Rick Caccia, CEO dan Co-Founder dari WitnessAI – Wawancara Seri
Rick Caccia, CEO dan Co-Founder dari WitnessAI, memiliki pengalaman luas dalam meluncurkan produk keamanan dan kepatuhan. Dia pernah menjabat sebagai pemimpin di bidang produk dan pemasaran di Palo Alto Networks, Google, dan Symantec. Caccia sebelumnya memimpin pemasaran produk di ArcSight melalui IPO-nya dan operasi lanjutan sebagai perusahaan publik serta menjabat sebagai Chief Marketing Officer pertama di Exabeam. Dia memegang beberapa gelar dari University of California, Berkeley.
WitnessAI sedang mengembangkan platform keamanan yang fokus pada memastikan penggunaan AI yang aman dan terjamin di perusahaan. Dengan setiap pergeseran teknologi utama—seperti web, mobile, dan komputasi awan—timbul tantangan keamanan baru, menciptakan peluang bagi pemimpin industri untuk muncul. AI mewakili frontier berikutnya dalam evolusi ini.
Perusahaan bertujuan untuk menjadikan dirinya sebagai pemimpin dalam keamanan AI dengan menggabungkan keahlian dalam machine learning, keamanan cyber, dan operasi awan berskala besar. Timnya membawa pengalaman mendalam dalam pengembangan AI, reverse engineering, dan penyebaran Kubernetes multi-awan, mengatasi tantangan-tantangan kritis dalam mengamankan teknologi yang didorong oleh AI.
Apa yang menginspirasi Anda untuk menjadi Co-Founder dari WitnessAI, dan tantangan-tantangan kunci dalam tata kelola dan keamanan AI apa yang Anda tuju untuk diselesaikan?
Ketika kami pertama kali memulai perusahaan, kami mengira bahwa tim keamanan akan khawatir tentang serangan terhadap model AI internal mereka. Sebaliknya, 15 CISO pertama yang kami ajak bicara mengatakan sebaliknya, bahwa penyebaran LLM perusahaan secara luas masih jauh, tetapi masalah mendesak adalah melindungi penggunaan aplikasi AI orang lain oleh karyawan mereka. Kami mundur sejenak dan melihat bahwa masalahnya bukan bertahan dari serangan cyber menakutkan, tetapi memungkinkan perusahaan dengan aman menggunakan AI secara produktif. Sementara tata kelola mungkin kurang menarik daripada serangan cyber, itulah yang sebenarnya dibutuhkan tim keamanan dan privasi. Mereka membutuhkan visibilitas terhadap apa yang dilakukan karyawan mereka dengan AI pihak ketiga, cara menerapkan kebijakan penggunaan yang dapat diterima, dan cara melindungi data tanpa memblokir penggunaan data tersebut. Jadi itulah yang kami bangun.
Dengan pengalaman luas Anda di Google Cloud, Palo Alto Networks, dan perusahaan keamanan cyber lainnya, bagaimana peran-peran tersebut memengaruhi pendekatan Anda dalam membangun WitnessAI?
Saya telah berbicara dengan banyak CISO selama bertahun-tahun. Salah satu hal yang paling umum saya dengar dari CISO saat ini adalah, "Saya tidak ingin menjadi ‘Dokter Tidak’ ketika berbicara tentang AI; saya ingin membantu karyawan kami menggunakan AI untuk menjadi lebih baik." Sebagai seseorang yang telah bekerja dengan vendor keamanan cyber untuk waktu yang lama, pernyataan ini sangat berbeda. Ini lebih mengingatkan pada era dotcom, saat Web adalah teknologi baru dan transformatif. Ketika kami membangun WitnessAI, kami secara khusus memulai dengan kemampuan produk yang membantu pelanggan mengadopsi AI dengan aman; pesan kami adalah bahwa ini seperti sihir dan tentu saja semua orang ingin merasakan sihir tersebut. Saya pikir perusahaan keamanan terlalu cepat memainkan kartu ketakutan, dan kami ingin berbeda.
Apa yang membedakan WitnessAI dari platform tata kelola dan keamanan AI lainnya di pasar saat ini?
