服务级别协议(SLA)的执行,可通过实时告警标记违约和危险行为而获得“超能力”。但生成式人工智能革新第三方协议的潜力也有边界。
图源:Rob Schultz / Shutterstock
通过外包业务职能,CIO们可以节省成本,有时还能获得专业能力,但同时也将风险从内部员工转移到几乎不受自己监管的第三方员工身上。
服务级别协议(SLA)能为CIO们提供针对这种风险转移的保障,但传统的SLA指标和条款往往存在漏洞和报告滞后,无法实时捕捉运营风险或威胁,直到为时已晚。
以Clorox(高乐氏)最近对Cognizant(高知特)的诉讼为例。这家跨国消费品巨头将其服务台业务外包给高知特,指控高知特帮助台员工在未使用强制身份验证流程的情况下泄露了高乐氏系统的密码,导致2023年被“Scattered Spider”组织入侵。
高乐氏的诉讼援引了帮助台通话录音作为高知特疏忽的证据,但如果这些通话能被实时捕捉、转录并分析,并向高乐氏管理层发出即时告警呢?这种危险行为是否就能被及早发现,从而阻止入侵?
在这里,生成式人工智能可能产生重大影响——它能从各种沟通渠道(甚至通过视频捕捉行为)获取信息,并分析其是否偏离了合同约定的服务标准。这将带来近乎实时的危险行为告警,从而促使人们重新思考现行 SLA 的做法。
拥有 12.9 万名会员、遍布威斯康星与明尼苏达的 Westconsin 信用社 CIO Kevin Hall (凯文·霍尔)表示,“这正在颠覆 SLA 的整个概念,你现在可以追求服务质量,而不仅仅是绩效指标。”
当然,Hall(霍尔)也提醒,在这种场景下,CIO 若要对第三方施加 SLA 处罚,必须准备迎接一场激烈拉锯。
Hall(霍尔)说,“我最大的担忧是执行。要认定一次 SLA 违约,你可能得做大量功课。第三方会拼命寻找每一个免责例子,真到索赔时,过程会非常痛苦,是一场艰苦的攻坚战。”
从实操角度,Hall(霍尔)建议 CIO 们可能只会追究重大违约。“必须是大额损失,才能让你有清晰的论据去争取。”
圣路易斯拥有 160 年历史的健康科学与药科大学 CIO Zachary Lewis (扎卡里·刘易斯)也认为,这种 SLA 执法方式的转变潜力巨大。
Lewis(刘易斯)说,“采用这种方式,我们可以牢牢掌握内部威胁。系统可以立即触发对潜在内部威胁的警报,如果他们嘲笑自己的安全措施不足,或者贬低他们的客户,我们可以立刻收到提醒。”
技术律师Cameron Powell(卡梅伦·鲍威尔)来自格雷戈尔·温尼·阿尼律师事务所,他也认为这种方法在应对法律与合规风险方面大有裨益。
Powell(鲍威尔)举例说,“你将能够扫描Zoom会议,寻找风险问题。它可以识别诸如‘我们别发邮件说这事’之类的短语,这只是该方案可应用的若干沟通渠道之一,为什么不在第三方起诉你或举报人举报你之前,就实时发现这些问题呢?”
一、摩擦与额外风险
尽管生成式人工智能以这种方式强化SLA 执行,但圣路易斯 UHSP 的Lewis(刘易斯)也指出,它在落地时会遭遇巨大阻力。
“我们是否需要再养一个AI,去监控第一个 AI 的所有数据监控?如果是这样,生成式 AI 本身就变成了新的第三方风险。”Lewis(刘易斯)问,“第三方公司会不会通过‘与客户沙箱隔离’来逃避这种新型监控?”
他还质疑这种做法要持续多久:“难道我们要无限期地这样干下去?”
Westconsin 信用社的 Hall (霍尔)认为,在呼叫中心场景里存在明显收益——客户有时会投诉并要求“正式记录”。
Hall(霍尔)说,“如果我就在呼叫中心,客户在抱怨我,我主动去上报的几率很低,这套技术会改变这一现状。”
然而,这种监控方式也带来隐私与合规风险,尤其是对医疗和金融机构。Hall(霍尔)表示,第一步必须对实时转录内容进行“脱敏”,剔除任何受保护信息,如健康记录或支付详情。
“这简直是(合规)噩梦,因为脱敏责任落在我们身上。你怎样才能‘信任并验证’生成式 AI 做得没错?除非你不间断地审计,”Hall(霍尔)反问,“它可能到处都是泄露(敏感数据)的小洞,让我很难向董事会开口。他们会问:‘你承担了多少风险?回报又是什么?’”
不过,Hall(霍尔)认为仍可向董事会论证:该方法有望大幅提升第三方合规水平,从而强化公司整体合规姿态。
“如果我能用战略与文化层面的理由说服他们,方案仍有希望获得董事会支持。”
但律师Powell (鲍威尔)及其他专家强调,生成式 AI 远非完美。标记问题与拿到足够可靠的证据去采取行动之间,存在鸿沟。
例如,生成式AI“不懂共情”,也分辨不出哪些话只是“为了安抚客户或拉近关系”,Powell(鲍威尔)说。
他还举出其他用例:通过视频捕捉分析司机送货的每个环节——包裹是否真的在时间戳那一刻送达?司机送完货后是否顺走了什么东西?
