人工智能治理:從理論到實踐——NIST AI風險管理框架解析
責編:gltian |2024-05-31 16:58:51當前,人工智能治理面臨的挑戰是如何梳理浩繁的文獻,找出針對特定組織量身定制的人工智能治理實施方案。本文基于NIST于2023年發布的AI風險管理框架,旨在在加強人工智能治理方面做出嘗試,以便對讀者,尤其是GRC(治理、風險與合規)領域的專業人士提供實用參考。
評估AI風險
AI系統設計有不同程度的自主運行能力。與之相關的最主要風險有哪些?
AI的十五個最大的風險如下:
缺乏透明度
偏見和歧視
隱私問題
倫理困境
安全風險
權力集中
對AI的依賴性
取代就業
經濟不平等
法律和監管挑戰
AI軍備競賽
人際關系的喪失
虛假信息和操縱
意想不到的后果
存在性風險值得注意的是,AI可能會因其使用的組織性質而產生獨特風險,超出普遍存在的風險范疇。
AI可信度
NIST規定了可信AI應具備以下特征:
合法有效且可靠
安全無害
安全且具有韌性
可追責且透明
可解釋且可理解
隱私增強
公平對待且妥善管理有害偏見根據NIST的說法,“高度安全但不公平的系統,準確但不透明且不可解釋的系統,以及不準確但安全、隱私增強和透明的系統都是不可取的。風險管理的綜合方法要求在可信度特征之間取得平衡。”其中的關鍵詞是“權衡取舍”。
AI風險管理框架核心
NIST規定的RMF框架包括四個功能,如下所示:
治理
映射
測量
管理
治理作為跨領域功能,旨在貫穿并指導其他三個功能。執行AI RMF核心功能時,應考慮到多學科視角,可能還需要聽取組織外部的意見。
以下是AI治理的關鍵建議步驟:
01、在風險度量中應考慮可信AI的七個特征。
02、每個特征應根據環境背景進行定量或定性評估,最好是定量評估并以百分比表示。基于風險管理成本效益分析,或者監管/行業要求尋求平衡。
03、應從多學科利益相關者視角,包括內外部利益相關者,考慮AI系統的可信特征,特別是那些造成重大的社會經濟后果的AI系統。
04、每項風險管理框架核心職能的類別和子類別應作為指導方針,并在行使每項職能時加以應用。
05、重要的是,這些指導方針應基于環境背景考慮,而不是一個嚴格的檢查清單。
06、審計人員應將AI審計視為“管理審計”或“社會審計”,并運用相應的原則,而非財務審計或內部審計原則。這一點適用于所需審計的AI組件。
AI原則實際應用的案例研究
下文簡要介紹了微軟如何利用人工智能倫理委員會管理其AI開發的案例研究。2018年3月,微軟宣布成立一個由AI和研究小組的總裁和執行副總裁領導的人工智能與工程研究倫理委員會(AETHER)。截止2019年初,AETHER擴展為AI、倫理和工程與研究成果的委員會。AETHER分為七個工作組:
1 敏感用途
用于評估自動化決策對人們生活的影響
2 偏見和公平性
用于評估對少數群體和弱勢人群的影響
3 可靠性和安全性
以確保AI系統對抗攻擊具有魯棒性
4 人類注意力和認知
監控算法注意力竊聽和說服能力
5 可理解性和解釋性
為機器學習和深度學習模型提供透明度
6 人類與AI的交互與協作
提高人類在AI系統的參與度
7 工程最佳實踐
為AI系統開發生命周期的每個階段提供最佳實踐
微軟成立AETHER的決定向其員工、用戶、客戶和合作伙伴發出非常明確的信號,即微軟打算將其技術標準提高到一個更高的水平。
行業特定指南可以加強AI治理
AI為人類帶來了許多好處和優勢,但仍然需要對相關風險進行全面管理。因此,遵循全面的框架將避免組織做出臨時性的決定,并確保各利益相關者之間建立更好的信譽和信任。
隨著AI的不斷發展,監管機構正在制定各種開放框架以適應不同的環境和行業。像ISACA這樣的專業機構可以利用其專業知識和知識庫,通過制定行業特定指南補充這些框架。
來源:安全牛