Future of Business: Palo Alto Networks’ Nikesh Arora on Managing Risk in the Age of AI
21:54 Share

Palo Alto Networks是全球领先的网络安全公司。在其六年的任期内，首席执行官Nikesh Arora扩展和重组了该组织，包括安全地将生成式人工智能整合到其所有产品中。Nikesh解释了他如何在生成式人工智能时代管理新的机遇和风险——包括让他彻夜难眠的单一网络安全风险。他还分享了他领导创新和在新技术快速发展时改进Palo Alto的市场战略的方法。</context> <raw_text>0 欢迎收听哈佛商业评论的HBR IdeaCast。我是艾尔森·比尔。

整个月，我们一直在与首席执行官和创始人分享关于人工智能以及领导者面临的其他关键问题的对话。今天，我们将与Palo Alto Networks首席执行官尼克什·阿罗拉一起结束我们的“未来商业”系列节目，Palo Alto Networks是全球领先的网络安全公司。

在他六年的任期内，该公司已经扩张和重组，以满足企业和政府客户的各种需求，包括安全地将生成式人工智能整合到其所有产品中。我很高兴能够在我们最近的虚拟“未来商业”会议上与他交谈，了解他是如何管理新的机遇和风险，以及当新技术快速发展时，他的创新战略。以下是我们的对话，其中包括一些来自观众的问题。

让我先谈谈人工智能在网络安全领域中的威胁和机遇。你提到，对抗恶意行为者使用的人工智能的唯一方法是利用善良行为者的人工智能。那么，企业网络攻击者正在开发哪些工具？你们正在构建哪些工具来阻止他们？你们如何保持领先地位？

如果你们都相信这一点？我认为我们做到了。这将具有一定的变革性力量，嗯，当它完全实现时，其自身的影响还有待观察。

但我从未见过一项技术趋势发展如此之快，并且围绕着它有如此多的兴奋之情。从最根本的层面上来说，我们预计事情会发生得更快。随着开发加速，我们将最终创造更多、更多的整个领域的互联互通。

我们的汽车将互联，我们的房屋将互联，我们的街道设施将互联。你知道，在这种情况下，在这种环境中，到处都是技术。当一切互联时，

在我们的网络安全合作伙伴中，我们称之为攻击面被放大或增强。这意味着恶意行为者可以在任何地方攻击你，影响你的连接性，影响你的技术，并在这种情况下造成不良后果。随着连接速度的提高，随着开发速度的提高，你必须从网络安全的角度提高防御基础。

我们已经注意到，恶意行为者正在试图找出进入人们基础设施的方法，试图进入、退出、提取数据，并将人工智能用于经济目的。这种速度正在提高，这意味着对抗他们的唯一方法是提高我们的防御速度。而令人悲伤的事实是，他们只需要成功一次，而你必须每次都成功。

所以我们必须付出百倍的努力。所以，我认为有很多努力都投入到对抗这些潜在的恶意攻击中。恶意行为者正在使用生成式人工智能。我最近了解到，他们是如何在一个世界中进入人们的基础设施的，而所有这些都武装到了牙齿。你已经……

将生成式人工智能整合到你的所有产品系列中。这是一项如此新的技术。那么，你们是如何做到如此快速地整合它的呢？请向我们介绍一下调查和应用用例的过程，以及再次以比恶意行为者和我们的业务更快的速度进行。

我们必须做得对。我们所做的是，我们将大量的人工智能/机器学习和，你知道，网络和强化学习打包到我们称之为“精确人工智能”的东西中。我们已经工作了不止几年了。

我认为整个基本前提是，我们一直在进行一个项目，收集企业中的所有数据，收集所有行为，了解我们连接的每个数据，存在的每个安全系统，我们分析了这些数据，并使用机器学习和基于精确人工智能的分析实时进行，我们可以识别异常模式。如果你认为一个异常模式是一个恶意行为者，我们就会阻止它。整个想法是让这些检测更实时。因此，我们获取大量数据，需要对堆栈进行全面检查，寻找异常行为，并在我们发现它时阻止它。但这需要在未来几年内发生在每家公司、每个行业和每一块关键基础设施上，以便我们生活在一个恶意行为者行动越来越快的新世界中。

