نویسنده (ها): دکتری Pawel Rzeszucinski ،
در ابتدا منتشر شده در به سمت هوش مصنوعیبشر
از چه چیزی باید ترسید؟
ظهور ابزارهای قدرتمند AI در دسترس چیزی از انقلابی نبوده است. از ایجاد محتوا تا تولید کد ، این فناوری ها نوید می دهند که بهره وری زیادی را شارژ کنند و سطح جدیدی از نوآوری را باز کنند. اما با این قدرت باورنکردنی مسئولیت قابل توجهی به وجود می آید و رک و پوست کنده ، یک دوز سالم از خطر است.
وقایع اخیر این واقعیت را به تسکین شدید تبدیل کرده است. ظهور مدل های هوش مصنوعی رایگان و به راحتی در دسترس ، مانند Deepseek ، شمشیر دو لبه را ارائه می دهد. در حالی که قابلیت های چشمگیر را ارائه می دهد ، شیوه های جمع آوری داده های تهاجمی کاربر Deepseek [1]، همراه با شکست های آزمون امنیتی [2]، به عنوان یک هشدار واضح خدمت کنید. دیگر این مسئله نیست اگر هوش مصنوعی بر سازمان شما تأثیر خواهد گذاشت ، اما چقدر با خیال راحت این تصویب خواهد شد (با نام مستعار. چه میزان خسارت می تواند هنگام برخورد غیر مسئولانه انجام شود)بشر
در ملت، ما این تغییر را در اوایل تشخیص دادیم. ما فهمیدیم که به سادگی امیدواریم که کارمندان از AI با مسئولیت پذیری استفاده کنند ، یک استراتژی مناسب نبود. انطباق در عصر هوش مصنوعی فقط مربوط به جعبه های تیک زدن نیست. این در مورد محافظت از داده های شما ، محافظت از مالکیت معنوی شما و اطمینان از نوآوری مسئولانه است. با این متن فقط یکی دیگر از موارد نگرانی امنیتی داده های عمومی رفتار نکنید. مدل کسب و کار در پشت بسیاری رایگان وت دارای سطح پایین ابزارهای هوش مصنوعی تهدیدی خاص برای داده های شرکت و انطباق امنیت را به شما معرفی می کند.
بیایید عمیق تر بگوییم که چرا به سادگی “امید به استفاده مسئول” فقط ساده لوحانه نیست ، بلکه به طور بالقوه فاجعه بار است ، به خصوص هنگام در نظر گرفتن ماهیت داده گرسنه این سیستم عامل های هوش مصنوعی که به راحتی در دسترس است.
وقتی می گویم “انطباق در عصر هوش مصنوعی فقط مربوط به جعبه های تیک زدن نیست” ، به این دلیل است که خطرات بسیار ظریف تر و فراگیر تر از انطباق سنتی IT هستند. با استفاده از آن ابزارهای رایگان هوش مصنوعی ، ما فقط در مورد کاربران صحبت نمی کنیم که به طور تصادفی بدافزار را بارگیری می کنند یا پرونده ها را در شبکه های ناامن به اشتراک می گذارند. ما با سناریویی روبرو هستیم که در آن مدل تجاری اصلی از بسیاری از این سرویس های هوش مصنوعی به طور مستقیم به استفاده از ورودی های کاربر – از جمله داده های محرمانه شرکت شما – از آموزش و بهبود مدل های هوش مصنوعی خود ، گرفته تا استخراج بینش های استراتژیک معنی دار در مقیاس بزرگ (ملی) متکی است.
در مورد آن فکر کنید: این ابزارها اغلب با هزینه کم و بدون هزینه ارائه می شوند چون “پرداخت” در داده هایی است که شما ارائه می دهید. درخواست های شما ، ورودی های شما ، متنی که به آنها تغذیه می کنید ، کدی که از آنها می خواهید تجزیه و تحلیل کنید – همه اینها می تواند و اغلب به صراحت برای اصلاح و تقویت خود مدل AI و در آینده ، کم و بیش استفاده شود. صریحاً با انتشار مدل جدید در دسترس عموم قرار خواهد گرفت. این برخی از بند پنهان ها در حقوقی دفن شده اند. این اغلب در شرایط خدمات یا سیاست های حفظ حریم خصوصی کاملاً واضح بیان شده است.
