Lideri de opinie

Crearea de agenți AI de încredere prin design, nu prin accident

mm
Publicat
Actualizat
A photorealistic widescreen image of a compliance team overseeing an AI

Inteligența artificială agentică nu sosește cu fanfară, ci mai degrabă se strecoară în operațiunile zilnice. Sistemele care odinioară stăteau inerte, așteptând comenzi umane, acum iau inițiativa. Această evoluție se petrece deja în interiorul organizațiilor, dar discuția despre guvernanța AI rămâne blocată într-o eră anterioară. Legile și structurile noastre organizaționale nu au fost create având în vedere actori autonomi, non-umani. Pentru companiile supuse Regulamentului General privind Protecția Datelor (GDPR), aceasta nu este o preocupare teoretică, ci o provocare operațională vie — și se dezvoltă mai rapid decât majoritatea echipelor de conformitate pot gestiona confortabil.

Când instrumentele AI încep să vorbească înapoi

Atunci când se discută despre guvernanță, accentul se pune de obicei pe conformitate, managementul riscului și prevenirea prejudiciilor. Deși acestea sunt foarte importante, ele au fost create pentru o lume în care IA era în mare măsură statică: antrenată, testată, lansată și monitorizată pe cicluri previzibile.

Cu agenții IA fiind integrați în procesele de luare a deciziilor, provocarea centrală devine mai mult despre comportament și încredere. Executivii trebuie să se întrebe, “cum putem asigura că sistemele capabile să acționeze pot fi, de asemenea, de încredere?” Încrederea este o alegere de design care trebuie făcută în mod deliberat, nu inginerită prin convingere. Organizațiile care urmează ghidurile GDPR înțeleg că conformitatea este critică și are consecințe legale.

Trei moduri în care IA agentică rupe prezumțiile GDPR de astăzi

Atunci când GDPR a fost proiectat, nu a fost scris pentru agenți autonomi. Cu toate acestea, trei dintre principiile de bază ale GDPR — limitarea scopului, minimizarea datelor, transparența și răspunderea — sunt critice. IA agentică afectează fiecare în moduri noi, și există trei domenii cheie care trebuie abordate.

Primul risc este modul în care un agent IA “gândește” o sarcină. În loc să ruleze un singur proces fix, îl împarte în multe pași mici, adesea apelând unelte externe, extrăgând din baze de date, făcând presupuneri și manipulând date personale pe parcurs. Multe dintre acestea se întâmplă în afara vizibilității. Stabilirea exactă a datelor utilizate, la ce pas și din ce motiv este dificil de făcut în practică — și totuși, acesta este exact tipul de transparență și răspundere pe care GDPR o așteaptă.

Al doilea risc este modul în care agenții utilizează memoria. Ei pot păstra date personale în memoria pe termen scurt în timp ce finalizează o sarcină și în memoria pe termen lung de-a lungul mai multor sesiuni. Dacă această memorie nu este separată cu atenție, informațiile dintr-o interacțiune a unei persoane pot fi transferate într-o altă interacțiune. Dacă nu se impun limite clare de retenție, datele personale pot rămâne mult timp după ce ar fi trebuit să fi fost șterse. Sub dreptul la ștergerea datelor din GDPR, acest lucru devine foarte dificil de gestionat atunci când datele sunt îngropate în memoria unui agent, mai degrabă decât să stea într-o bază de date pe care echipa dvs. de confidențialitate o poate găsi și interoga ușor.

Al treilea risc este injecția de prompt — în esență, păcălirea agentului. Atunci când un agent citește documente, navighează pe internet sau procesează mesaje intrări, conținutul malign din aceste surse poate prelua comportamentul său, îl poate determina să divulge date personale sau să efectueze acțiuni pe care organizația nu le-a aprobat. Acesta este un model de atac cunoscut, specific sistemelor agențice. Acest lucru înseamnă că puteți suferi o încălcare a datelor, nu pentru că sistemele dvs. de bază au fost compromise, ci pentru că agentul dvs. IA a întâlnit conținut ostil în timp ce își făcea treaba — și, sub GDPR, sunteți totuși responsabili.

