、建立反馈社区以及保持对客户需求的强烈关注。这些选择使我们能够构建一个真正解决联邦合规挑战的解决方案。

作为首席技术官，您如何平衡快速创新和保持严格合规之间的关系？是否有任何框架或内部实践可以让您同时跟进这两个优先事项？

我通过将合规嵌入每个开发阶段，利用自动化，保持灵活的生产环境，并紧密关注用户需求和专家指导来平衡创新和合规。这些实践确保两个优先事项——快速创新和严格合规——始终得到满足。

展望未来，Kovr.ai 将在哪些方向上扩展——无论是进入州和地方政府、其他监管行业（如金融和能源），还是进入国际市场？

团队将继续推进 Kovr.ai 技术，以实现持续和自动的合规管理，并在几个方向上扩展其当前对联邦政府合规的关注。这些扩展包括进入州和地方政府、其他监管行业（如金融、能源和医疗保健），以及国际市场。

感谢您接受这次精彩的采访，希望读者能够通过访问 Kovr.ai 来了解更多信息。