В своем отчете «2025 Top Strategic Technology Trends» Gartner из 10 ключевых трендов целых два места отдал вопросам, связанным с рисками искусственного интеллекта. Это «AI Governance Platforms» и «Disinformation Security».
Сегодня разберемся с первой темой — AI Governance Platforms. Ожидаемо, индустрия доросла до того, что от декларативных кодексов пора переходить к рабочим механизмам контроля использования ИИ. Здесь очень важно соблюсти баланс между разумным риск-менеджментом и бесконечной бюрократией, способной задушить любой прогресс (отличный пример второго варианта — Евросоюз со своим AI Act).
Три ключевых вопроса, на которые надо ответить перед стартом любой крупной инициативы:
- Кто [будет отвечать за результат]?
- Что [необходимо сделать]?
- Как [это делать — методология, инструментарий и проч.]?
Кто?
Первый вопрос — глубоко личный, на него нет универсального ответа. Каждая организация живет по своим правилам. Главное, чтобы у вас был ответ на этот вопрос (по ощущениям, пока это далеко не везде так).
Что?
Второй вопрос тоже достаточно проработан — от законов робототехники Азимова до многочисленных кодексов ИИ и фреймворков для управления рисками ИИ. Здесь отмечу несколько источников:
- Российский Национальный кодекс этики в сфере ИИ. Это наше, родное.
- Сингапурский Model AI Governance Framework for Generative AI. Динамичная инициатива, в которой участвует много крупных технологических компаний. Здесь — зрелость и опыт.
- ML Commons. Участвуют практически все игроки на рынке ИИ, причем очень много молодых компаний. Управление рисками для них только одна из тем, но она присутствует. Здесь будет динамика, но (ожидаемо) фокус больше на развитии, чем на управлении рисками.
- NIST AI Risk Management Framework. Стандарты — всегда хорошо, пусть будут.
Безусловно в любых кодексах много лукавства. Например тезис «Акторы ИИ должны на этапе создания СИИ прогнозировать возможные негативные последствия для развития когнитивных способностей человека, и не допускать разработку СИИ, которые целенаправленно вызывают такие последствия» Очевидно же, что по мере проникновения технологий ИИ в нашу жизнь определенные способности будут отмирать, и это хорошо видно на примере тех школьников и студентов, которые научились в полной мере использовать ИИ. А дальше — развилка. Или взамен «примитивных» навыков, которые легко можно заменить системами ИИ придут продвинутые, и сделают человека умнее и могущественнее, или… они просто будут утрачены без какой-либо компенсации.
Положения, касающиеся недискриминации. Любое динамическое ценообразование (а это одно из крупных применений ИИ на сегодня) — это априори дискриминация определенных категорий населения. Но, чтобы нас не мучала совесть, мы оговариваем такие моменты: «при этом дискриминацией не может признаваться явно задекларированные Актором ИИ правила функционирования или применения СИИ для разных групп пользователей, сегментированных с учётом таких признаков«. Т.е. случайно нельзя, но специально можно, все ок.
Поэтому, перед тем, как начать внимательно следить за тем, правильно ли мы внедряем ИИ, стоит отступить на шаг назад и определиться с целями и приоритетами. Возможно, вопросы информационной безопасности ИИ и его галлюцинации будут для нас приоритетом №1, а вот до недискриминации мы дойдем немного позже. После того, как договоримся сами с собой, можно начинать управлять рисками ИИ.
Как?
Это как раз то, с чего мы начали разговор — AI Governance Platform.
Если вы дошли до этого момента, то перед вами стоит задача построить целостную систему управления рисками применения искусственного интеллекта. Слово «платформа» намекает на то, что здесь будет использоваться специализированный инструментарий, и это так. Но кроме этого, предстоит создать обвязку из организационных действий, направленных на выстраивание процесса управления рисками. По каждому из доменов необходимо принять решение: что можно автоматизировать (и выбрать наиболее подходящее решение), а что придется контролировать организационными методами. Главное — чтобы ничто не осталось без присмотра.
Поэтому действуем примерно так:
- Идем по списку доменов из раздела «Что?«, выбираем те, которые считаем важными/применимыми. Оптимальным путем будет пробежаться по всем основным фреймворкам, чтобы выбрать именно то, что важно для вас.
- Для каждого домена выбираем существенные риски.
- Смотрим, что можно автоматизировать (выбираем из существующих тулкитов, разрабатываем сами). Про существующие на рынке инструменты буду еще писать отдельно.
- Оставшееся пытаемся закрыть организационными мерами.
И полностью соглашусь с Gartner — уже пора.