Nah, satu hal, kebanyakan vendor lain di ruang ini lebih fokus pada bagian keamanan, bukan pada bagian tata kelola. Bagi saya, tata kelola seperti rem pada mobil. Jika Anda benar-benar ingin sampai ke suatu tempat dengan cepat, Anda membutuhkan rem yang efektif selain mesin yang kuat. Tidak ada yang akan mengendarai Ferrari dengan sangat cepat jika tidak memiliki rem yang efektif. Dalam hal ini, perusahaan Anda yang menggunakan AI adalah Ferrari, dan WitnessAI adalah rem dan setir.
Sebaliknya, kebanyakan pesaing kita fokus pada serangan menakutkan secara teoritis pada model AI organisasi. Itu adalah masalah nyata, tetapi itu adalah masalah yang berbeda dari mendapatkan visibilitas dan kontrol atas bagaimana karyawan saya menggunakan salah satu dari 5.000+ aplikasi AI yang sudah ada di internet. Lebih mudah bagi kami untuk menambahkan firewall AI (dan kami melakukannya) daripada untuk vendor firewall AI menambahkan tata kelola dan manajemen risiko yang efektif.
Bagaimana WitnessAI menyeimbangkan kebutuhan inovasi AI dengan keamanan dan kepatuhan perusahaan?
Seperti yang saya tulis sebelumnya, kami percaya bahwa AI harus seperti sihir – itu bisa membantu Anda melakukan hal-hal luar biasa. Dengan itu dalam pikiran, kami pikir inovasi AI dan keamanan saling terkait. Jika karyawan Anda dapat menggunakan AI dengan aman, mereka akan menggunakannya sering dan Anda akan unggul. Jika Anda menerapkan pola pikir keamanan yang khas dan membatasinya, pesaing Anda tidak akan melakukannya, dan mereka akan unggul. Segala sesuatu yang kami lakukan adalah tentang memungkinkan adopsi AI yang aman. Seperti yang dikatakan salah satu pelanggan kepada saya, "Hal ini seperti sihir, tetapi kebanyakan vendor memperlakukannya seperti sihir hitam, menakutkan dan sesuatu yang harus ditakuti." Di WitnessAI, kami membantu memungkinkan sihir tersebut.
Apakah Anda dapat berbicara tentang filosofi inti perusahaan mengenai tata kelola AI—apakah Anda melihat keamanan AI sebagai pendorong daripada pembatas?
Kami secara rutin memiliki CISO yang datang kepada kami di acara di mana kami telah menyajikan, dan mereka mengatakan kepada kami, "Peserta Anda semua membicarakan betapa menakutkannya AI, dan Anda adalah satu-satunya vendor yang memberi tahu kami bagaimana cara benar-benar menggunakannya secara efektif." Sundar Pichai di Google pernah mengatakan bahwa "AI bisa lebih mendalam daripada api," dan itu adalah metafora yang menarik. Api bisa sangat merusak, seperti yang baru saja kita lihat. Tetapi api yang terkendali dapat membuat baja, yang mempercepat inovasi. Kadang-kadang di WitnessAI kami berbicara tentang menciptakan inovasi yang memungkinkan pelanggan kami untuk dengan aman mengarahkan "api" AI untuk menciptakan yang setara dengan baja. Atau, jika Anda menganggap AI seperti sihir, mungkin tujuan kami adalah memberi Anda tongkat sihir, untuk mengarahkan dan mengontrolnya.
Dalam kedua kasus tersebut, kami sepenuhnya percaya bahwa memungkinkan AI dengan aman adalah tujuan. Hanya untuk memberi Anda contoh, ada banyak alat pencegahan kehilangan data (DLP), itu adalah teknologi yang sudah ada sejak lama. Dan orang mencoba menerapkan DLP pada penggunaan AI, dan mungkin plug-in browser DLP melihat bahwa Anda telah mengetikkan prompt panjang meminta bantuan dengan pekerjaan Anda, dan prompt itu secara tidak sengaja memiliki nomor ID pelanggan di dalamnya. Apa yang terjadi? Produk DLP memblokir prompt tersebut keluar, dan Anda tidak pernah mendapatkan jawaban. Itu pembatasan. Sebaliknya, dengan WItnessAI, kami dapat mengidentifikasi nomor yang sama, dan diam-diam dan secara bedah merahasiakannya saat berlangsung, dan kemudian membuka kembali di respons AI, sehingga Anda mendapatkan jawaban yang berguna sambil tetap menjaga data Anda tetap aman. Itu pemberdayaan.
