为什么 AI 治理必须在 IT，而不仅仅是法务

Source: Dev.to

Introduction

AI治理不再是单纯的政策练习；它已经成为一种运营现实。随着企业在产品、工作流和客户互动中大规模部署生成式AI，治理正从仅限伦理或仅限法律的所有权转向其他方向。Technology Radius 的最新分析显示，组织正意识到AI风险更像是网络安全风险，而不是监管文书工作，这促使AI治理的所有者发生变化。

Traditional Ownership

Who Managed AI Governance Historically?

• 法务团队
• 合规官员
• 伦理委员会

Primary Focus Areas

• 合规监管
• 负责任使用原则
• 风险披露

该模型假设AI系统运行缓慢、受限且可预测——这一假设被生成式AI迅速推翻。

Why IT Ownership Is Needed

New Realities of Generative AI

• 提示词每天都在演变。
• 模型会静默更新。
• 数据在工具、API和云之间流动。

风险现在出现在 运行时，而不是审查阶段。单靠政策无法跟上。

Technical Challenges Requiring IT Expertise

• 提示注入攻击
• 通过AI响应泄露数据
• 未授权的模型访问
• 员工的影子AI使用
• SaaS工具之间的集成风险

这些问题需要对系统、日志、权限和使用模式的可视性——这些能力属于IT和安全职能。

Consequences of Missing IT Ownership

如果没有IT参与，治理会变得被动，只在出现问题后才被发现。AI现在的表现类似于：

• 生产系统
• 数据处理器
• 安全端点

因此，它明确归属于：

• CIO（首席信息官）
• CISO（首席信息安全官）
• 企业架构师
• 平台工程团队

Benefits of IT‑Driven Governance

当治理转移到IT时，它变得可操作——成为一层控制，而不仅仅是一份文档。

What IT Can Deliver

• 可视化谁在使用哪些AI工具
• 了解哪些数据被共享
• 监控输出是如何生成的
• 提示过滤
• 访问管理
• 基于角色的使用策略
• 持续日志记录
• 自动化警报
• 可审计的追踪

Organizational Advantages

• 降低团队摩擦
• 明确的护栏
• 减少临时合规阻塞
• 将治理视为推动者，而非瓶颈

Collaborative Roles

这种转变 不会 把法务或伦理团队排除在外；相反，角色会演进：

• 法务 定义政策、风险阈值和监管解释。
• IT 通过系统和工具执行这些政策。
• 安全 确保控制随时间保持有效。

治理变得协作，但执行发生在系统所在的地方。

Risks of Excluding IT

将AI治理置于IT之外的组织将面临真实风险：

• 未检测到的数据泄露
• 团队之间AI行为不一致
• 无法证明合规性
• 事件响应延迟
• 信任流失——无论是内部还是外部

Conclusion

生成式AI不再是副项目；它已经成为基础设施。基础设施治理历来属于IT。认识到这一点的公司将能够更快、更安全地扩展AI，并且几乎不会出现意外。