在當今數碼化浪潮席捲全球的時代,金融科技領域正經歷前所未有的變革。抵押貸款—這個價值 5 兆美元的龐大市場,正站在 AI 應用的最前沿,而安全性與客戶信任則成為這場革命能否成功的關鍵。
本文將深入探討Rocket Mortgage 如何借助 AWS 雲端技術和生成式 AI 解決方案,在確保最高安全標準的同時,徹底重塑客戶體驗,打造金融創新領域堅不可摧的安全防線。從 AI 客戶助理到內部實驗平台,AWS 的企業級安全架構正成為金融數碼轉型不可或缺的關鍵支柱。
抵押貸款行業長期以來以其複雜的流程和繁瑣的文書工作聞名。即使在數碼化時代,許多機構仍然依賴傳統的紙質文件和面對面交流。然而,在這個價值高達 5 兆美元的市場中,即使是小幅的效率提升也能帶來巨大的商業價值。Rocket Mortgage 作為行業的創新者,即使在良好的年份中也僅佔據市場份額的 8-9%,這意味著透過 AI 驅動的效率和服務改進,還有大量的市場機會有待開發。
數碼化轉型面臨的主要挑戰不僅僅是技術實現,更在於如何在自動化與個人化之間取得平衡,同時確保客戶資料的絕對安全。在抵押貸款這一高度敏感的金融領域,任何資料洩露或安全漏洞都可能導致嚴重的後果和信任危機。
Dan Vasquez,Rocket Mortgage 的 AI 策略技術領導者強調:「對於大多數人來說,抵押貸款可能是他們一生中最大、影響最深遠的交易。我們只有一次機會。如果我們失去你的信任,或者給你一個理由認為你不能信任我們處理你的資料,對我們來說就結束了。」
這句話突顯了金融機構在實現 AI 創新時所面臨的核心挑戰:如何在提高效率和改善客戶體驗的同時,確保客戶資料的絕對安全和隱私保護。這要求企業必須構建嚴格的資料安全控制,遵守監管合規要求,並實踐負責任的AI 原則。
Rocket Mortgage 開發了三個核心 AI 應用,共同形成了其數碼化戰略的支柱。這三個應用各自針對不同場景,但都遵循同樣嚴格的安全標準。
Rocket Mortgage 的客戶端 AI 助理是一個 24/7 全天候可用的個人化助理,服務數百萬客戶。這個助理能夠代表客戶採取行動,提供個人化體驗,預計將使線索轉換率提高 33%。在抵押貸款的數萬億美元市場中,這種提升意味著巨大的收益潛力。
該 AI 助理採用了精心設計的多代理架構。不同於簡單的單一助理,Rocket Mortgage 構建了一個完整的代理網絡,由一個前端協調器管理對各種專業領域代理的調用。這種架構允許系統提供高度專業化的協助和工作流程整合,同時也從安全角度帶來了顯著優勢。
「從安全角度來看,這使我們能夠構建並利用我們已經為這些領域建立的現有安全控制,」Dan Vasquez 解釋道。這種方法避免了重新發明安全控制的需要,而是在新的 AI 架構中沿用已經經過驗證的安全措施。
透過 Amazon Bedrock 的安全特性和 Amazon GuardDuty 服務,Rocket Mortgage 能夠實施強大的安全控制,保護客戶資料並防止提示注入等攻擊。
Synopsis 是 Rocket Mortgage 呼叫中心套件的一部分,旨在讓人類做他們最擅長的事情。該公司每天有數千名團隊成員通過電話、聊天和電子郵件幫助數百萬客戶。Synopsis 的目標是確保這些人類客服能夠專注於對話和解決問題,而不是在多個螢幕上輸入資訊、擔心打字錯誤或在通話後花半個小時撰寫通話記錄。
在 2024 年的前半年,Synopsis 已經節省了 40,000 小時的團隊成員工作時間。70% 的服務客戶要麼能夠自助解決問題,要麼團隊成員能夠在首次通話中解決他們的問題,這大大提高了整個客戶互動過程的效率。
技術架構方面,Synopsis 結合了多項 AWS 服務,包括 Amazon Transcribe 用於高精度和速度的語音轉文字,Claude Haiku 透過 Amazon Bedrock 平台用於從對話中提取關鍵資訊,以及 Amazon QuickSight 和 Amazon Athena 用於提供對對話和交易的快速資料洞察。
Rocket Navigator 是 Rocket Mortgage 開發的內部 AI 實驗平台,旨在為其 15,000 名團隊成員提供 AI 支持。該平台的理念是,最佳的 AI 用例不會來自「象牙塔中的戰略團隊」,而是來自讓團隊成員在日常工作中安全、安心地體驗 AI 的實踐。
「我確信很多資訊安全長 (Chief Information Security Officer, CISO) 聽到『我要給每個人訪問 AI 代理的權限,讓他們隨心所欲』時會感到恐懼,」Dan 說道。「你必須在這些工具中建立一些控制措施。而當我們談論15,000 名團隊成員或更多規模時,成本也是一個因素。」
Navigator 的架構相對簡單但功能強大。用戶必須在網絡上並經過身份驗證,確保基本的安全措施已經到位。Navigator API 協調 Amazon Bedrock 上的各種大型語言模型 (Large Language Models, LLMs),同時利用Amazon GuardDuty 服務實施獨立於具體 LLM 的安全控制。
這種方法使 Rocket Mortgage 能夠在允許實驗的同時,維持一致的安全標準。平台還控制對內部資料源的訪問,確保資料使用的安全和合規。
