Vanta 的 AI 代理想要运行您的合规计划 —— 事实可能如此

Vanta，这家位于旧金山的合规自动化初创企业，于周二发布了迄今为止最雄心勃勃的人工智能产品 —— 一款无需人工干预即可处理端到端安全与合规工作流的自主 AI 代理。此次发布预示着企业在应对不断加剧的监管压力和难以维持的手动流程时，将以全新方式管理治理、风险与合规（GRC）计划。

Vanta AI 代理现已立即进入私人测试版，并计划于 7 月正式向公众发布。这一产品代表了从将 AI 视为生产力提升工具转变为可信赖的项目合作伙伴的根本转变。与传统遵循预定义规则的自动化工具不同，该代理能够主动识别合规问题，提出解决方案，并代表安全团队采取相应措施，同时确保人工对最终决策拥有控制权。

“我们构建 Vanta AI 代理的目标是精确匹配团队当前的需求，介入合规中最繁琐的环节，及时发现他们可能忽略的问题，”Vanta 的首席产品官 Jeremy Epling 在接受 VentureBeat 采访时表示。“通过减少人为失误并接管重复性任务，Vanta AI 代理使团队能够专注于更高价值的工作 —— 真正能建立信任的工作。”

这一时机反映了市场的迫切需求。根据 Vanta 的《信任现状报告》，55% 的公司报告称安全风险正处于历史最高水平，而 AI 驱动的威胁也在不断升级。与此同时，组织在合规事务上投入的时间不断增加——据行业数据，仅英国企业每年就需花费 12 个工作周来处理合规任务。

如何在四个关键领域利用 AI 处理政策管理和审计准备

该 AI 代理针对通常需要数百工时手动完成的四个关键领域进行优化。对于政策入门流程，系统扫描上传的文档，提取包括版本历史和服务水平协议在内的关键信息，并自动将政策映射到相关的合规控制措施，同时给出其建议的理由。

“政策阐明了一个组织如何管理其系统与数据，但处理这些政策往往是一个缓慢且耗费资源的过程，需要手动将其映射到数十个合规与安全控制措施上，”公司在公告中解释道。该代理通过自动化控制映射并生成用于年度审核的政策变更摘要，有效消除了这一瓶颈。

也许最为重要的是，代理会主动监控书面政策与实际操作之间的不一致情况 —— 这通常是审计失败的常见原因。“如果您的政策中规定的 SLA 是五天，但在使用 Vanta 自动化测试监测的 SLA 却是十天，代理将标记出这一不匹配，并提供建议和下一步措施以便迅速修正，”Epling 解释道。

该系统还充当了智能知识库的角色，能够实时回答复杂的政策问题。安全团队可以就密码要求、供应商风险覆盖范围或像 SOC 2、ISO 27001 或 HIPAA 等合规框架的合规状态直接向代理查询，而无需人工检索文档。

客户反馈显示，由于 AI 优化了合规工作流，客户每周节省 12 小时

早期客户反馈表明，该产品显著提升了生产力。Databook 隐私、安全、合规负责人 Anne Simpson 报告说，自从实施了 AI 代理后，她的团队每周节省 12 小时。“Vanta AI 代理通过填补知识空白、帮助我们更快地学习并双重核查关键信息，极大地补充了我团队的专业能力 —— 最终为我们每周节省了 12 小时。而在我们公司，时间就是金钱，”Simpson 表示。

代理的证据核实功能解决了另一项长期存在的难题。审计员在证据审查过程中频繁要求修订或澄清，往往导致瓶颈，从而影响审计进度。AI 代理会针对上传的文档与审计要求进行比对，以确保数据的准确性和完整性，并在问题出现前识别出其中的缺口。

“考虑到众多细节的证据要求，审计员或顾问在手动审查后要求修订或澄清的情况并不罕见，”Epling 指出。“Vanta AI 代理会对上传的证据与审计要求进行比对，以确认其准确性和完整性，并在需要修订时提供明确的指导，从而减少了与审计员及内部利益相关者之间的反复沟通。”

