随着公司扩大对人工智能的使用,揭示了隐藏的治理危机 – 为一些安全计划做好了准备:不拥有的人工智能代理人的兴起。
这些药物不是猜测。它已经是通过机构的生态系统构建的,可以为访问,实施实施,开始工作流程任务甚至重要的业务决策提供访问。它在售票系统,协调工具,SaaS平台和安全操作的幕后工作。但是,许多组织对基本治理问题没有明确的答案:谁有这个代理?您可以触摸哪些系统?您做出什么决定?积累了什么访问?
这是盲点。在身份安全方面,没有人有最大的危险。
从固定的文本程序到自适应因素
从历史上看,非人类的身份,例如服务帐户,文本程序和机器人,具有可预测的和可预测的。她已经设置了紧密的角色并紧密地进入范围,从而通过旧受控元素(例如旋转认证数据和菜单)变得相对容易。
但是代理AI提供了不同类别的身份。这些是学习,思想和独立行动的适当和连续的数字参与者。他们的行为比机器更像是员工 – 能够解释数据,启动过程并随着时间的流逝而发展。
尽管进行了这种转变,但许多组织仍在尝试通过旧模型来控制这些人工智能身份。这种方法还不够。人工智能代理人不会遵循固定的播放书。它适应了放心的功能,其设计的限制扩展了。这种流动性需要一种新的身份治理模型 – 植根于问责制,行为控制和对生命周期的监督。
所有权是控制其他控件起作用的控制
在大多数身份计划中,所有权被用作管理定义数据。但是,在人工智能代理商方面,所有权不是可选的。这是提供问责制和安全的基础控制。
没有明确的特定属性,关键功能崩溃了。好处没有审查。行为未受到监控。生命周期的边界被忽略。如果发生事故,没有人负责。如果没有人对身份行动负责,则在纸上看起来很强的安全控制在实践中变得毫无意义。
所有权必须被激活。这意味着任命一个人道主义主持人,要求大赦国际的身份 – 一个了解代理人的目的,访问权限,行为和影响力的人。所有权是自动化与问责制之间的桥梁。
现实世界中歧义的危险
风险不是抽象的。我们已经在现实世界中看到了示例,这些例子在客户支持环境中的人工智能代理显示出意外的行为产生了致幻响应,琐碎的问题升级或使用品牌指南不兼容的输出。在这些情况下,系统按预期运行;问题是解释性的,而不是一种技术。
这些情况最危险的方面是缺乏明确的责任。当没有人对人工智能代理人的决定负责时,组织不仅是出于运营风险,而且要出于声誉和组织后果。
这不是流氓人工智能的问题。这是一个不需要的身份问题。
伪造共同责任
几个机构正在努力假设可以在团队中处理人工智能的所有权 – DevOps将管理服务帐户,工程将纪念集成,并且基础架构将发表出版。
人工智能代理人不仅限于一个团队。它是由SaaS平台发布的开发人员创建的,从事人力资源和安全数据以及通过业务部门的工作流程的效果。这种多功能的存在创造了传播和政府,并传播到失败。
联合财产通常转化为任何财产。人工智能代理需要明确的问责制。一个人应命名和负责 – 不是技术联系,而是作为操作控制的所有者。
沉默的让步,累积的风险
人工智能代理是一个独特的挑战,因为它们的风险指纹随着时间的流逝而悄悄地扩展。它通常是使用狭窄的范围推出的 – 它可能涉及提供帐户或总结支持票 – 但它们的到来往往会增长。额外的集成,新的培训数据和更广泛的目标…并且没有人停止评估这种扩展是合理的还是观察者。
这种无声的漂移很危险。人工智能的代理不仅具有特权,而且还具有练习。当没有人审查的系统做出到达决策时,不兼容或滥用的可能性会大大增加。
这相当于雇用承包商,使他们可以广泛使用建筑物,而不是进行绩效审查。随着时间的流逝,该承包商可能会开始更改公司的政策或不应该达成的触摸系统。区别是:人类雇员有经理。大多数人工智能代理都没有。
组织期望正在发展
最初从安全差距开始的是迅速成为合规性的问题。监管框架从欧盟法律符合当地法律,该法律管理机械决定 – 贝gan要求跟踪,解释和人类对人工智能系统的控制。
这些期望是所有权的直接地图。机构必须能够向那些同意出版代理人,管理其行为以及在受到伤害或虐待时负责的人。没有指定的所有者,该机构不仅可能面临运营曝光,而且可以被忽略。
负责任判断的模型
人工智能代理的管理有效意味着将它们集成到身份和当前到达的框架中,并与杰出用户相同的严格性。这包括:
- 任命一个呼吁国际大赦的身份的人
- 监视漂移迹象的行为,特许权的升级或异常措施
- 生命周期政策执行,有效期,定期审查和选择激励措施
- 检查控制门中所有权的有效性,例如入职,更改政策或调整访问权限
这些不仅是最佳实践 – 这是必需的做法。所有者应作为直接控制表面处理,而不是选择框。
您在他拥有它之前拥有它
人工智能代理已经在这里。它包含在您的工作流程,数据分析,决策和处置中,并增加了独立性。如果您使用人工智能代理商,则不再是问题。你。问题是您的治理模型是否发现了它们。
这条道路始于所有权。没有它,其他每个控制都将成为化妆品。但是,组织为安全,安全地遵守风险的容忍度安全地扩展人工智能所需的基础。
如果我们没有代表我们有效的人工智能的身份,那么我们有效地投降了。在网络安全方面,控制就是一切。
Rosario MastrogiaComo是备用的首席战略官员。通过在身份安全,杰出的访问管理和身份治理方面的丰富经验,其作用涉及制定战略并指导机构建立强大的网络安全。
它专门用于清洁身份,利用AI驱动技术来大规模自动化和安全身份。他的专业旅程包括在著名的金融机构中的领导角色,例如巴克莱,雷曼兄弟和纽布林·伯曼(Newbring Berman),因为他在非常复杂的环境中提高了自己的技能。