因此，在你的任期内，Palo Alto Networks已经开发了全套解决方案。你一直在进行大规模的收购来做到这一点。那么，你如何看待这种方式与有机增长之间的平衡呢？

我们正在建立一个业务，正如我们刚才讨论的那样，我们处于世界上最具创新性的业务之一中。我是说安全，人们不断地试图找到进入你基础设施的新方法。

现在，为了预测这种情况，我们必须确保我们总是领先一步，或者总是超前思考，如果这项新技术出现，潜在的后门是什么？或者攻击它的方法是什么？或者滥用它的方法是什么？不，我们不能仅仅是世界上最具创新性的公司。还有其他人正在各个子领域进行创新。

我们必须谦逊。我们不能过于骄傲。我们必须相信创新将来自各处，我们可以构建它、拥抱它并购买它。

因此，在过去的六年里，我们收购了19家公司，前提是其他人已经找到了一种方法来找到针对潜在的即将出现的网络威胁的新解决方案。网络攻击者，拥抱他们。让我们让他们成为Palo Alto的一部分，这样我们就可以真正地将它们整合在一起，并为我们的客户提供这种实时的、高度创新的能力。

那么，一旦你找到了那些你想纳入的公司，有效整合它们的秘诀是什么？尤其是在你有一些小型初创企业文化进入这个规模更大的组织时？

这是一个很好的问题。所以，我认为这是一个经常被谈论到的问题，很多人做错了，我们收购这些公司，并与他们合作。我们征求意见。

你做得很好，可以为我们做这件事。我们做到了。我们让我们的团队为此而努力。

首先，你知道，选择聪明的人，选择那些真正热爱这项事业的人。得到他们。删除这些东西。我们是否真的加倍投入更多资源？

因为这是，听着，让你成为我们大家庭一员的重点，因为我们可能是一个更大的实体，但我们拥有更多资源。因此，我们实际上会给他们更多资源，这意味着他们不必担心筹集资金，他们不必担心雇佣人员和考虑预算。所以，这里有更多的人。

你负责这件事。我们唯一要做的是，我们确保坐下来花上数小时、数小时、数小时的时间来讨论产品战略的北极星应该是什么。我们在收购这些公司之前就会这样做，因为我们想确保领导这些公司的人与我们对世界的看法完全一致。当然，我们会倾听每个人的意见，试图找到一个双方都能接受的方案，这实际上意味着我们可以一起更有效、更快速地解决客户的问题。

如果最终目标是使Palo Alto成为一站式网络安全平台，你知道，让每个人在未来几年都使用所有东西，那么你们是如何让客户加入的呢？这些客户对话是什么样的？

我这次看待这个问题的方式有所不同，并且在某种程度上，它是一个一站式商店。但我认为动机略有不同。我认为的另一种方式是，听着，如果攻击者要在这个空间中行动，它就不会停止。

我们必须实时分析事物。我们必须掌控正在发生的一切。组织必须掌控这一点。我们必须在每个传感器上，以了解正在发生的行为，以及正在进入的数据。

我们必须成为分析行为的空气和逻辑引擎，并且我们必须能够连接回执行点并阻止不良行为的发生。现在，如果你将它分散到几十家不同的安全公司，那么风险在于，作为客户，你必须构建这种能力。

我认为，在今天，这仍然没有做到，我们的客户能够做到这一点，并做到两千次，这是不可想象的。为什么不让我们做一次，然后你可以部署两千次呢？所以我们试图慢慢地整合，朝着这个方向努力。但如果这是新的常态，就像我30多年前开始从事这项技术一样，我曾经为一家公司工作，那家公司的定制管理系统由25个系统组成，这就是当今世界的工作方式。