1.5 亿美元 C 轮融资证明了合规自动化市场的爆发式增长

Vanta AI 代理的发布正值合规自动化市场经历前所未有的增长。该公司于 2024 年 7 月完成了 1.5 亿美元的 C 轮融资，估值达到 24.5 亿美元，由 Sequoia Capital 领投，Goldman Sachs 和 J.P. Morgan 参与。本初创企业目前已为全球超过 8,000 个客户提供服务，年度经常性收入突破 1 亿美元大关。

更广泛的市场趋势证明了这一发展轨迹。随着企业面对从欧盟 AI 法案到更严格的网络安全框架等日益增多的监管要求，专注于合规的初创企业正吸引着大量投资者关注。传统的手动方式已无法满足现有的需求。

“自动化始终是 Vanta 的核心，”Epling 强调道。“Vanta AI 代理通过消除耗时、手动且重复的任务（例如收集和审查审计所需证据），确保您的安全程序在政策、控制、风险和自动化之间保持同步，从而延续了这一传统。”

高级安全功能在确保敏感合规数据安全的同时推动 AI 创新

与基于规则的自动化或被动响应型聊天机器人工具不同，Vanta AI 代理拥有与人工用户相同的平台访问权限，从而实现主动的项目改进和一键解决方案。该系统借助对公司合规历史和当前风险状况的完整上下文了解，通过个性化建议挖掘出更多价值。

鉴于合规数据的敏感性，安全性依旧至关重要。Vanta 利用现有的身份与授权系统，确保用户仅能访问其已获授权的信息。公司还与第三方合作伙伴签订了正式的数据处理协议，确保共享数据不会用于训练外部模型。

“我们会将标记为敏感的文档排除在代理的访问权限之外，并让用户对这一设置进行控制，”Epling 解释道。作为首批获得 ISO 42001 认证的公司之一，Vanta 在其平台上应用了严格的 AI 治理标准。

为何在 AI 驱动的合规自动化中仍需保有人为控制

尽管实现了自动化，但人工监督仍然是该系统设计的重要组成部分。“Vanta AI 代理旨在赋能而非取代人工团队，”Epling 强调道。“所有建议变更在实施前，团队仍然拥有完全的控制权和批准权。代理可以加速流程并减少错误，但最终决策由人来做出。”

这种做法解决了关于 AI 系统在关键业务功能中自主运行的常见担忧。该代理引导团队完成工作流程，发现不一致问题并推荐修正措施，同时始终将最终决策权交还给人工审核。

企业安全的未来：从手动合规走向战略性风险管理

此次发布标志着一个更广泛的行业转型 —— 合规正在由一次性的认证发展为持续监控和实时信任验证。随着网络威胁日益复杂以及监管框架日趋多样化，这一转变变得愈发重要。

“我们正在持续扩展 Vanta AI 代理在政策管理和证据评估方面的能力，”Epling 透露道。“不久后，代理将能够撰写及编辑政策，识别出您安全程序中的更多漏洞，并推荐符合特定框架要求的措施。”

展望未来，该代理将通过连接客户在 Vanta Trust Management Platform 上的所有合规环节，如风险监管和安全评审，来支持端到端的合规工作流。这种综合方法可能彻底改变企业处理安全与合规管理的方式。

随着监管复杂性不断扩大和安全威胁不断演进，Vanta 的自主化策略可能预示着合规这一“必要之恶”的终结 —— 以及将信任管理转变为竞争优势的开始。对于长期以来将安全视为成本中心的行业来说，AI 代理将合规从负担转变为业务赋能的承诺，堪称一场革命。

但也许最具说明性的是 Epling 本人所言：“团队将减少在形式上走过场的时间，而更多地投入到战略性安全工作中。”在这样一个单次合规失误可能造成数百万损失、一次安全漏洞或许摧毁数十年信任的时代，这不仅仅是效率的提升 —— 它关乎生存。