Apa risiko terbesar yang dihadapi perusahaan ketika menerapkan AI generatif, dan bagaimana WitnessAI mengatasinya?
Yang pertama adalah visibilitas. Banyak orang terkejut mengetahui bahwa alam semesta aplikasi AI bukan hanya ChatGPT dan sekarang DeepSeek; ada ribuan aplikasi AI di internet dan perusahaan menyerap risiko dari karyawan yang menggunakan aplikasi ini, jadi langkah pertama adalah mendapatkan visibilitas: aplikasi AI apa yang digunakan karyawan saya, apa yang mereka lakukan dengan aplikasi tersebut, dan apakah itu berisiko?
Yang kedua adalah kontrol. Tim hukum Anda telah menyusun kebijakan penggunaan yang dapat diterima secara komprehensif untuk AI, yang memastikan keamanan data pelanggan, data warga, kekayaan intelektual, serta keamanan karyawan. Bagaimana Anda akan menerapkan kebijakan ini? Apakah itu dalam produk keamanan ujung Anda? Di firewall Anda? Di VPN Anda? Di awan Anda? Bagaimana jika semuanya berasal dari vendor yang berbeda? Jadi, Anda perlu cara untuk mendefinisikan dan menegakkan kebijakan penggunaan yang konsisten di seluruh model AI, aplikasi, awan, dan produk keamanan.
Yang ketiga adalah perlindungan dari aplikasi Anda sendiri. Pada tahun 2025, kita akan melihat adopsi LLM yang jauh lebih cepat di dalam perusahaan, dan kemudian penyebaran aplikasi obrolan yang didukung oleh LLM tersebut. Jadi, perusahaan perlu memastikan tidak hanya bahwa aplikasi dilindungi, tetapi juga bahwa aplikasi tidak mengatakan "hal bodoh," seperti merekomendasikan pesaing.
Kami menanggapi ketiganya. Kami memberikan visibilitas ke aplikasi mana yang diakses orang, bagaimana mereka menggunakan aplikasi tersebut, kebijakan yang didasarkan pada siapa Anda dan apa yang ingin Anda lakukan, dan alat yang sangat efektif untuk mencegah serangan seperti jailbreak atau perilaku yang tidak diinginkan dari bot Anda.
Bagaimana fitur observabilitas AI WitnessAI membantu perusahaan melacak penggunaan AI karyawan dan mencegah risiko "AI bayangan"?
WitnessAI terhubung ke jaringan Anda dengan mudah dan diam-diam membangun katalog setiap aplikasi AI (dan ada ribuan dari mereka di internet) yang diakses oleh karyawan Anda. Kami memberitahu Anda di mana aplikasi tersebut berada, di mana mereka menyimpan data mereka, dll sehingga Anda memahami seberapa berisikonya aplikasi-aplikasi tersebut. Anda dapat mengaktifkan visibilitas percakapan, di mana kami menggunakan inspeksi paket mendalam untuk mengamati prompt dan respons. Kami dapat mengklasifikasikan prompt berdasarkan risiko dan berdasarkan niat. Niat bisa "menulis kode" atau "menulis kontrak perusahaan." Ini penting karena kami kemudian membiarkan Anda menulis kontrol kebijakan berbasis niat.
Peran apa yang dimainkan penegakan kebijakan AI dalam memastikan kepatuhan AI perusahaan, dan bagaimana WitnessAI menyederhanakan proses ini?