你去购买Oracle、Salesforce、微软，他们为你做所有这些工作，所以这并不是说以前没有做过。平台存在于人力资源、规划、人力资源。

人力资源。它们存在于财务领域。这是为了，你知道，IT服务，是时候让它存在于安全领域了。

你已经谈了很多关于变化的速度，以及你需要多快地适应。那么，作为整个企业的领导者，你如何看待短期规划与长期规划？你还能进行长期规划吗？

当然，就像应用程序一样，所有美好的事物都需要更多的时间。所有美好的事物都需要大量的深思熟虑的努力，但你试图制作一个漂亮的大蛋糕。你要围绕什么来构建产品？你必须考虑北极星是什么。

你必须思考。但真正重要的是，你必须不断学习。变得更好，现在你必须了解这些事情是如何发生的，你必须做出更大的赌注，就像我们、你们、老师和金融理论一样，风险越高。

我反问的是，作为领导者，我们的工作是弄清楚如何管理风险。但可能性非常小，那就是你没有风险，也没有很多回报。所以，我和我的团队，这里的领导团队，我们的工作是思考如何才能与其他人有所不同？我们如何在管理风险的情况下做到这一点？你如何确保我们不会为了短期目标而损害长期目标？我们的长期目标是让我们的客户更安全。

让我们再谈谈领导力和人才。你最近因为在社交媒体上回击质疑你工程能力的人而上了新闻。

我只是在开玩笑。为了记录在案。

你拥有印度理工学院的电气工程学位，以及波士顿学院的硕士学位和东北大学的MBA学位。那么，谈谈工程师首席执行官的崛起，以及你如何在Palo Alto Networks业务的技术方面和商业方面之间取得平衡。

最终，我们都是产品公司，对吧？我们都解决问题。我们都提供产品或服务。如果你不了解你的产品，你不了解你的服务，那么围绕它建立一个伟大的业务就非常困难。关键是领导者必须精通产品。

他们必须对产品有一个观点和愿景，产品将走向何方，以及产品的未来是什么样的。如果你能做到这一点，那么你就可以围绕它建立一个伟大的业务。我认为，如果你过于专注于有效地运行你当前的产品，那么你就会错过列车、船只或任何你想要选择的交通工具，就你的产品需要去哪里而言。领导者的工作不仅仅是执行当前的研究，还要为未来定义研究方向或开发新产品。

所以，在硅谷，一般来说，在科技领域，人才竞争非常激烈。那么，你如何看待招聘和留住最优秀的人才？然后，你也知道，人工智能对所有人类技术的影响最大。

我们很幸运，这是一家使命驱动的公司，我们的存在是为了让客户更安全。使命驱动是有帮助的，因为世界上有些人实际上想为一家使命驱动的公司工作。

一家使命驱动的公司，一家网络安全公司，你知道，作为最大的网络安全公司之一，它具有这样的特点：如果你有在网络安全领域发展职业生涯的愿望，我们是更好的工作场所之一，因为我们已经证明了在创新的前沿，客户喜欢我们，我们正在从事非常酷的事情。所以需求函数在那里，我们吸引优秀的人才。我认为，一旦他们来到这里，关键在于喜欢我们的工作方式，喜欢我们的文化。

所以，我们花了大量时间来确保我们的文化是一个人们拥有自主权、从沟通和北极星的角度来看拥有目标一致性、人们感觉这是一个舒适的工作空间的地方，无论他们来自哪里。所以我们很幸运。我们得到了优秀的人才为我们工作，但希望我们对人工智能和人类将在未来如何共同发展感到高兴。

我需要补充一点。人工智能是一种生产力工具，我们有各种生产力工具。现在，我们已经使用了电子邮件很长时间了。

电子邮件可能不是一种高效的方式，但我认为，我们拥有生产力工具，这些工具使我们做得越来越好，无论是自动化，还是工业化和人工智能。所以，是的，人们的工作性质会改变吗？因为人工智能肯定会做一部分工作。