حال ، بیایید باز کنیم که چرا این یک تهدید بزرگ برای داده های شرکت ، مالکیت معنوی و انطباق امنیت شما است:
- نشت داده ها و سرقت مالکیت معنوی: تصور کنید که یک کارمند از یک ابزار AI رایگان برای خلاصه کردن یک سند داخلی حساس استفاده می کند ، یک استراتژی محصول را تصفیه می کند ، کد اختصاصی اشکال زدایی یا – شایع ترین سناریو – ایمیل را بررسی کنید (حساس) برای سبک و دستور زبان. با این کار ، آنها به طور موثری اطلاعات بالقوه محرمانه را مستقیماً در سیستم ارائه دهنده هوش مصنوعی تغذیه می کنند. این داده ها بخشی از ارائه دهنده می شوند داده های آموزشمجموعه در حالی که آنها ممکن است آن را تا حدی ناشناس کنند ، خطر مفاهیم حساس ، رویکردهای منحصر به فرد و حتی قطعه های قابل شناسایی کد یا متن در مدل گنجانیده شده و به طور بالقوه در پاسخ به سایر کاربران ظاهر می شود. این یک نشت قابل توجه از مالکیت معنوی و مزیت رقابتی است.
- فرسایش محرمانه بودن و اسرار تجاری: داده های شرکت ، به ویژه اسرار تجاری و اطلاعات محرمانه در تجارت ، دارایی های قانونی محافظت می شوند. با وارد کردن این داده ها به ابزارهای هوش مصنوعی که از آن برای آموزش استفاده می کنند ، به طور حتم توافق های محرمانه بودن (صریح و ضمنی) و به خطر انداختن حمایت قانونی از اسرار تجاری خود را به خطر می اندازید. اگر یک رقیب بعداً از همان ابزار هوش مصنوعی استفاده کند و اتفاق می افتد که خروجی هایی را که منعکس کننده اطلاعات محرمانه شما است (حتی غیرمستقیم) دریافت می کند ، می تواند منجر به نبردهای قانونی و عواقب مالی قابل توجهی شود.
- نقض انطباق (GDPR ، CCPA و غیره): من احتمالاً باید با این نکته شروع کنم … بسیاری از مقررات مربوط به حفظ حریم خصوصی داده ها ، مانند GDPR و CCPA ، کنترل های دقیق را در مورد نحوه پردازش و به اشتراک گذاری داده های شخصی انجام می دهند. اگر کارمندان شما در حال وارد کردن هر نوع داده های شخصی – حتی به طور غیرمستقیم یا به صورت نام مستعار – در ابزارهای هوش مصنوعی هستند که از آن برای آموزش استفاده می کنند ، می توانید در نقض مستقیم این آیین نامه ها باشید. مجازات های قانونی و مالی برای عدم رعایت می تواند شدید باشد ، و به ذکر خسارت شهرت نیست. و عمل هوش مصنوعی تقریباً در گوشه و کنار است …
- آسیب پذیری های امنیتی: فراتر از نشت داده ها ، همان عمل ارسال داده های شرکت به سیستم عامل های بیرونی ، غالباً تحت فشار ، کمتر ، می تواند آسیب پذیری های امنیتی را معرفی کند. این سیستم عامل ها ممکن است پروتکل های امنیتی ضعیف تری نسبت به سیستم های داخلی شما داشته باشند ، و داده های شما را مستعد تر نقض یا حملات سایبری بیشتر از این خط می کند.
نکات فوق هیچ شوخی نیست. معرفی سیاست هوش مصنوعی در مورد خفه کردن نوآوری نیست – این در مورد ایجاد یک چارچوب برای ایمن و مولد فرزندخواندگی AI.
سیاست استفاده هوش مصنوعی
سیاست ما در حدود سه ستون اصلی است:
ستون 1: لیستی از ابزارهای تأیید شده AI
اولین قدم مهم تصدیق این است که همه ابزارهای AI به طور برابر ایجاد نمی شوند. در حالی که جذابیت جدیدترین پیشنهاد رایگان هوش مصنوعی قوی است ، نزدیک شدن به پذیرش با توجه دقیق ضروری است. سیاست ما توسط آغاز می شود به وضوح لیستی از ابزارهای هوش مصنوعی را صریحاً برای استفاده در شرکت تأیید کرده است.