“这会把今天的 SLA 从‘服务级别协议’变成‘监控级别协议’。” Powell (鲍威尔)说道。
二、隐私怎么办?
专攻科技法律的前联邦检察官Mark Rasch(马克·拉施)认为,企业必须想办法利用这股“无处不在的数据洪流”。
现任乔治·华盛顿大学法学院讲师、Unit 221B 数据隐私与合规咨询公司法律顾问的拉施说,“如今你能做到的事,两年前几乎不可能。过去最多只能做点抽检,但‘能做到’与‘合理去做’完全是两码事。”
Rasch(拉施)及其他受访律师指出,法律也在慢慢学着与生成式 AI 共处,法院最终会允许多大程度的分析,尚无定论。
他提到2011 年美国最高法院的“索雷尔案”,该判决探讨医生对隐私的期待值,结论:期待值极低。
LexisNexis Risk Solutions 集团 CISO Flavio Villanustre(弗拉维奥·维拉努斯特雷)则指出另一风险。
他建议高管们可以扫描转录文本,但更应信赖原始音频——因为生成式 AI 常在转录里“幻觉”。
当然,Villanustre(维拉努斯特雷)提醒,生成式 AI 同样可能伪造音频;经其处理的音视频能否被采信仍是未知数,迫使 CIO 必须保留一份“不可被 Gen-AI 篡改”的原始录音备份。
他说,“在复杂场景下,生成式 AI 可能误导你”。
医疗领域更是如此。律师Powell (鲍威尔)指出:“每段录音都在产生新的 PHI(受保护健康信息)。谁能访问?你可能得为这批录音再造一整套 HIPAA 审计链。”
金融、能源、交通、制药等所有高度监管行业都会面临类似难题。
若音视频被实时分析并告警,执法或其他政府部门会否要求接入?能否下达指令,一旦识别某人的声音就立即向当局报告?
三、超越SLA
IllumineX 首席执行官Gary Longsine(加里·朗斯恩)认为,隐私担忧可能多余,“客户自己也在录音,这船早就开了。”
此外,原本用来追踪第三方SLA 的生成式 AI 能力,同样可用于企业内部员工。
想想梅西百货一名会计师成功隐瞒1.54 亿美元、连续三年未被发现,最终迫使零售商推迟并重述财报。IDC 总裁Crawford Del Prete(克劳福德·德尔·普雷特)说,若用生成式 AI 审计,“第一时间就会报警。”
人力资源也能受益,Powell (鲍威尔)补充:提前发现谁打算离职。
他说,“你可以把内部聊天记录喂给系统,看谁准备走人。员工在真正离职前早已‘语言脱钩’——用词和语气都会变,生成式 AI 是第一个能快速捕捉到这些信号、并留给你反应时间的系统。”
作者:Evan Schuman(埃文·舒曼)
零售科技媒体StorefrontBacktalk 的创始主编,曾任 CBSNews.com、RetailWeek、Computerworld、eWeek 专栏作家,文章散见于 BusinessWeek、VentureBeat、Fortune、《纽约时报》、USA Today、路透社、《费城问询报》、《巴尔的摩太阳报》、《底特律新闻报》与《亚特兰大宪法报》等。Evan 也是 CIO、CSO、Network World 和 InfoWorld 的常客。
凭借报道《设计缺陷导致Microsoft Authenticator 覆盖 MFA 账户,用户被锁》荣获 2025 年度 AZBEE 企业新闻类金奖。
睿观:
生成式AI(人工智能)正为传统的服务级别协议(SLA)执行带来颠覆性变革。通过对通话、视频等多种渠道进行近乎实时的分析,AI能够即时告警第三方供应商的危险行为(如泄露密码)或违规言论,从而将滞后的、被动的SLA审计,转变为主动的、预测性的风险管控。然而,这项“超能力”也伴随着巨大的风险与边界。在实践层面,供应商的激烈抵制将使违约认定的执行变得极其困难;在合规层面,对实时通信的监控会产生海量的、需要“脱敏”的隐私数据(如受保护的健康信息),带来噩梦般的合规与审计负担;在技术层面,AI自身的幻觉、缺乏共情能力,以及其分析结果的法律效力,都使其难以成为可靠的执法依据。因此,尽管潜力巨大,但利用AI革新SLA并非简单的技术问题,而是一场复杂的法律、伦理与信任博弈。在相关法律框架成熟之前,CIO(首席信息官)必须谨慎权衡其带来的主动风控收益,与可能引入的隐私泄露、合规噩梦和新型第三方风险,避免将SLA从“服务级别协议”变成“监控级别协议”。
当AI开始监控外包员工的每一句话时,你首先需要担心的,可能不是他们的违规,而是你自己的合规。