但我早期的公开声明是，这将是净积极的。它将是有用的，因为人工智能首先要做的事情是消除枯燥的重复性工作。我很确定我们没有人从哈佛大学毕业后就说，我要做一份重复性的工作度过余生，因为那真的很酷，很难。

我希望人工智能来做这件事，消除重复性工作。所以我认为工作质量将会提高。而且，组织的形状或结构也可能需要在未来发生变化。工作方式。

所以，我确实想回答一些观众的问题，因为我们收到了很多问题。首先，努诺问，成功零信任安全框架的关键要素是什么？公司，特别是中小型企业，如何平衡对强大网络安全的需要与预算限制？

这是一个两部分的问题。关于零信任的问题，零信任的基本原理意味着，你必须能够以相同的方式对待访问你基础设施的每个人，无论他们来自哪里。所以，我们有产品，当然还有市场上其他人的产品来提供这种能力。但关键是，它回到了我们刚才讨论的内容，不要将网络方面的安全措施分割开来，因为如果你这样做，你必须管理多个安全控制面板和行业问题，这只会让事情变得更复杂、更难以处理。所以，尽量找到一个单一的供应商来解决你的问题。

现在，关于IT与预算和管理的关系，我知道这是一个棘手的问题，因为如果您身处数字业务，并且处理任何客户数据，您都必须小心谨慎，因为如果您需要这项工作，并且有人要介入，这可能会让您的业务付出非常高昂的代价。在我看来，如果您从这个角度来看不够安全，未来就应该专注于补救措施，专注于检测安全事件，专注于安全控制，专注于确保如果发生某些事情，您能够尽快进行补救。您能够尽快恢复，专注于补救和恢复，以确保万无一失，不要在这方面妥协，因为这种情况可能会发生，然后尽可能多地投入资金，以确保您拥有强大的防御体系，好吗？

所以我们有一些关于不良行为者和生成式AI的问题。Cam问道，您如何区分不良行为者——一个人，人类，与生成式AI、AI模型，它们控制决策并充当不良行为者？Williams问道，您更担心网络攻击还是生成式AI资源的滥用？到目前为止，我认为关于生成式AI，它就像在构建一个大脑，对吧？他们试图创造推理和感染能力。所以这东西甚至可以代表你思考。

现在想想IT，如果您雇佣了一个非常聪明的人与您一起工作，您首先要做的事情就是提供大量背景信息。您做什么，如何做。您提供自己的信息，使这个大脑能够适应您的业务。

我认为，当这些人构建这些大型大脑——大型模型以及我们所有人花费时间向它们解释我们的领域，并试图让它们理解我们所做的事情，以便它们能够变得非常聪明——时，存在一道墙。我们的工作，不仅仅是一般意义上的聪明，就像您拥有的那样。然后有两个问题：将这个大脑用于咨询能力，即它告诉您事情，但行动由您来完成；

或者让这个大脑控制行动部分？我认为现在人们的恐惧在于，当您谈论生成式AI的滥用时，如果我让它控制，它会如何表现，然后会发生什么？好消息是，我们还没有赋予生成式AI模型控制权。

但是，如果您这样做，风险在于它们可能会做坏事。所以，如果您得到一个非常聪明的大脑，它了解我们的安全措施，也了解所有不良技术，是的，它肯定可以开发出更高级的黑客技术。如果您让它去做，我们已经看到了一些早期证据，比如在暗网上有一些东西，目标是帮助人们利用案例并构建可以攻击公司的新能力。

是的，我们看到不良行为者将使用这些工具，就像优秀行为者一样。正如我在一开始所说的那样，这正向我们逼近，我们必须确保构建能够实时阻止这些事情的防御系统，因为人们会将生成式AI用于这些事情。就生成式AI模型被滥用而言，您必须小心，滥用将会发生在我们赋予它控制权的地方。

