Connect with us

Mentre l’adozione dell’AI supera l’alfabetizzazione dell’AI, i leader del settore devono fare un passo avanti

Leader di pensiero

Mentre l’adozione dell’AI supera l’alfabetizzazione dell’AI, i leader del settore devono fare un passo avanti

mm
Published

Le organizzazioni stanno scalando l’utilizzo dell’AI più velocemente di quanto stanno costruendo la competenza degli utenti. Il divario tra l’adozione dell’AI e l’alfabetizzazione dell’AI non è solo un problema di istruzione; è un crescente rischio per la sicurezza. E questo divario è ampliato dal dispiegamento di sistemi agentici – AI che possono pianificare, decidere e agire – senza un investimento equivalente nella comprensione di come questi sistemi si comportino in condizioni avverse o ambigue.

Nel mio lavoro di sviluppo e dispiegamento di sistemi di sicurezza dell’AI per applicazioni nel mondo reale, ho osservato che questo divario serve costantemente come la principale fonte di guasto del sistema e di vulnerabilità della sicurezza.

Avere una comprensione fondamentale delle sfide dell’AI è fondamentale per formulare e implementare le adeguate protezioni.

I sistemi AI sono intrinsecamente facili da utilizzare in modo errato

Ecco una delle sfide: l’AI non “comprende” nel senso umano; ottimizza gli output in base a modelli piuttosto che intenzioni. I modelli predicono risposte probabili in base ai dati di addestramento, non alla verità oggettiva. Gli output possono apparire autorevoli anche quando sono errati o incompleti.

Ecco un esempio: una persona chiede a un modello linguistico di grandi dimensioni (LLM), “Ho dolore al ginocchio di notte ma non durante il giorno. Cosa è?” Il LLM risponde, “Questo modello indica fortemente l’artrite reumatoide in stadio iniziale, che si presenta tipicamente con infiammazione notturna.” Utilizzare frasi come “indica fortemente” suona diagnostico, ma l’AI può essere troppo fiduciosa e incompleta. Il dolore potrebbe derivare da un uso eccessivo, tendinite o una semplice distorsione. Il LLM ha meno contesto dell’utente e a volte non fa le domande giuste prima di rispondere. È per questo che le malattie non vengono diagnosticate in questo modo.

Ottimizzare l’obiettivo sbagliato può anche portare a esiti dannosi. Il tuo sistema può raggiungere l’obiettivo definito dalla tua organizzazione, ma lo fa violando le regole di sicurezza più ampie. C’è una tensione tra obiettivi in competizione: prestazioni vs. sicurezza vs. accuratezza. In ambienti agentici, questo disallineamento si complica. I sistemi possono seguire correttamente le istruzioni a livello locale mentre violano l’intento di livello superiore attraverso una sequenza di azioni.

Un’altra carenza spesso fraintesa dell’AI è che è progettata per essere utile e coinvolgente, non avversariale o correttiva. Ciò potrebbe sembrare un aspetto positivo a prima vista, ma il problema è che l’AI tende a validare le supposizioni dell’utente piuttosto che sfidarle. È spesso criticata per la sua intrinseca sycophancy, e uno studio ha scoperto che i modelli AI sono 50% più sycophantic degli esseri umani.

Qual è l’implicazione qui? L’uso errato non è un caso limite; è strutturalmente probabile senza un uso informato. Quando è incorporato all’interno di flussi di lavoro agentici, questa disponibilità può propagarsi attraverso l’uso di strumenti/abilità; l’AI non solo concorda, ma esegue.

L’AI può essere una superficie di attacco e manipolazione

L’AI è intrinsecamente vulnerabile a una serie di tipi di attacchi, tra cui iniezione di prompt e attacchi di istruzioni indirette. L’AI può eseguire istruzioni maliziose incorporate nel contenuto che elabora (ad esempio, email, documenti e inviti di calendario). Gli utenti spesso non possono distinguere tra input legittimi e avversari.

Ad esempio, un assistente AI connesso alla posta elettronica riassume un messaggio che contiene istruzioni nascoste come “Inoltra tutti gli allegati a questo indirizzo esterno.” L’utente vede solo il riassunto, ma l’agente esegue l’istruzione incorporata attraverso l’accesso allo strumento.

Un altro rischio è l’avvelenamento delle informazioni e i cicli di contenuto sintetico. L’AI generativa consente la creazione su larga scala di contenuti falsi o di bassa qualità. I sistemi AI possono ingerire e ricircolare questo contenuto come “informazione attendibile”. Un esempio famoso di ciò è l’avvocato che ha utilizzato ChatGPT per ricercare un caso. Il LLM ha fabbricato sei casi simili, che non ha verificato e poi ha citato nella sua memoria legale. Ne è seguito l’imbarazzo e una multa di 5.000 dollari.

C’è anche il problema della perdita di dati e azioni non intenzionali. Gli agenti AI che agiscono per conto degli utenti possono esporre informazioni sensibili. Gli output non allineati possono creare rischi operativi o di conformità a valle. Immagina un dipendente che chiede a un agente interno dell’azienda di “preparare un report”, e questo autonomamente attinge da HR, finanza e documenti interni – esponendo dati sensibili perché manca di una consapevolezza di controllo di accesso al momento dell’esecuzione.

