尽管大多数企业都意识到对AI模型进行强有力治理的必要性,但许多企业仍在努力弥补可能减缓AI应用速度并增加风险的种种差距。Anaconda一项针对300多名AI从业者和决策者的新调查结果凸显了开源工具存在的安全隐患、模型监控不一致以及AI工具链碎片化带来的运营挑战。
尽管经过验证,安全担忧依然居高不下
开源软件是AI开发的核心,但同时也带来了需要谨慎管理的供应链风险,大多数受访者都制定了相关流程,以验证Python软件包的安全性和合规性,这些流程包括从自动化漏洞扫描到维护内部软件包注册表以及进行人工审查等多种方式。
即便如此,安全仍是AI开发过程中最常见的风险,39%的受访者都提到了这一点。近三分之二的企业曾因安全担忧而推迟AI部署,许多企业报告称,排查依赖性问题所花费的时间影响了生产效率。尽管大多数团队对修复漏洞充满信心,但事件频发表明,目前的方法不足以跟上AI项目的规模和复杂性。
当被问及改善治理的首要任务时,最常见的回答是使用集成度更高的工具,将开发和安全工作流程结合起来。受访者还指出,需要提高模型组件的可见性,并对团队进行额外培训。
各企业的模型监控情况参差不齐
调查发现,各企业对追踪模型谱系的重要性有着深刻认识,83%的企业表示会记录基础模型的来源,81%的企业会记录模型依赖关系,然而,并非所有文档都全面,近五分之一的受访者表示根本没有正式文档。
性能监控也存在类似差距,尽管70%的受访者建立了检测模型漂移或意外行为的机制,但仍有30%的受访者在生产环境中没有正式监控,常见做法包括自动化性能监控、异常警报系统和定期人工审查,更成熟的团队还采用A/B测试和再培训计划,但这些方法远未普及。
缺乏持续一致的监控可能会留下盲点,影响合规性和性能。随着AI在生产环境中应用更加深入,检测和应对模型漂移的能力将成为一项关键的治理职能。
工具链碎片化阻碍治理进展
只有26%的企业表示拥有高度统一的AI开发工具链,其余企业的工具链则处于部分统一和碎片化状态,其中一小部分但值得注意的是,其工具链高度碎片化。
碎片化会造成可见性差距、工作重复和安全控制不一致,从而加大治理难度,它还增加了影子IT的风险,即团队在无人监督的情况下使用未经批准的工具。当治理流程叠加在互不相同的系统上时,就会变得缓慢而繁琐,进而促使团队绕过这些流程。
调查表明,统一工具和流程也是一项文化挑战,25%的受访者指出,数据科学团队对安全措施的抵制是一个关键问题。将治理嵌入日常工作流程的集成平台可以减少这种摩擦,有助于创新与监督保持一致。
