Steve Tait，Skyhigh Security 首席技术官 – 采访系列

Steve Tait，Skyhigh Security 首席技术官，是一位经验丰富的高管技术领导者，拥有超过 25 年的经验，跨越网络安全、国防、金融服务和医疗保健行业。他于 2024 年 8 月加入 Skyhigh，负责公司的安全服务边缘（SSE）技术愿景、架构和云基础设施战略。

Skyhigh Security 是一家总部位于加利福尼亚州圣何塞的私营云原生网络安全公司，提供了一套综合的安全服务边缘（SSE）平台。该平台统一了 CASB、安全网关、零信任私有访问、CNAPP、DLP 和远程浏览器隔离等解决方案，以保护数据并确保跨网络、云、电子邮件和私有应用程序的安全协作。凭借对实时数据保护、威胁预防和合规性的关注，Skyhigh Security 通过为现代混合工作环境设计的可扩展、数据感知架构，为全球超过 3,000 家客户（包括许多 Fortune 500 公司和主要金融机构）提供服务。

您从事移动数据行业开始您的职业生涯，然后在不同的行业中担任工程和领导角色——哪些早期经验塑造了您对网络安全的热情，并带您走到今天的位置？

当我加入 BAE 系统时，我对那些拆解最恶意的病毒和恶意软件的不可思议的团队有了深刻的了解，以便学习如何防御它们。网络犯罪行业的庞大规模和有组织的专业性是一个真正的开眼界的体验。例如，网络攻击背后的代码有时可以追溯到多个国家行为者和犯罪组织。这不是青少年在卧室里做的事情，这是一个严肃的全球性行业。防御这种行为是一种真正的社会善行，我想成为其中的一部分。

您曾表示“数字化转型已经结束”，我们现在正进入人工智能转型时代——您如何在公司战略和成果方面区分这两个阶段？

数字化转型是关于使用技术来改造业务流程，使其更加高效、有效，并为客户提供更好的体验。从业务角度来看，人工智能转型旨在实现相同的目标。然而，根本的区别在于，数字化转型通过流程自动化、数据聚合和高级数据可视化来实现这一目标，而人工智能转型则通过原创内容创作、伴侣分析和自主决策来实现这一目标。数字化转型旨在优化和简化人类决策过程。人工智能转型可以完全消除其中很多！

您认为公司在从经典自动化转向集成生成式人工智能时面临的最大组织挑战是什么？

需要进行的转型是巨大的。业务可能——也许应该——在几年后看起来完全不同。然而，尽管存在炒作，但它仍处于早期阶段。今天最大的组织问题实际上是培训。很多公司已经推出了通常的 20 分钟的企业培训视频关于人工智能，但这根本不够。员工需要学习如何利用这项技术，了解它所带来的真正风险，并了解它的工作原理，即使只是一点点。这样，员工在所有级别都可以帮助业务与技术一起转型。

在《安全杂志》中，您强调了提示注入和幻觉等顶级风险——哪个威胁向量最让您担心，Skyhigh 如何解决它？

无意的数据泄露绝对是企业面临的最大威胁。仅从 Skyhigh 跟踪的数据来看，我们在过去一年中看到向大型语言模型上传的数据增加了惊人的 80%。许多接口像商业助手一样运行，鼓励上传更多信息。与第三方共享信息的行为——将文件打包为 zip 文件并上传到 SFTP 位置进行第三方分析——会让员工停下来思考他们正在做什么以及潜在的风险。使用人工智能工具进行分析并将数据块粘贴到提示中以获得快速答案只需几秒钟的努力，但问题仍然存在：数据去了哪里，它是如何使用的？因此，Skyhigh 的主要关注点是人工智能应用程序的数据丢失防护，特别是 copilot。

您引用了统计数据，显示 94% 的人工智能应用程序带有大型语言模型风险，11% 的上传到人工智能的文件是敏感的——您看到企业如何应对这些问题？

企业仍然使用“用户策略”和“阻塞”作为主要技术，但许多企业仍然对每天使用的人工智能数量浑然不知。我们看到很多企业对发现、可见性以及将数据丢失防护技术扩展到人工智能（尤其是主要的 copilot 应用程序）感兴趣。

企业 copilot 可以访问大量的专有数据——防止未经授权的数据泄露或通过这些系统的滥用最有效的策略是什么？

一切从策略和培训开始。其次，数据标记和数据丢失防护技术的组合至关重要。例如，Microsoft AIP 标记可以防止机密数据被 MSFT Copilot 索引。结合 CASB 和数据丢失防护工具，AIP 标记可以根据数据分类自动添加。对文档和提示数据执行的数据丢失防护可以确保防止意外的数据上传。

您强调了公民开发人员创建自己的应用程序的风险——公司如何在促进创新和确保安全开发之间取得平衡？

一切都归结为培训。仅仅因为某人是“公民开发人员”，并不意味着他们可以选择退出标准工程师培训中包含的安全基础知识。他们不需要知道熟练的软件工程师可能知道的所有内容，但基本的特权访问和水平特权升级概念在构建应用程序时很重要。个人来说，我只会在完成适当的培训后才启用对这些工具的访问。然后，实施安全工具来捕获无意中的错误，这又回到了诸如数据丢失防护等技术。

作为 Skyhigh Security 的首席技术官，您在接下来的 12-18 个月内优先考虑哪个人工智能风险缓解领域——copilot、公民开发人员还是合规基础设施？

意识是至关重要的，Skyhigh 已经提供了全面的 Shadow AI 发现工具。Microsoft Copilot 和 ChatGPT Enterprise 是我们 2025 年的主要关注点。我们已经在这两者上推出了控制措施，并将在 2025 年剩余时间内进一步扩展这些控制措施。随着我们进入 2026 年，我们将把目光转向提示控制，以保护免受恶意提示、越狱和其他关键大型语言模型风险的影响。

您预见哪种突破或转变可能会完全改变我们对人工智能优先世界中企业安全的思考方式？

代理人工智能。它才刚刚开始，但影响可能是巨大的。随着越来越多的代理链接在一起，攻击向量也会增加。很多网络犯罪是由人类“发现”的，因为有些事情看起来不对劲。在这些代理链中，如何发现违规的迹象将是一个真正的挑战。

感谢这次精彩的采访，希望了解更多的读者可以访问 Skyhigh Security。