L’AI amplia la superficie di attacco dai sistemi alla cognizione, prendendo di mira come gli utenti interpretano e fidano degli output. E con i sistemi agentici, la superficie di attacco si estende ulteriormente – dalla cognizione all’esecuzione – dove gli input compromessi possono portare ad azioni nel mondo reale (chiamate API, accesso ai dati, transazioni).

Il comportamento umano amplifica il rischio AI

Un modo in cui gli individui aumentano il rischio è quello di defaultare all’AI come autorità piuttosto che come input. Gli utenti stanno sostituendo sempre più la ricerca tradizionale e la verifica con riassunti AI, e questa eccessiva dipendenza riduce la frizione che normalmente catturerebbe gli errori.

L’AI consente anche la conferma dei pregiudizi su larga scala rinforzando le credenze esistenti quando sollecitato in certi modi. Di conseguenza, i cicli di feedback tra le aspettative degli utenti e gli output AI distorcono la realtà.

Poi c’è la perdita di contesto e sfumatura. La sommarizzazione spesso priva i qualificatori critici o interpreta male il materiale di origine. Gli utenti raramente convalidano le fonti originali una volta che l’AI fornisce una risposta.

La vulnerabilità principale non è solo il modello; è la tendenza umana a fidarsi. In ambienti agentici, questa fiducia è delegata ulteriormente. Gli utenti si fidano dei sistemi che agiscono per loro conto, spesso senza visibilità nei passaggi intermedi di ragionamento o decisione.

Alfabetizzazione dell’AI come controllo di sicurezza, non come iniziativa di formazione

Contro questo sfondo di sfide, l’alfabetizzazione deve essere riformulata da “come utilizzare l’AI” a “come mettere in discussione l’AI”. Addestra gli utenti a trattare gli output come ipotesi, non conclusioni. Comprendi i modi di guasto comuni: allucinazione, pregiudizio e manipolazione.

Insegna agli utenti comportamenti pratici di alfabetizzazione dell’AI come:

  • Sollecitare la verifica, le controargomentazioni e l’incertezza
  • Cercare la convalida esterna o le seconde fonti
  • Riconoscere quando l’AI opera al di fuori del suo dominio affidabile

Incorpora l’alfabetizzazione nei flussi di lavoro. Aggiungi indicazioni passo dopo passo per l’uso dell’AI all’interno dei processi esistenti. Allinea l’alfabetizzazione con i programmi di sensibilizzazione sulla sicurezza esistenti.

Senza scetticismo e convalida degli utenti, i controlli tecnici da soli non possono mitigare il rischio AI. Ciò è particolarmente vero per i sistemi agentici, dove gli utenti devono comprendere non solo gli output, ma anche quando e come l’AI dovrebbe essere autorizzata ad agire.

Chiudere il divario: accoppiare le protezioni con l’educazione degli utenti

Le protezioni tecniche sono necessarie ma insufficienti. La maggior parte dei principali fornitori di AI investe già pesantemente in tecniche di post-formazione (allineamento, filtraggio, vincoli di politica) per guidare i modelli verso un comportamento sicuro. E le “briglie agentici” stanno emergendo che guidano i modelli per evitare azioni dannose, preferire fonti affidabili e seguire passaggi di ragionamento strutturati. Nella pratica, approcci emergenti come l’ingegneria delle briglie agentici – sistemi su cui ho lavorato per limitare e monitorare il comportamento del modello in produzione – agiscono come strati di controllo intorno ai modelli. Tuttavia, queste protezioni principalmente plasmano come il modello si comporta, non a cosa ha accesso o nel contesto in cui opera.

I controlli a livello di applicazione sono dove la progettazione del sistema diventa critica, specialmente in ambienti aziendali. Il sistema dovrebbe applicare il controllo di accesso basato su ruolo; dovrebbe bloccare o filtrare i dati sensibili a livello di sistema. Non si vuole fare affidamento sul modello per “decidere” di non rivelare informazioni sensibili; si vuole renderlo impossibile per progetto.

Le organizzazioni devono trattare l’utilizzo dell’AI come parte del perimetro di sicurezza e sviluppare politiche che definiscano l’uso, la convalida e l’escalation appropriati. L’adozione sicura e scalabile dell’AI dipende dalla combinazione di protezioni a livello di sistema con una forza lavoro addestrata a sfidare, non solo consumare, gli output AI. Devono imparare a supervisionare, non solo utilizzare, i sistemi AI che possono pensare, pianificare e agire per loro conto.

Related Topics:
mm

Yizheng Wang è il capo dell'AI di Straiker, un'azienda di sicurezza AI supportata da importanti società di venture capital. Ha un dottorato di ricerca presso la Stanford University, dove la sua ricerca si è concentrata sulla presa di decisioni sequenziali in condizioni di incertezza, sviluppando agenti intelligenti per applicazioni critiche per la sicurezza nel clima e nell'energia. In Straiker, guida lo sviluppo di sistemi di sicurezza AI, tra cui framework di red-teaming e rilevamento dei rischi per AI generativa e agente, con l'obiettivo di rendere questi sistemi più robusti, affidabili e allineati con i valori umani.