Kepatuhan berarti memastikan bahwa perusahaan Anda mengikuti regulasi atau kebijakan, dan ada dua bagian dalam memastikan kepatuhan. Yang pertama adalah Anda harus bisa mengidentifikasi aktivitas yang bermasalah. Misalnya, saya perlu tahu bahwa seorang karyawan menggunakan data pelanggan dengan cara yang mungkin melanggar hukum perlindungan data. Kami melakukan itu dengan platform observabilitas kami. Bagian kedua adalah mendeskripsikan dan menegakkan kebijakan terhadap aktivitas tersebut. Anda tidak ingin hanya mengetahui bahwa data pelanggan bocor, Anda ingin menghentikannya bocor. Jadi, kami telah membangun mesin kebijakan AI khusus yang unik, Witness/CONTROL, yang memungkinkan Anda dengan mudah membangun kebijakan berbasis identitas dan niat untuk melindungi data, mencegah respons yang merugikan atau ilegal, dll. Misalnya, Anda dapat membuat kebijakan yang mengatakan sesuatu seperti, "Hanya departemen hukum kami yang dapat menggunakan ChatGPT untuk menulis kontrak perusahaan, dan jika mereka melakukannya, secara otomatis merahasiakan semua PII." Mudah untuk dikatakan, dan dengan WitnessAI, mudah untuk diimplementasikan.
Bagaimana WitnessAI mengatasi kekhawatiran seputar LLM jailbreaks dan serangan injeksi prompt?
Kami memiliki tim riset AI yang tangguh—benar-benar tajam. Pada awalnya, mereka membangun sistem untuk membuat data serangan sintetis, selain menarik dari set data pelatihan yang tersedia luas. Akibatnya, kami telah membandingkan injeksi prompt kami terhadap semua yang ada di luar sana, kami lebih dari 99% efektif dan secara teratur menangkap serangan yang model-model tersebut lewat.
Dalam praktiknya, kebanyakan perusahaan yang kami ajak bicara ingin memulai dengan tata kelola aplikasi karyawan, dan kemudian sedikit kemudian mereka meluncurkan aplikasi pelanggan AI berdasarkan data internal mereka. Jadi, mereka menggunakan Witness untuk melindungi orang-orang mereka, kemudian mereka mengaktifkan firewall injeksi prompt. Satu sistem, satu cara konsisten untuk membangun kebijakan, mudah untuk diskalakan.
Apa tujuan jangka panjang Anda untuk WitnessAI, dan di mana Anda melihat evolusi tata kelola AI dalam lima tahun mendatang?
Sejauh ini, kami hanya membicarakan model orang ke aplikasi obrolan di sini. Fase berikutnya kami akan menangani aplikasi ke aplikasi, yaitu AI agen. Kami telah merancang API dalam platform kami untuk berfungsi sama baiknya dengan agen maupun manusia. Selain itu, kami percaya bahwa kami telah membangun cara baru untuk mendapatkan visibilitas dan kontrol kebijakan pada tingkat jaringan di era AI, dan kami akan mengembangkan perusahaan dengan itu sebagai acuan.
Terima kasih atas wawancara yang luar biasa, pembaca yang ingin belajar lebih banyak harus mengunjungi WitnessAI.
Dengan demikian, WitnessAI menjadi tonggak penting dalam era keamanan dan kepatuhan AI di dunia bisnis. Dengan fokus pada tata kelola, keamanan, dan inovasi AI, perusahaan ini membawa solusi yang dibutuhkan oleh banyak organisasi untuk mengadopsi teknologi AI dengan aman dan produktif. Dengan pemahaman yang mendalam tentang tantangan dan peluang yang ada di pasar, Rick Caccia dan tim WitnessAI terus bergerak maju untuk menjadi pemimpin dalam industri keamanan AI.
Sebagai perusahaan yang didorong oleh visi untuk memberdayakan perusahaan dalam mengadopsi AI dengan aman, WitnessAI terus berinovasi dan beradaptasi dengan perubahan yang terjadi dalam dunia teknologi. Dengan komitmen untuk menyediakan solusi yang efektif dan efisien, perusahaan ini siap untuk menghadapi tantangan yang akan datang dalam tata kelola dan keamanan AI.
Dengan demikian, WitnessAI tidak hanya menjadi solusi untuk kebutuhan keamanan dan kepatuhan perusahaan saat ini, tetapi juga menjadi pemimpin dalam mengarahkan masa depan AI yang aman dan terjamin. Dengan tim yang berpengalaman dan visi yang jelas, perusahaan ini terus memimpin pasar dalam mengembangkan solusi yang inovatif dan efektif untuk tantangan yang dihadapi oleh perusahaan saat mengadopsi teknologi AI.