2024年的AI風險管理:您應該知道的幾件事
Shanika Splunk大数据
生成式AI技術(如GPT-3 和 DALL·E)的不斷進步,帶動了AI技術在全球的快速採用。 對許多企業來說,應用AI技術的目的是在市場競爭中獲得優勢,但有時他們忽略了AI帶來的風險因素,而這些風險很有可能會影響到個人、組織以及更廣泛的生態系統。
我們將透過本文向您介紹AI風險管理這一概念。 我們將帶您了解與AI系統相關的技術性風險和非技術性風險。 同時,我們也將向您展示如何借助美國國家標準與技術研究院(NIST)制定的《人工智慧風險管理框架》來開發AI風險管理方案,創建負責任的AI系統。
在文章的最後,我們將討論組織在管理AI風險方面將不得不面對的主要挑戰。
什麼是AI風險管理
對AI技術越來越多的應用,將為組織帶來許多技術性風險和非技術性風險。 作為風險管理領域的分支學科,AI風險管理主要聚焦於組織在部署和應用人工智慧技術流程中對風險進行的識別、評估和管理等工作。
這個過程包括制定策略來應對這些風險,確保對AI系統的使用是負責任的,保護組織、客戶、員工免受AI專案的負面影響。
為了實現更有效率的風險管理,人們引入了多個AI風險管理框架,例如,美國國家標準與技術研究院(NIST)制定的《人工智慧風險管理框架》, 可透過結構化的方法來評估和消除 AI風險,其中包括AI使用指南和AI最佳實踐。
與AI相關的風險
談到AI風險管理,最重要的是要清楚AI使用過程中的技術性風險和非技術性風險。
01.技術性風險
以下即為常見的AI技術性風險:
資料隱私風險。 AI模型,特別是經過大型資料集訓練的模型,可能會含有敏感的個人訊息,如個人識別資訊 (Personally Identifiable Information, PII)。 這些系統可能會在不經意間記住並顯示這些敏感信息,導致個人隱私洩露,違反資料保護條例(如GDPR)的合規要求。
AI模型的偏見。 有時候,用來訓練AI模型的資料可能會帶有偏見,導致AI模型產生不準確且帶有一定歧視色彩的結果。 舉例如下:
在招募事件中存在偏見,導致只僱用特定人選(或特定族群)
在金融借貸領域的偏見,會導致只面向特定族群開放
結果不準確。 如果接受訓練的AI模型精準度較低,那麼產生的結果準確度也會比較低。 甚至有些模型無法提供及時的訊息,導致公司或員工做出錯誤決策。
過擬合。 當AI模型過度使用訓練資料時,就會發生這樣的現象。 一旦使用新數據,則其效能降低。 這種現象會影響結果的可靠性和準確性。
02.非技術性風險
現在我們來看看AI技術所帶來的非技術性風險:
道德和社會風險。 在辦公室使用AI會引起道德層面的擔心,例如,可能會導致裁員,產生的某些數據會涉及種族問題,甚至會出現未經他人同意便收集數據的情況。
失去對企業的信任。 有些AI系統會產生有害的或帶有偏見的結果,這會損害企業的聲譽。 企業員工和內部利害關係人會失去對AI系統的信任,客戶會對企業失去信任,長遠角度來看,會影響企業的營收。
監管風險。 隨著AI技術的快速演進,對全新AI監管條例的呼聲越來越大,也越來越迫切。 為了確保系統的合規性,這些條列是在已有條規框架基礎上經過改進而得到。 這種做法降低了責任制,增加人們對使用AI技術的道德顧慮。
AI風險管理:一種方法
與其他風險管理方法類似,我們可以採用五步驟法來管理AI風險。 此方法會涉及上下文定義、識別、排序和風險消減。
第一步.定義上下文
識別AI系統的上下文,如:
運行於何種環境之中?
誰在使用AI? 會影響到什麼人?
AI系統具備何種功能?