AWS 高級安全解決方案架構師 Jeremy Ware 強調了在 AI 工作負載中採用系統性威脅建模的重要性。他推薦使用 Shostack 的四個問題框架:
對於具體的威脅分類,他推薦 STRIDE 框架,這是一個由字母縮寫組成的方法論,每個字母對應一類特定的漏洞類別:
「frameworks (框架) 是一個非常有用的結構,幫助你保持專注和目標,」Jeremy 說。「我提到過兔子洞。很容易讓某人說,‘我是身份驗證和授權專家,所以我看到了所有與身份驗證和授權相關的漏洞,但我完全忘記了權限提升’。」
大型語言模型(LLMs)的非確定性特性帶來了獨特的安全挑戰。因為 LLMs 不會每次都生成相同的回答,所以標準的安全測試方法變得不夠充分。
Jeremy 強調了兩類安全問題:傳統的應用安全漏洞和特定於 LLM 的非確定性挑戰。為了應對這些挑戰,他推薦了幾種策略:
「你應該將 LLMs 視為工作負載中不受信任的實體,」Jeremy 警告說。「這意味著我不能完全信任我交給 LLM 的內容,也不能信任返回的內容。」
Rocket Mortgage 在其客戶端 AI 助理中實施了全層次的授權和身份驗證,確保整個技術堆疊的安全。這種方法始於用戶身份驗證,用戶獲得一個 JWT(JSON Web Token),其中包含客戶 ID 和貸款 ID 等詳細資訊,這些資訊可以在堆疊中傳遞,用於身份驗證、授權和追蹤。
當用戶以自然語言詢問,例如「我的託管餘額是多少?」時,請求會通過數碼屬性窗口(可能是網頁或應用程式)傳遞到客戶端助理的協調層。協調層確定需要調用哪個專業領域代理(在這種情況下是服務代理)來訪問託管資料。
服務域代理進行的託管 API 調用會攜帶 JWT 資訊,並針對與已驗證用戶的客戶 ID 和貸款 ID 匹配的特定託管餘額。在資料存儲層,系統使用適當的身份與訪問管理(Identity and Access Management, IAM)功能驗證 LLM 和代理都具有適當的服務角色來代表用戶進行調用,並且客戶 ID 與資料表中的記錄匹配。
這種多層次方法確保資料僅向獲授權的用戶顯示,同時防止 LLM 出現幻覺或從其上下文中提供不正確的資訊。這對於處理敏感的金融資料尤為重要。
實施安全控制只是開始。Rocket Mortgage 採用持續安全評估和人工審核的方法,確保其 AI 系統保持安全和負責任。
這包括通過嚴格的滲透測試來驗證緩解措施是否達到預期效果。這種測試既可以是內部進行的,也可以是外部進行的,不僅在常規基礎上進行,還在每次發布時進行。對於重新訓練模型的情況,測試不僅檢查模型準確性是否保持一致,還確保安全控制仍然有效。
人工審核在確保輸出的準確性、完整性和清晰度方面也起著關鍵作用。這包括評估模型評估輸出,確保使用的訓練資料和 RAG 是最新的,並確保實施的緩解措施是全面的。
「每次我們想要做出改變時,我們都需要回到威脅模型,說,‘好的,當我們改變架構時,哪些新威脅現在可能成為需要我們提出新緩解措施的潛在問題?’」Jeremy 解釋道。
在 AI 工作負載中,安全不再僅僅是安全團隊的責任。相反,它需要開發人員、數據科學家和安全專業人員之間的密切協作。
Jeremy 指出,在 AI 工作負載中,責任共享模型開始影響組織內部的不同角色。開發人員可能負責身份和訪問管理、操作系統選擇和資料存儲訪問。數據科學家負責數據集的微調、存儲和處理、RAG 數據管理以及模型評估。安全人員負責平台訪問管理、防護欄實施以及所有流量的加密。
這些責任在不同角色之間重疊,這就是為什麼早期合作如此重要。「Rocket 之所以能夠如此成功並能夠在所有應用中如此一致地重複這一過程,而且說實話,速度如此之快,是因為他們很早就認識到了這一點,」Jeremy 說。「他們將多個團隊聚集在一起。他們將開發人員聚在一起,將數據科學家聚在一起,將他們的安全人員都聚在一個房間里處理架構以滿足使用案例。這是在我們有概念驗證或任何生產內容之前很久。」
AWS 將負責任的 AI 定義為六個支柱:
在金融環境中實施這些支柱尤為重要,因為金融決策對個人生活有重大影響。Rocket Mortgage 不僅關注技術安全性,還關注更廣泛的道德考量,例如「什麼是正確的做法?如果這是我的資料,如果這是我的體驗,我的家人,我的鄰居,我希望這種互動如何進行?」
他們還與企業風險和資訊安全團隊建立了深厚的合作關係,確保在評估任何新的 AI 使用案例或資料使用案例時,這些團隊始終在場。這種全面的方法確保 AI 系統不僅是安全的,而且是合乎道德和負責任的。
Rocket Mortgage 的故事展示了在高度監管的金融環境中,如何在推動創新的同時維護最高的安全標準。通過將安全考量整合到 AI 開發生命週期的每個階段,他們能夠創建既創新又值得信賴的解決方案。
該公司在客戶互動、內部運營和員工賦能三個關鍵領域實施 AI,展示了 AI 如何以負責任的方式革新金融服務。透過利用 Amazon Bedrock、Amazon Transcribe 和 Amazon GuardDuty 等 AWS 服務,他們能夠構建既具頑強性又靈活的解決方案。
正如 Rocket Mortgage 和 AWS 所展示的,AI 在金融服務中的未來不僅取決於技術能力,還取決於如何以安全和值得信賴的方式部署這些能力。通過採用全面的安全方法,金融機構可以充分利用 AI 的潛力,同時保持客戶長期以來所依賴的信任和安全。
如希望了解更多生成式 AI 的資料,可以參考此連結