چرا این خیلی مهم است؟
- امنیت و حریم خصوصی داده ها: همانطور که در مثال Deepseek برجسته شده است ، همه ارائه دهندگان AI امنیت داده های کاربر و حریم خصوصی را در اولویت قرار نمی دهند. با استفاده از ابزارها ، می توانیم سیستم عامل هایی را انتخاب کنیم که استانداردهای امنیتی دقیق ما را رعایت کرده و از مقررات مربوط به محافظت از داده ها (مانند GDPR ، CCPA و غیره) مطابقت داشته باشیم. واحدهای مهندسی و داده و هوش مصنوعی ، به همراه بخش حقوقی ما ، عواملی مانند رمزگذاری داده ها ، سیاست های حفظ داده ها و گواهینامه های امنیتی ارائه دهنده را ارزیابی کردند.
- عملکرد و نیازهای تجاری: هر ابزار هوش مصنوعی با هر نیاز تجاری هماهنگ نیست. لیست تأیید شده ما تضمین می کند که کارمندان به سمت ابزارهایی هدایت می شوند که نه تنها ایمن هستند بلکه واقعاً مفید هستند و به نقش خود نیز مرتبط هستند (به عنوان مثال GitHub Copilot فقط برای توسعه دهندگان نرم افزار). این مانع از گسترش سایه IT می شود و تضمین می کند که پذیرش AI توسط ارزش تجاری هدایت می شود ، نه فقط تازگی.
- مدیریت و پشتیبانی متمرکز: با تمرکز بر روی مجموعه ای از ابزارها ، سازمان می تواند مجوزها را به طور مؤثر مدیریت کند ، آموزش ارائه دهد و به هرگونه مسائل فنی که بوجود می آید ، پرداخت. این رویکرد ساده به مراتب کارآمدتر و امن تر از تلاش برای مدیریت منظره هرج و مرج از برنامه های هوش مصنوعی غیرقابل استفاده است.
ابزارهای AI با سایر ابزارهای نرم افزاری متفاوت نیستند و باید مطابق با سیاست های نرم افزاری مشابه رفتار شوندبشر شما به کارمندان اجازه نمی دهید بدون تأیید IT ، نرم افزاری را که در اینترنت پیدا کرده اند بارگیری و نصب کنند. این رویکرد سرپرستی کنترل را فراهم می کند و تضمین می کند که ابزارهای مورد استفاده ایمن ، قابل اعتماد و به جای اینکه از اهداف سازمانی جدا شوند ، به آنها کمک می کنند.
ستون 2: درک آنچه می تواند و نمی توان به اشتراک گذاشت
شاید مهمترین جنبه یک سیاست استفاده هوش مصنوعی روشن باشد چه داده هایی می توانند و نمی توانند با ابزارهای تأیید شده AI به اشتراک گذاشته شودبشر مدل های هوش مصنوعی از داده ها می آموزند ، و پیامدهای به اشتراک گذاری اطلاعات حساس یا محرمانه قابل توجه است.
سیاست ما صریحاً مرزهای به اشتراک گذاری داده ها را توضیح می دهد، ارائه دستورالعمل های واضح برای کارمندان. این ، از جمله موارد دیگر ، شامل:
- اطلاعات شناسایی شخصی (PII): تحت هیچ شرایطی نباید کارمندان PII مشتری ، کارمند PII یا هر داده دیگری را که می تواند برای شناسایی افراد دارای ابزار AI استفاده شود ، به اشتراک بگذارند. این مهم برای انطباق نظارتی و حفظ اعتماد مشتری است.
- اطلاعات تجاری محرمانه: اسرار تجاری ، داده های مالی ، برنامه های استراتژیک ، مالکیت معنوی و هرگونه اطلاعات تجاری محرمانه دیگر باید به شدت محافظت شود و هرگز با ابزارهای AI به اشتراک گذاشته نشود. این از مزیت رقابتی ما محافظت می کند و از نشت بالقوه داده ها به سیستم عامل های شخص ثالث جلوگیری می کند.
- داده های داخلی در مقابل خارجی: این خط مشی بین داده هایی که ممکن است به اشتراک گذاری مجاز باشند (به عنوان مثال ، اطلاعات در دسترس عموم ، مجموعه داده های ناشناس) و داده هایی که کاملاً خارج از محدوده هستند ، تمایز قایل است. این امر راهنمایی های ظریف را فراهم می کند و از محدودیت های گسترده ای که می تواند مانع موارد استفاده قانونی از هوش مصنوعی شود ، جلوگیری می کند.
