商傳媒|林昭衡/綜合外電報導

隨著企業數位轉型浪潮持續推進,公民開發者(Citizen Developer)在組織內部扮演的角色日益重要,尤其在人工智慧(AI)工具的應用上。然而,要如何在賦予業務使用者開發彈性的同時,又能確保企業的資料安全與營運穩定,成為資通訊(IT)管理階層的一大挑戰。

資深科技編輯暨作家 James Alan Miller 透過 TechTarget 指出,公民AI工具最困難的部分不在於讓業務使用者進行開發,而是如何界定地方自主權與企業監管的界線。例如,一個用來摘要筆記或起草內部更新的小工具可能無傷大雅,但若該工具涉及客戶紀錄、變更帳戶資料、更新財務流程,或將資料傳送至外部模型,其影響便截然不同。

文章強調,AI工具需要「自主權」與「邊界」並存。這看似矛盾,但在企業AI領域,自由與限制是相輔相成的。這項概念被稱為「有限自主權」(bounded autonomy),意指AI工具雖擁有主動性,但必須設立明確的限制。公民開發的AI工具需要清晰定義的資料存取權限、明確規範其可執行的動作,以及何時需要人工審查的規則。僅靠人工監管並不足夠,這些工具不應在未經IT、資安或法規遵循部門審查的情況下,悄悄取得系統、資料或行動的存取權限。

除了權限與行動限制,公民AI工具還需足夠的「業務情境」理解能力,才能確保資料的正確使用。這包括理解資料的意義、權威性系統的來源、資料的生成處,以及在工具執行前應遵循的規則。這就是「有限情境自主權」(bounded contextual autonomy),確保AI的使用在治理框架內,並由情境引導,避免盲目使用資料,或以錯誤方式使用正確資料。

企業在為公民開發者設立防護網時,不能僅限於權限設定,還需建立共享定義、資料源規則、政策限制與升級處理機制,以防止地方AI工具脫離其業務意義而運作。文章提醒,並非每個小型工具都需要完整的企業級軟體審查,但當工具涉及敏感的客戶、員工或財務資料,變更帳戶或系統,向外部AI模型傳送業務資料,影響原始團隊以外的利害關係人,變得廣受歡迎,執行關鍵功能,產生審計、法規遵循、隱私或安全風險,或缺乏明確所有者時,都需要更嚴格的審查。

最終目標並非阻止業務使用者創新,而是讓企業能夠辨識何時一個有用的本地工具,已發展為需要企業治理、支援或擁有的範疇。業務使用者掌握解決問題的知識,而IT部門則提供架構、資安、整合與支援紀律。治理負責界定邊界,情境確保工具不會盲目使用資料。企業決定何時將地方實驗轉化為正式資產。文章總結,公民AI的「沙盒」(sandbox),意指一個受控的測試環境,不僅是測試場域,更是一種運作模式,能讓企業在管理風險的同時,擷取公民開發所帶來的價值。