所以，这就像您自己驾驶汽车，而机器人会以更快的速度和更广泛的方式进行测试。您已经看到将驾驶汽车的控制权交给AI。所以您必须确保，无论驾驶汽车的AI有多聪明，您都必须拥有大量的防护和控制措施，以确保您可以控制它。并且，您必须确保没有人能够侵入它并让它做不同的事情。所以现在我们将看到很多、很多有趣的工作，这些工作包括阻止黑客进入系统，并确保AI模型没有获得真正的控制权，它们不会偏离轨道。

这是一个来自Ravagesh Shanti的后续问题，我希望我发音正确。如果某些事情偏离了预定的轨道，我们是否应该就AI的通用“终止开关”达成一致，就像我们在硅谷的会议上讨论的那样？

嗯，首先，标准很难制定。最有可能的是，不良行为者会绕过这些限制。所以风险在于，如果每个人都没有实施您的“终止开关”，因为最大的问题是，另一方面，如果您在运行核电站时安装了一个“终止开关”，并且您关闭了它，那么您中断的过程可能会产生意想不到的后果。

我认为这是一个更大的问题的重大争论。我个人的观点是，随着我们向AGI迈进，我们必须非常小心谁掌握控制权。一个强大的模型可能会控制关键流程。我认为讨论的重点将是，是的，您可以构建所有您想要的模型，但请确保我们不会放弃对关键流程的控制，我们了解如何管理和规范它，因为我们不希望AGI或某种超级智能控制我们无法拦截的关键系统，或者也许听众会想出一个更好的“终止开关”。

对于一家全球性公司来说，您如何与世界各地的领导人合作，以确保他们了解所有这些问题（这些问题似乎很难理解，因为他们不是训练有素的工程师），并制定正确的政策？

我们都非常了解AI。我们都在讨论人工智能的伦理问题。世界上没有一个监管机构，也没有一个国家没有在讨论如何促进AI发展，以及如何确保AI不会被滥用于恶意行为。我们将看到一些法规出台。我认为大多数法规将围绕透明度，围绕了解这些模型的工作原理，围绕如何在它们周围设置防护栏，以及这些模型将如何获得或不会获得对关键流程的控制。我认为我们将采取一些重大措施，并且可能需要在某个时候重新审视一些措施。

您现在关注的最大网络安全风险是什么？是生成式AI吗？

AGI令人着迷。很多六个月前或最近两个月发生的事情并不复杂。只是因为公司没有仔细保护好门窗，或者某个内部人员的凭据被盗用，因为他们没有妥善保管密码，所以才发生了黑客攻击。

所以黑客攻击并不复杂。生成式AI或AGI的复杂之处，真正的挑战在于，一旦黑客入侵，行为者的行动速度更快。六年前，我开始听到有关这些事情的消息，需要八天或十天，甚至需要四十七天，才能让某人进入基础设施并窃取数据。

现在，大约需要几个小时。我认为这将缩短到不到一个小时。问题就变成了，最大的威胁是速度，对大型企业来说最大的威胁是它们没有准备好快速反应，阻止坏事发生，并迅速恢复。所以，如果我们不采取行动，我们将面临业务中断的风险。

那是Palo Alto Networks首席执行官Nikesh Arora在我们最近的虚拟未来商业会议上的发言。这就是关于未来商业系列的全部内容。但我希望您能回顾并收听所有四个剧集。

您还可以查看我们在HBR IdeaCast上关于领导力、战略和未来工作的所有剧集。您可以在hbr.org/podcast找到我们，或者在Apple Podcast、Spotify或您收听的任何平台上搜索HBR。如果您还没有订阅HBR，请务必订阅。这是支持我们节目的最佳方式。hbr.org/subscribe了解更多信息。最后，敬请期待2025年的更多HBR活动。感谢我们的团队：高级制作人Sanny和Mary Doo；副制作人Hannah Bates；音频产品经理Ian Fox；高级制作专家Rob Backward；感谢您收听HBR IdeaCast，再见。