在当今数字化浪潮席卷全球的时代,金融科技领域正经历前所未有的变革。抵押贷款—这个价值5兆美元的庞大市场,正站在AI应用的最前沿,而安全性与客户信任则成为这场革命能否成功的关键。

本文将深入探讨Rocket Mortgage如何借助AWS云计算技术和生成式AI解决方案,在确保最高安全标准的同时,彻底重塑客户体验,打造金融创新领域坚不可摧的安全防线。从AI客户助理到内部实验平台,AWS的企业级安全架构正成为金融数字化转型不可或缺的关键支柱。

抵押贷款行业长期以来以其复杂的流程和繁琐的文书工作闻名。即使在数字化时代,许多机构仍然依赖传统的纸质文件和面对面交流。然而,在这个价值高达5兆美元的市场中,即使是小幅的效率提升也能带来巨大的商业价值。Rocket Mortgage作为行业的创新者,即使在良好的年份中也仅占据市场份额的8-9%,这意味着通过AI驱动的效率和服务改进,还有大量的市场机会有待开发。

数字化转型面临的主要挑战不仅仅是技术实现,更在于如何在自动化与个性化之间取得平衡,同时确保客户数据的绝对安全。在抵押贷款这一高度敏感的金融领域,任何数据泄露或安全漏洞都可能导致严重的后果和信任危机。

Dan Vasquez,Rocket Mortgage的AI策略技术领导者强调:“对于大多数人来说,抵押贷款可能是他们一生中最大、影响最深远的交易。我们只有一次机会。如果我们失去你的信任,或者给你一个理由认为你不能信任我们处理你的数据,对我们来说就结束了。”

这句话突显了金融机构在实现AI创新时所面临的核心挑战:如何在提高效率和改善客户体验的同时,确保客户数据的绝对安全和隐私保护。这要求企业必须构建严格的数据安全控制,遵守监管合规要求,并实践负责任的AI原则。

Rocket Mortgage开发了三个核心AI应用,共同形成了其数字化战略的支柱。这三个应用各自针对不同场景,但都遵循同样严格的安全标准。

Rocket Mortgage的客户端AI助理是一个24/7全天候可用的个性化助理,服务数百万客户。这个助理能够代表客户采取行动,提供个性化体验,预计将使线索转化率提高33%。在抵押贷款的数万亿美元市场中,这种提升意味着巨大的收益潜力。

该AI助理采用了精心设计的多代理架构。不同于简单的单一助理,Rocket Mortgage构建了一个完整的代理网络,由一个前端协调器管理对各种专业领域代理的调用。这种架构允许系统提供高度专业化的协助和工作流程集成,同时也从安全角度带来了显著优势。

“从安全角度来看,这使我们能够构建并利用我们已经为这些领域创建的现有安全控制,”Dan Vasquez解释道。这种方法避免了重新发明安全控制的需要,而是在新的AI架构中沿用已经经过验证的安全措施。

通过Amazon Bedrock的安全特性和Amazon GuardDuty服务,Rocket Mortgage能够实施强大的安全控制,保护客户数据并防止提示注入等攻击。

Synopsis是Rocket Mortgage调用中心组件的一部分,旨在让人类做他们最擅长的事情。该公司每天有数千名团队成员通过电话、聊天和电子邮件帮助数百万客户。Synopsis的目标是确保这些人类客服能够专注于对话和解决问题,而不是在多个屏幕上输入资讯、担心打字错误或在通话后花半个小时撰写通话记录。

在2024年的前半年,Synopsis已经节省了40,000小时的团队成员工作时间。70%的服务客户要么能够自助解决问题,要么团队成员能够在首次通话中解决他们的问题,这大大提高了整个客户互动过程的效率。

技术架构方面,Synopsis结合了多项AWS服务,包括Amazon Transcribe用于高精度和速度的语音转文本,Claude Haiku通过Amazon Bedrock平台用于从对话中提取关键资讯,以及Amazon QuickSight和Amazon Athena用于提供对对话和交易的快速数据洞察。

Rocket Navigator是Rocket Mortgage开发的内部AI实验平台,旨在为其15,000名团队成员提供AI支持。该平台的理念是,最佳的AI用例不会来自“象牙塔中的战略团队”,而是来自让团队成员在日常工作中安全、安心地体验AI的实践。

“我确信很多资讯首席安全官 (Chief Information Security Officer, CISO) 听到“我要给每个人访问AI代理的权限,让他们随心所欲”时会感到恐惧,”Dan说道。“你必须在这些工具中创建一些控制措施。而当我们谈论15,000名团队成员或更多规模时,成本也是一个因素。”

Navigator的架构相对简单但功能强大。用户必须在网络上并经过身份验证,确保基本的安全措施已经到位。Navigator API协调Amazon Bedrock上的各种大型语言模型 (Large Language Models, LLMs),同时利用Amazon GuardDuty服务实施独立于具体LLM的安全控制。

这种方法使Rocket Mortgage能够在允许实验的同时,维持一致的安全标准。平台还控制对内部数据源的访问,确保数据使用的安全和合规。

AWS高级安全解决方案架构师Jeremy Ware强调了在AI工作负载中采用系统性威胁建模的重要性。他推荐使用Shostack的四个问题框架:

对于具体的威胁分类,他推荐STRIDE框架,这是一个由字母缩写组成的方法论,每个字母对应一类特定的漏洞类别:

“frameworks (框架) 是一个非常有用的结构,帮助你保持专注和目标,”Jeremy说。“我提到过兔子洞。很容易让某人说,‘我是身份验证和授权专家,所以我看到了所有与身份验证和授权相关的漏洞,但我完全忘记了权限提升'。”

大型语言模型(LLMs)的非确定性特性带来了独特的安全挑战。因为LLMs不会每次都生成相同的回答,所以标准的安全测试方法变得不够充分。

Jeremy强调了两类安全问题:传统的应用安全漏洞和特定于LLM的非确定性挑战。为了应对这些挑战,他推荐了几种策略:

“你应该将LLMs视为工作负载中不受信任的实体,”Jeremy警告说。“这意味着我不能完全信任我交给LLM的内容,也不能信任返回的内容。”

Rocket Mortgage在其客户端AI助理中实施了全层次的授权和身份验证,确保整个技术堆栈的安全。这种方法始于用户身份验证,用户获得一个JWT(JSON Web Token),其中包含客户ID和贷款ID等详细资讯,这些资讯可以在堆栈中传递,用于身份验证、授权和关注。

当用户以自然语言询问,例如“我的托管余额是多少?”时,请求会通过数码属性窗口(可能是网页或应用程序)传递到客户端助理的协调层。协调层确定需要调用哪个专业领域代理(在这种情况下是服务代理)来访问托管数据。

服务域代理进行的托管API调用会携带JWT资讯,并针对与已验证用户的客户ID和贷款ID匹配的特定托管余额。在数据存储层,系统使用适当的身份与访问管理(Identity and Access Management, IAM)功能验证LLM和代理都具有适当的服务角色来代表用户进行调用,并且客户ID与数据表中的记录匹配。

这种多层次方法确保数据仅向获授权的用户显示,同时防止LLM出现幻觉或从其上下文中提供不正确的资讯。这对于处理敏感的金融数据尤为重要。

实施安全控制只是开始。Rocket Mortgage采用持续安全评估和人工审核的方法,确保其AI系统保持安全和负责任。

这包括通过严格的渗透测试来验证缓解措施是否达到预期效果。这种测试既可以是内部进行的,也可以是外部进行的,不仅在常规基础上进行,还在每次发布时进行。对于重新训练模型的情况,测试不仅检查模型准确性是否保持一致,还确保安全控制仍然有效。

人工审核在确保输出的准确性、完整性和清晰度方面也起着关键作用。这包括评估模型评估输出,确保使用的训练数据和RAG是最新的,并确保实施的缓解措施是全面的。

“每次我们想要做出改变时,我们都需要回到威胁模型,说,‘好的,当我们改变架构时,哪些新威胁现在可能成为需要我们提出新缓解措施的潜在问题?'”Jeremy解释道。

在AI工作负载中,安全不再仅仅是安全团队的责任。相反,它需要开发人员、数据科学家和安全专业人员之间的密切协作。

Jeremy指出,在AI工作负载中,责任共享模型开始影响组织内部的不同角色。开发人员可能负责身份和访问管理、操作系统选择和数据存储访问。数据科学家负责数据集的微调、存储和处理、RAG数据管理以及模型评估。安全人员负责平台访问管理、防护栏实施以及所有流量的加密。

这些责任在不同角色之间重叠,这就是为什么早期合作如此重要。“Rocket之所以能够如此成功并能够在所有应用中如该致地重复这一过程,而且说实话,速度如此之快,是因为他们很早就认识到了这一点,”Jeremy说。“他们将多个团队聚集在一起。他们将开发人员聚在一起,将数据科学家聚在一起,将他们的安全人员都聚在一个房间里处理架构以满足使用案例。这是在我们有概念验证或任何生产内容之前很久。”

AWS将负责任的AI定义为六个支柱:

在金融环境中实施这些支柱尤为重要,因为金融决策对个人生活有重大影响。Rocket Mortgage不仅关注技术安全性,还关注更广泛的道德考量,例如“什么是正确的做法?如果这是我的数据,如果这是我的体验,我的家人,我的邻居,我希望这种互动如何进行?”

他们还与企业风险和资讯安全团队创建了深厚的合作关系,确保在评估任何新的AI使用案例或数据使用案例时,这些团队始终在场。这种全面的方法确保AI系统不仅是安全的,而且是合乎道德和负责任的。

Rocket Mortgage的故事展示了在高度监管的金融环境中,如何在推动创新的同时维护最高的安全标准。通过将安全考量集成到AI开发生命周期的每个阶段,他们能够创建既创新又值得信赖的解决方案。

该公司在客户互动、内部运营和员工赋能三个关键领域实施AI,展示了AI如何以负责任的方式革新金融服务。通过利用Amazon Bedrock、Amazon Transcribe和Amazon GuardDuty等AWS服务,他们能够构建既具顽强性又灵活的解决方案。

正如Rocket Mortgage和AWS所展示的,AI在金融服务中的未来不仅取决于技术能力,还取决于如何以安全和值得信赖的方式部署这些能力。通过采用全面的安全方法,金融机构可以充分利用AI的潜力,同时保持客户长期以来所依赖的信任和安全。