第二步.識別潛在AI風險
如前所述,識別那些跟AI系統相關的技術性和非技術性風險。 可以從系統完全評估開始,在系統正在運行或即將創建的時候,對齊進行完全評估。 另外,您也需要嘗試別的方法,例如與相關人員或使用者進行討論,以了解他們的看法。
第三步.評估風險並排序
對每個風險進行完全評估、確定其對組織的影響大小,這時你可以採用以下技術:
每種風險的嚴重程度和發生機率
風險矩陣
風險評分
風險排序可以讓組織確定何種風險需要先考慮,進而有效分配資源,以執行風險消減策略。
第四步.執行風險消減策略
一旦完成了對所有風險的標註和排序,您就可以全面執行這些策略了,如:
採用穩健的安全機制,如存取控制,避免未經授權的接入
加密相關數據,以消減資料外洩事件數量
識別,並且如果可能的話,消除機密資料的存在,以規避風險
其他糾正措施也可以儘早減少人工智慧風險的影響,包括:
穩健的事件管理和事件回應規劃 (IRP)
採取主動方式,如即時監控、警告、漏洞掃描
第五步評估和溝通結果
為了經常性地提升效率,一定要養成對AI風險管理系統進行評估的習慣。 為了養成這個習慣,您可以使用以下技巧:
使用者回饋
經常性的性能評估
持續不斷的監控
與利害關係人進行高效溝通,聽取他們的回饋,變更或更新您的風險管理系統。
美國國家標準與技術研究院(NIST)的《人工智慧風險管理架構》
美國國家標準與技術研究院(NIST)推出了一套《人工智慧風險管理框架》 (AI Risk Management Framework, AI RMF),可協助組織創建負責任的AI系統,現在讓我們來了解NIST RMF的 主要組成部分。
01.可能受到AI損害的領域
AI RMF列出了AI可能危害到的主要對象:
給人員帶來危害。 包括危害人身自由、權益以及個人的經濟發展機會,也包括對社區和社會的危害,如影響個體的教育機會。 制定風險管理框架 (RMF)的目的,就是要保護個人和社區免受危害。
為組織帶來危害。 這一方麵包括對組織聲譽和業務運作帶來的危害,也包括在數據和資金方面的損失。
給生態系統帶來危害。 這裡指的是對自然資源、互聯繫統、供應鏈以及金融系統等方面帶來的危害,應對並解決這一類型的危害也是NIST RMF的目標之一。
了解這些可能帶來的危害有助於我們打造一個不光有效而且還很安全和負責任的AI系統。 要實現這一目標,NIST RMF列出了AI系統需要具備的幾大特徵。
02.安全AI系統的特徵
以下特質是打造值得組織信賴的AI系統的關鍵:
有效可靠。 NIST AI RMF可確保AI系統能夠依照設計精準執行任務。
安全。 此框架強調在AI系統研發初始階段便將安全納入其中。
安全且有韌性。 在這框架的指導之下,設計AI系統的初衷,就是在避免未授權存取危害的同時,應對和適應不好事件和變化帶來的影響。
可追責且透明。 確保可見性。 必須確保每個人都能了解AI系統的運作方式,知道自己該做什麼。
可輕鬆找到AI做出決策的原因
可要求AI對做出的行動做出解釋或承擔責任
可解釋性。 框架需要確保具備不同科技知識水平的人群都能理解AI系統的作用,這有助於使用者真正了解AI系統的運作方式。
隱私性得到加強。 保護使用者的隱私,確保其資料安全,是此框架下AI系統的主要聚焦點。
公平。 該框架還列出了識別和修復這些具有危害性的偏見的步驟,以確保AI系統得出的結果能夠公平地適用每個人。
要獲得安全AI所具備的特徵,需要具備哪些功能
要真正將這些特質做到落地,我們需要執行一套清晰的行動和流程。 NIST確定了一套功能,可為落實AI系統的這些特質提供路線圖,現在讓我們來看看這些功能具體有哪些:
01.治理
這一階段在實現AI風險管理的整個過程中至關重要。 我們應該創造一種文化,承認AI會帶來潛在的風險,並透過這種文化將治理融入AI系統的生命週期當中。
在治理階段,我們會制定並執行相關流程和文檔,以管理風險並評估其帶來的影響。 另外,AI系統的設計和開發要符合組織的價值主張。
02.映射
這項功能透過了解使用AI的目的、組織目標、業務價值、風險承受度以及其他依賴因素,為其創建上下文,這包括:
將AI系統分類,並繪製使用AI系統的風險和優勢
了解AI決策所造成的廣泛影響,以及不同生命週期階段之間的互動情況
03.衡量
在這裡,您需要透過定量工具、定性工具或兩種工具同時使用的方式,來建立一套AI風險的分析和評估方法。 AI系統必須在開發和生產兩個階段都要接受測試。 而且,這些系統都需要對先前所描述的信任度進行評估。
對性能標準進行對比性評估。 獨立進行評估,是為了實現以下兩個目標:
最小化偏見
提升精準度
04.管理
在這階段,你需要分配資源,來管理那些已識別出的AI風險。 您需要藉助從治理和映射功能獲得的洞察來對風險進行響應、復原以及通訊等方面的規劃。
此外,組織還可透過系統性資料、評估新的風險、對流程進行持續性提升等方式來提升AI系統風險管理水準。
AI風險管理面臨的挑戰
AI風險管理允許組織創建並使用負責任的AI系統。 但另一方面,它也會為組織帶來許多挑戰。 以下即為與AI RMF相關的主要挑戰:
01.風險衡量方面的挑戰
因為制度偏見、過度簡化以及易受操縱等原因,我們缺乏一套可靠的風險指標。 此外,AI風險未被很好地定義,也未被公眾完全理解,使得對其影響力進行定量和定性分析異常困難。
再加上第三方軟體、硬體、數據等因素的使用,挑戰愈加複雜,與一開始AI系統所設定的風險指標並不符。
02.AI技術的快速提升
AI技術正以驚人的速度向前發展,不斷引入全新概念和技術。 這樣的發展速度也為監管機構更新現有政策帶來了挑戰。
所以,你需要將更多項目添加到你的合規清單中,同時你應該認識到,監管合規將在未來幾年當中發生重大變化。
03.風險排序方面的挑戰
組織可能會嘗試消除全部負面風險。 這種行為,說好了是浪費時間,說壞一點,會起到相反的作用。 消除全部風險是不可能做到的。
相反,組織必須對風險 持有現實的態度,這樣才可以更有效地分配資源,避免資源浪費。
AI風險:現在只是開始
知道AI技術的採用會帶來何種風險,這一點相當重要,因為如果管理不當話,任何挑戰都會帶來負面影響。
要應對並超越這些挑戰,最重要的是採取持續不斷評估、排序、付諸行動的策略,同時也要不斷檢視這些戰略的運作。 只有在這樣的脈絡中,NIST RMF才可以發揮出指引的作用,助力組織更有效地管理AI風險。
Comments
Tell me what you're thinking...
and oh, if you want a pic to show with your comment, go get a gravatar!