Lãnh đạo tư tưởng

Tạo dựng các đại lý AI đáng tin cậy bằng thiết kế, không phải bằng tai nạn

mm
Đã xuất bản
Đã cập nhật
A photorealistic widescreen image of a compliance team overseeing an AI

Trí tuệ nhân tạo đại lý không đến với sự hoành tráng mà đang dần thâm nhập vào các hoạt động hàng ngày. Các hệ thống trước đây chỉ ngồi chờ đợi các tín hiệu từ con người, giờ đã chủ động thực hiện các hành động. Sự tiến hóa này đã đang xảy ra trong các tổ chức, nhưng cuộc trò chuyện về quản trị AI vẫn còn bị kẹt lại trong một thời đại trước đây. Các luật và cấu trúc tổ chức của chúng ta không được xây dựng với các tác nhân tự động, phi con người. Đối với các công ty chịu sự điều chỉnh của GDPR, đây không phải là một vấn đề lý thuyết mà là một thách thức hoạt động trực tiếp — và nó đang tiến triển nhanh hơn so với hầu hết các đội ngũ tuân thủ có thể xử lý một cách thoải mái.

Khi các công cụ AI bắt đầu phản hồi

Khi thảo luận về quản trị, trọng tâm thường tập trung vào việc tuân thủ, quản lý rủi ro và ngăn chặn thiệt hại. Mặc dù những điều này rất quan trọng, nhưng chúng được xây dựng cho một thế giới nơi AI chủ yếu là tĩnh: được đào tạo, thử nghiệm, phát hành và theo dõi trên các chu kỳ dự đoán.

Với việc các đại lý AI được tích hợp vào các quy trình ra quyết định, thách thức trung tâm hiện nay trở nên nhiều hơn về hành vi và niềm tin. Các nhà lãnh đạo phải tự hỏi mình, “Làm thế nào chúng ta có thể đảm bảo rằng các hệ thống có khả năng hành động cũng có thể được tin cậy?” Niềm tin là một lựa chọn thiết kế phải được thực hiện một cách có chủ ý, không phải được thiết kế thông qua thuyết phục. Các tổ chức tuân theo các hướng dẫn GDPR hiểu rằng việc tuân thủ là rất quan trọng và mang lại hậu quả pháp lý.

Three cách đại lý AI phá vỡ các giả định GDPR hiện tại

Khi GDPR được thiết kế, nó không được viết cho các đại lý tự động. Tuy nhiên, ba nguyên tắc cốt lõi của GDPR — giới hạn mục đích, tối ưu hóa dữ liệu, minh bạch và trách nhiệm — là rất quan trọng. Đại lý AI tác động đến mỗi cách mới, và có ba lĩnh vực chính cần được giải quyết.

Rủi ro đầu tiên là cách một đại lý AI “tư duy” về một nhiệm vụ. Thay vì chạy một quá trình cố định, nó chia nhỏ công việc thành nhiều bước nhỏ, thường gọi các công cụ bên ngoài, kéo từ cơ sở dữ liệu, đưa ra giả định và xử lý dữ liệu cá nhân trên đường đi. Phần lớn điều này xảy ra ngoài tầm nhìn. Việc xác định chính xác dữ liệu nào được sử dụng, tại bước nào và vì lý do gì là khó khăn trong thực tế — nhưng đó chính là loại minh bạch và trách nhiệm mà GDPR mong đợi.

Rủi ro thứ hai là cách các đại lý sử dụng bộ nhớ. Chúng có thể giữ dữ liệu cá nhân trong bộ nhớ ngắn hạn khi hoàn thành một nhiệm vụ và trong bộ nhớ dài hạn trên nhiều phiên. Nếu bộ nhớ đó không được tách biệt rõ ràng, thông tin từ một lần tương tác có thể rò rỉ vào lần khác. Nếu bạn không áp dụng các giới hạn giữ lại rõ ràng, dữ liệu cá nhân có thể tồn tại lâu sau khi nó nên đã bị xóa. Theo quyền xóa bỏ của GDPR, điều này trở nên rất khó quản lý khi dữ liệu bị chôn trong bộ nhớ của đại lý, thay vì nằm trong cơ sở dữ liệu mà nhóm bảo mật của bạn có thể dễ dàng tìm và truy vấn.

Rủi ro thứ ba là tiêm lệnh — về cơ bản, đánh lừa đại lý. Khi một đại lý đọc tài liệu, duyệt web hoặc xử lý tin nhắn đến, nội dung độc hại trong những nguồn đó có thể chiếm quyền kiểm soát hành vi của nó, khiến nó rò rỉ dữ liệu cá nhân hoặc thực hiện các hành động mà tổ chức không phê duyệt. Đây là một mẫu tấn công được biết đến cụ thể cho các hệ thống đại lý. Nó có nghĩa bạn có thể gặp phải vi phạm dữ liệu không phải vì hệ thống cốt lõi của bạn bị tấn công, mà vì đại lý AI của bạn đã gặp phải nội dung thù địch khi thực hiện công việc của nó — và theo GDPR, bạn vẫn chịu trách nhiệm.

