编者按:本文作者为 布拉德·希伯特,Prevalent首席运营与战略官,最初发表于securitymagazine.com

尽管人工智能(AI)已存在相当长的时间,但相关技术的应用与发展在过去一年间取得了飞跃性进步。 第三方风险管理 领域似乎有望从中受益 —— 前提是人工智能能为企业提供更便捷的方式来管理第三方供应商风险,并确保其在复杂监管环境中合规运营。

第三方:机遇与挑战

企业日益依赖第三方提供各类商品与服务,因为这比全部自产自销高效且经济得多。 然而这种做法也加剧了供应商风险。复杂的全球供应链使得企业难以清晰掌握日益增多的第三方在安全与风险管理方面的实践情况。而安全人员又如何应对这些完全无法可视化的风险?这虽是艰巨却至关重要的任务——因为网络犯罪分子正日益频繁地攻击供应链中的第三方,以窃取敏感数据并破坏运营。

随着第三方威胁日益复杂化,企业发现并修复第三方风险所需的时间也在不断延长。这种变化主要源于以下三个原因:

  • 网络数据量持续增长,来源也日益增多。海量数据需要投入更多时间和精力进行分析和审查。
  • 分析流程需要多种类型的文件,具体取决于管理供应商的部门及其希望管控的风险类型。风险可能涉及财务、运营、合规、声誉或信息技术等领域,这大大扩展了分析所需文件的类型——以及所需的专业知识。
  • 监管要求可能存在 重叠或模糊之处,但其日益严格的特性也使得整改与报告工作变得复杂。

第三方风险管理正面临关键转折点。当众多企业持续面临预算与资源挑战之际,安全负责人如何才能有效提升第三方风险管理(TPRM)计划的执行效率?若想降低数据泄露风险、最小化潜在业务影响并维护企业声誉,此举至关重要。

人工智能能否优化第三方风险管理流程?

人工智能或许能提供解决方案。以下是人工智能在应对第三方风险供应商和供货商挑战方面可发挥作用的三个具体途径。

1. 自动化收集和分析来自多种来源的风险数据——人工智能能够自动收集并分析来自多种来源的数据,例如财务报表、安全日志和安全认证。随后,人工智能可基于这些数据的历史记录及当前趋势预测未来风险。这既减少了管理第三方风险所需的时间和精力,又提升了决策质量。

2. 提供背景信息以简化风险分析与合规报告——应对复杂多变的法规体系对合规与审计团队而言极具挑战性,他们往往缺乏明确的风险处理指引。 用于验证控制措施的流程也常存在不一致性,进一步增加了操作复杂度。尽管海量数据的分析处理对人类而言既耗时又枯燥,但经过专业训练的人工智能系统能自动解析庞大风险数据,提供情境背景并识别规律趋势。人工智能解决方案使合规与审计团队能够更轻松地评估风险与控制措施,并生成指导建议及整改方案。

3. 自动化手动任务,助力风险管理者更具前瞻性——传统上,风险管理者需耗费大量时间筛选电子表格、手动录入数据并生成报告。 这使得制定战略、分析新兴风险及开展长期规划变得困难。由于人工智能能收集并分析历史数据与当前趋势,它可预测未来风险,从而使安全专业人员获得更多时间来预测、评估和缓解可能威胁组织目标的风险,从而更具前瞻性。最终实现针对第三方供应商相关风险的决策更快速、更精准且更具数据驱动性。

在人工智能风险管理(TPRM)中应关注哪些方面

过去一年间,人们逐渐认识到人工智能——尤其是占据新闻头条的大型语言模型(LLMs)——未必能为所有问题提供完美解决方案。运用人工智能工具的机构必须意识到潜在风险,并确保这些风险得到妥善处理。

  • 无论是源于统计异常、错误输入还是不适配的学习模型数据,人工智能都可能将无效解读当作事实呈现(且表现得信心十足)。 这种现象被称为幻觉。为规避此风险,AI第三方风险管理解决方案必须确保模型训练数据基于真实第三方风险数据——数据需准确、多样且能代表现实场景。此类解决方案必须持续优化模型,通过学习第三方风险特有的情境与细微差别来实现持续改进。
  • 当人工智能系统基于存在偏见的学习模型数据构建时,其响应结果必然同样带有偏见。偏见往往难以察觉,因此使用多样化且能代表现实世界人群的训练数据至关重要。必须持续更新和重新训练人工智能模型,以整合新数据并减轻潜在偏见。 人工审核是识别AI生成内容与决策中偏见、评估解决方案性能的重要途径,这意味着解决方案提供商必须定期对这些AI模型进行审计。
  • 需要谨记的是,将专有数据输入第三方大型语言模型并非明智之举,因为这些数据可能被泄露至组织外部。 同样地,LLM解决方案可能将输入数据嵌入其模型中,这使得后续查询可能涉及机密信息。为防止未经授权的访问,必须对静态存储和传输中的敏感数据进行加密保护。若使用AI处理特定TPRM任务,解决方案必须整合强有力的访问控制和授权机制,以阻止未经授权的个人或系统访问及篡改数据。

管理第三方供应商始终是风险管理中最具挑战性的环节。从尽职调查到合规审查再到持续监控,风险管理人员的时间和精力被各种需求所占据。经过专业培训并持续维护的第三方风险管理人工智能解决方案,能够自动化处理常规任务并提供先进的分析工具,使风险管理人员能够专注于推动整体业务发展的战略性活动。

编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。