尽管经过验证，安全担忧依然居高不下

开源软件是AI开发的核心，但同时也带来了需要谨慎管理的供应链风险，大多数受访者都制定了相关流程，以验证Python软件包的安全性和合规性，这些流程包括从自动化漏洞扫描到维护内部软件包注册表以及进行人工审查等多种方式。

即便如此，安全仍是AI开发过程中最常见的风险，39%的受访者都提到了这一点。近三分之二的企业曾因安全担忧而推迟AI部署，许多企业报告称，排查依赖性问题所花费的时间影响了生产效率。尽管大多数团队对修复漏洞充满信心，但事件频发表明，目前的方法不足以跟上AI项目的规模和复杂性。

当被问及改善治理的首要任务时，最常见的回答是使用集成度更高的工具，将开发和安全工作流程结合起来。受访者还指出，需要提高模型组件的可见性，并对团队进行额外培训。

各企业的模型监控情况参差不齐

调查发现，各企业对追踪模型谱系的重要性有着深刻认识，83%的企业表示会记录基础模型的来源，81%的企业会记录模型依赖关系，然而，并非所有文档都全面，近五分之一的受访者表示根本没有正式文档。

性能监控也存在类似差距，尽管70%的受访者建立了检测模型漂移或意外行为的机制，但仍有30%的受访者在生产环境中没有正式监控，常见做法包括自动化性能监控、异常警报系统和定期人工审查，更成熟的团队还采用A/B测试和再培训计划，但这些方法远未普及。

缺乏持续一致的监控可能会留下盲点，影响合规性和性能。随着AI在生产环境中应用更加深入，检测和应对模型漂移的能力将成为一项关键的治理职能。

工具链碎片化阻碍治理进展

只有26%的企业表示拥有高度统一的AI开发工具链，其余企业的工具链则处于部分统一和碎片化状态，其中一小部分但值得注意的是，其工具链高度碎片化。

碎片化会造成可见性差距、工作重复和安全控制不一致，从而加大治理难度，它还增加了影子IT的风险，即团队在无人监督的情况下使用未经批准的工具。当治理流程叠加在互不相同的系统上时，就会变得缓慢而繁琐，进而促使团队绕过这些流程。

调查表明，统一工具和流程也是一项文化挑战，25%的受访者指出，数据科学团队对安全措施的抵制是一个关键问题。将治理嵌入日常工作流程的集成平台可以减少这种摩擦，有助于创新与监督保持一致。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。