安全動態(tài)

人工智能治理:從理論到實踐——NIST AI風險管理框架解析

來源:聚銘網絡    發(fā)布時間:2024-06-03    瀏覽次數:
 

當前,人工智能治理面臨的挑戰(zhàn)是如何梳理浩繁的文獻,找出針對特定組織量身定制的人工智能治理實施方案。本文基于NIST于2023年發(fā)布的AI風險管理框架,旨在在加強人工智能治理方面做出嘗試,以便對讀者,尤其是GRC(治理、風險與合規(guī))領域的專業(yè)人士提供實用參考。

評估AI風險

AI系統設計有不同程度的自主運行能力。與之相關的最主要風險有哪些?

AI的十五個最大的風險如下:

缺乏透明度

偏見和歧視

隱私問題

倫理困境

安全風險

權力集中

對AI的依賴性

取代就業(yè)

經濟不平等

法律和監(jiān)管挑戰(zhàn)

AI軍備競賽

人際關系的喪失

虛假信息和操縱

意想不到的后果

存在性風險值得注意的是,AI可能會因其使用的組織性質而產生獨特風險,超出普遍存在的風險范疇。

AI可信度

NIST規(guī)定了可信AI應具備以下特征:

合法有效且可靠

安全無害

安全且具有韌性

可追責且透明

可解釋且可理解

隱私增強

公平對待且妥善管理有害偏見根據NIST的說法,“高度安全但不公平的系統,準確但不透明且不可解釋的系統,以及不準確但安全、隱私增強和透明的系統都是不可取的。風險管理的綜合方法要求在可信度特征之間取得平衡?!逼渲械年P鍵詞是“權衡取舍”。

AI風險管理框架核心

NIST規(guī)定的RMF框架包括四個功能,如下所示:

治理

映射

測量

管理

治理作為跨領域功能,旨在貫穿并指導其他三個功能。執(zhí)行AI RMF核心功能時,應考慮到多學科視角,可能還需要聽取組織外部的意見。

以下是AI治理的關鍵建議步驟:

01、在風險度量中應考慮可信AI的七個特征。

02、每個特征應根據環(huán)境背景進行定量或定性評估,最好是定量評估并以百分比表示?;陲L險管理成本效益分析,或者監(jiān)管/行業(yè)要求尋求平衡。

03、應從多學科利益相關者視角,包括內外部利益相關者,考慮AI系統的可信特征,特別是那些造成重大的社會經濟后果的AI系統。

04、每項風險管理框架核心職能的類別和子類別應作為指導方針,并在行使每項職能時加以應用。

05、重要的是,這些指導方針應基于環(huán)境背景考慮,而不是一個嚴格的檢查清單。

06、審計人員應將AI審計視為“管理審計”或“社會審計”,并運用相應的原則,而非財務審計或內部審計原則。這一點適用于所需審計的AI組件。

AI原則實際應用的案例研究

下文簡要介紹了微軟如何利用人工智能倫理委員會管理其AI開發(fā)的案例研究。2018年3月,微軟宣布成立一個由AI和研究小組的總裁和執(zhí)行副總裁領導的人工智能與工程研究倫理委員會(AETHER)。截止2019年初,AETHER擴展為AI、倫理和工程與研究成果的委員會。AETHER分為七個工作組:

1、敏感用途

 用于評估自動化決策對人們生活的影響

2、偏見和公平性

 用于評估對少數群體和弱勢人群的影響

3、可靠性和安全性

 以確保AI系統對抗攻擊具有魯棒性

4、人類注意力和認知

 監(jiān)控算法注意力竊聽和說服能力

5、可理解性和解釋性

 為機器學習和深度學習模型提供透明度

6、人類與AI的交互與協作

 提高人類在AI系統的參與度

7、工程最佳實踐

 為AI系統開發(fā)生命周期的每個階段提供最佳實踐
微軟成立AETHER的決定向其員工、用戶、客戶和合作伙伴發(fā)出非常明確的信號,即微軟打算將其技術標準提高到一個更高的水平。

行業(yè)特定指南可以加強AI治理

AI為人類帶來了許多好處和優(yōu)勢,但仍然需要對相關風險進行全面管理。因此,遵循全面的框架將避免組織做出臨時性的決定,并確保各利益相關者之間建立更好的信譽和信任。

隨著AI的不斷發(fā)展,監(jiān)管機構正在制定各種開放框架以適應不同的環(huán)境和行業(yè)。像ISACA這樣的專業(yè)機構可以利用其專業(yè)知識和知識庫,通過制定行業(yè)特定指南補充這些框架。

 
 

上一篇:網安標委印發(fā)《網絡安全技術 關鍵信息基礎設施邊界確定方法(征求意見稿)》

下一篇:2024年6月3日聚銘安全速遞