Construirea unei încrederi autentice, nu doar a unei interfețe prietenoase

Este important să înțelegem că există o diferență între încrederea inginerită și încrederea câștigată. Încrederea inginerită poate ajuta la convingerea utilizatorilor asupra unui punct cheie, de obicei prin încadrare emoțională, semne antropomorfice sau design persuasiv.

Cu toate acestea, încrederea durabilă se referă la sisteme care se comportă în moduri pe care oamenii le pot înțelege, anticipa și evalua. Raționamentul, limitele și intențiile agentului sunt legitime. Acesta este preconditionarea pentru proiectarea conformă cu GDPR, unde transparența trebuie să fie semnificativă.

Ce înseamnă, de fapt, Stiva de Încredere?

O strategie pentru organizații este de a utiliza o stivă de încredere stratificată. Acest lucru înseamnă că fiecare strat face clară răspunderea între oameni și mașini.

  • Căi de raționament clare: Agentul ar trebui să poată explica cum și de ce a produs un anumit rezultat — nu cu detalii tehnice profunde, ci într-un mod pe care îl puteți urma și verifica. Acest lucru se aliniază cu regulile de transparență ale GDPR și cu dreptul la explicații pentru deciziile automate în conformitate cu Articolul 22.
  • Limite clare de putere: Trebuie să existe limite ferme cu privire la ceea ce agentul este autorizat să facă, să decidă sau să recomande. Nicio extindere tăcută a libertății sale în timp. Pentru scopurile GDPR, acest lucru înseamnă că oamenii iau încă deciziile; agentul este un instrument, nu controlorul.
  • Obiective deschise: Obiectivele agentului trebuie să fie declarate în mod deschis. Oamenii ar trebui să știe dacă optimizează pentru acuratețe, siguranță, viteză sau câștig comercial — și acel obiectiv trebuie să fie scris și înțeles.
  • Buton de provocare și oprire ușoară: Oamenii ar trebui să poată pune sub semn de întrebare, corecta sau dezactiva deciziile agentului fără fricțiuni. O modalitate simplă de a renunța este esențială pentru încredere — și, conform Articolului 22, este, de asemenea, o cerință legală.
  • Guvernanță încorporată: Înregistrarea, verificările, controlul memoriei și supravegherea trebuie să fie integrate în sistem încă de la început, nu adăugate ulterior. Proiectarea bazată pe confidențialitate nu este opțională; este structura de bază care face ca totul să funcționeze.

Utilizarea Stivei de Încredere face autonomia sigură pentru scalare.

Când guvernanța întâlnește experiența din lumea reală

Guvernanța nu se referă doar la reguli și procese. Se referă și la modul în care sistemele se simt pentru oamenii care le folosesc. Oamenii au nevoie să se simtă că încă au control. Ei au nevoie să vadă când IA acționează, să înțeleagă de ce face ceva și să știe cum să intervină atunci când ar trebui să se oprească.

Sistemele care îndeplinesc cutia de conformitate, dar par a fi cutii negre, pierd încrederea rapid. Acest lucru necesită alegeri de design foarte deliberate: fără semnale umanoide care sugerează empatie sau judecată morală pe care sistemul nu o are; semnale clare atunci când IA este nesigură sau limitată; și nicio ajustare a experienței pentru a crea dependență emoțională.

Liderii ar trebui să meargă dincolo de a întreba “Este AI-ul nostru responsabil?” Un set mai bun de întrebări este: “Ce comportamente va face acest sistem normal? Ce va împinge oamenii departe de el în mod tăcut? Cum va modela judecata în timp — și suntem pregătiți să răspundem pentru asta?”

mm

Ivana Bartoletti este Global Chief Privacy and AI Governance Officer la Wipro, o companie de servicii și consultanță tehnologică lider în domeniul inteligenței artificiale. Un lider de gândire recunoscut la nivel internațional în domeniul confidențialității, guvernanței inteligenței artificiale și tehnologiei responsabile, Ivana servește ca expert pentru Consiliul Europei, unde a co-autorizat un studiu crucial care examinează impactul inteligenței artificiale asupra egalității de gen.