Xây dựng niềm tin thực sự, không chỉ là giao diện thân thiện

Điều quan trọng là phải hiểu rằng có sự khác biệt giữa niềm tin được thiết kế và niềm tin được kiếm được. Niềm tin được thiết kế có thể giúp thuyết phục người dùng về một điểm quan trọng, thường thông qua phản chiếu cảm xúc, tín hiệu giống con người hoặc thiết kế thuyết phục.

Tuy nhiên, niềm tin bền vững là về các hệ thống hành xử theo cách con người có thể hiểu, dự đoán và đánh giá. Lý do, giới hạn và ý định của đại lý là hợp pháp. Đây là điều kiện tiên quyết cho thiết kế tuân thủ GDPR, nơi minh bạch phải có ý nghĩa.

Trust Stack thực sự có nghĩa là gì?

Một chiến lược cho các tổ chức là sử dụng một chồng niềm tin phân lớp. Điều này có nghĩa là mỗi lớp làm rõ trách nhiệm giữa con người và máy móc.

  • Đường dẫn lý do rõ ràng: Đại lý nên có thể giải thích cách và tại sao nó tạo ra một kết quả — không với chi tiết kỹ thuật sâu, nhưng theo cách bạn có thể theo dõi và kiểm tra. Điều này phù hợp với các quy tắc minh bạch của GDPR và quyền giải thích cho các quyết định tự động theo Điều 22.
  • Giới hạn rõ ràng về quyền lực: Phải có ranh giới rõ ràng xung quanh những gì đại lý được phép làm, quyết định hoặc đề xuất. Không có sự mở rộng âm thầm về quyền tự do của nó theo thời gian. Đối với mục đích GDPR, điều này có nghĩa là con người vẫn đưa ra quyết định; đại lý là một công cụ, không phải là người kiểm soát.
  • Mục tiêu mở: Mục tiêu của đại lý phải được tuyên bố rõ ràng. Người dùng nên biết liệu nó có tối ưu hóa cho độ chính xác, an toàn, tốc độ hay lợi ích thương mại — và mục tiêu đó cần được viết xuống và hiểu.
  • Nút thách thức và dừng dễ dàng: Người dùng phải có thể đặt câu hỏi, sửa đổi hoặc tắt các quyết định của đại lý mà không gặp trở ngại. Một cách đơn giản để chọn không tham gia là điều cần thiết cho niềm tin — và theo Điều 22, nó cũng là một yêu cầu pháp lý.
  • Quản trị tích hợp: Lưu trữ, kiểm tra, kiểm soát bộ nhớ và giám sát cần được tích hợp vào hệ thống từ ngày đầu tiên, không phải được thêm vào sau. Thiết kế bảo mật là không thể thiếu; nó là cấu trúc cơ bản giúp mọi thứ khác hoạt động.

Sử dụng Trust Stack giúp tự động hóa trở nên an toàn khi mở rộng quy mô.

Khi quản trị gặp kinh nghiệm thực tế

Quản trị không chỉ là về các quy tắc và quy trình. Nó cũng là về cách các hệ thống cảm nhận đối với những người sử dụng chúng. Người dùng cần cảm thấy họ vẫn kiểm soát được. Họ cần thấy khi nào AI đang hoạt động, hiểu tại sao nó đang thực hiện một hành động và biết cách can thiệp khi nó nên dừng lại.

Các hệ thống chỉ tick vào ô tuân thủ nhưng cảm giác như một hộp đen sẽ mất niềm tin nhanh chóng. Điều đó đòi hỏi những lựa chọn thiết kế rất có chủ ý: không có tín hiệu giống con người gợi ý sự đồng cảm hoặc phán xét đạo đức mà hệ thống không có; tín hiệu rõ ràng khi AI không chắc chắn hoặc bị giới hạn; và không điều chỉnh trải nghiệm để tạo ra sự phụ thuộc vào cảm xúc.

Các nhà lãnh đạo nên đi vượt qua việc hỏi, “Liệu AI của chúng tôi có trách nhiệm không?” Một bộ câu hỏi tốt hơn là: “Những hành vi nào hệ thống này sẽ khiến trở nên bình thường? Điều gì nó sẽ âm thầm đẩy mọi người tránh xa? Nó sẽ định hình phán xét như thế nào theo thời gian — và chúng tôi đã sẵn sàng trả lời cho điều đó chưa?”

mm

Ivana Bartoletti là Giám đốc Quyền riêng tư và Quản trị Trí tuệ nhân tạo Toàn cầu tại Wipro, một công ty dịch vụ và tư vấn công nghệ hàng đầu được hỗ trợ bởi Trí tuệ nhân tạo. Là một nhà lãnh đạo tư tưởng được công nhận trên toàn thế giới trong lĩnh vực quyền riêng tư, quản trị Trí tuệ nhân tạo và công nghệ có trách nhiệm, Ivana phục vụ như một chuyên gia cho Hội đồng Châu Âu, nơi cô đã đồng tác giả một nghiên cứu quan trọng về tác động của Trí tuệ nhân tạo đối với bình đẳng giới.