به سادگی بیان این قوانین کافی نیست. ما به طور گسترده جزئیات سیاست AI را در طول شهرک ها ، همه دست های دپارتمان اعلام کردیم ، آنها در فضاهای تلاقی به راحتی قابل دسترسی ، همراه با مجموعه ای از دستورالعمل ها در مورد نحوه استفاده از آنها و جایی که می توانند به دنبال مطالب آموزشی اضافی باشند ، می نشینند.
ستون 3: فرآیندی برای درخواست ابزارهای جدید AI
نوآوری ثابت است ، به ویژه در زمینه در حال تحول سریع هوش مصنوعی. بنابراین ، یک سیاست استاتیک و انعطاف پذیر مقدر شده است که به سرعت منسوخ شود. خط مشی ما شامل یک فرایند روشن و ساختار یافته برای کارمندان برای درخواست اتخاذ ابزارهای جدید هوش مصنوعی است.
این فرآیند به گونه ای طراحی شده است که هم در دسترس و هم در دسترس باشد:
- کانال ارسال را پاک کنید: از طریق فرم آنلاین تعیین شده ، به کارمندان یک فرآیند ساده برای ارسال درخواست ارائه می شود. این تضمین می کند که درخواست ها به درستی ردیابی و بررسی شوند.
- بررسی فنی و حقوقی: هر درخواست توسط تیم های فنی و حقوقی مورد بررسی کاملی قرار می گیرد. بررسی فنی جنبه های امنیتی ، شیوه های انتقال داده ها و قابلیت های ادغام را ارزیابی می کند. بررسی حقوقی به بررسی رعایت مقررات مربوطه ، شرایط خدمات و خطرات حقوقی بالقوه مرتبط با ابزار می پردازد.
- به روزرسانی های خط مشی و ارتباطات: ابزارهای جدید تأیید شده به لیست رسمی تأیید شده اضافه می شوند و این خط مشی به طور مرتب به روز می شود و به همه کارمندان ابلاغ می شود. این امر این سیاست را مرتبط نگه می دارد و تضمین می کند که همه از دستورالعمل های فعلی آگاه هستند.
این فرایند به اصطلاح “نوآوری کنترل شده” را تقویت می کند. این امر به کارمندان این امکان را می دهد تا ضمن اطمینان از اینکه هرگونه فرزندخواندگی با دقت مورد بررسی قرار گرفته و با الزامات امنیت و انطباق سازمان ، با دقت مورد بررسی قرار گیرد ، ابزارهای جدید و ارزشمندی را پیشنهاد دهند. این در مورد پذیرش پیشرفت با مسئولیت پذیری است ، نه از ترس از تغییر.
نتیجه گیری
آیا می توانیم 100 ٪ انطباق را تضمین کنیم؟ واقع بینانه ، احتمالاً نه. به طور کامل جلوگیری از استفاده از ابزارهای تأیید نشده غیرممکن است. با این حال ، این به هیچ وجه ارزش عظیم داشتن یک سیاست استفاده از هوش مصنوعی قوی را کاهش نمی دهد.
با ارائه ابزارهای ایمن و تأیید شده ، به وضوح دستورالعمل های به اشتراک گذاری داده ها و ایجاد یک فرآیند درخواست شفاف ، ما خطرات مرتبط با تصویب AI کنترل نشده را به میزان قابل توجهی کاهش می دهیم. ما به کارمندان خود این امکان را می دهیم که ضمن محافظت از سازمان خود در برابر نقض امنیتی احتمالی ، بدهی های قانونی و خسارت های اعتباری ، از هوش مصنوعی و با مسئولیت پذیری استفاده کنند.
در عصر هوش مصنوعی آزاد و قدرتمند ، نارضایتی دیگر گزینه ای نیست. توسعه و اجرای یک جامع سیاست استفاده هوش مصنوعی فقط بهترین روش نیست ؛ این در حال تبدیل شدن به یک ضرورتبشر وقت آن است که هر سازمان با احتیاط ، دوراندیشی و تعهد روشن به نوآوری مسئول هوش مصنوعی ، از این مرز جدید حرکت کند. آینده کار توسط هوش مصنوعی شکل می گیرد و اطمینان حاصل می شود که آینده ایمن و اخلاقی با یک سیاست محکم امروز آغاز می شود.
منابع
[1] https://www.cnbc.com/2025/02/02/why-deleding-chinas-deepseek-ai-may-be-next-for-millions-ساند دسترسی به 05.02.2025
[2] https://www.wired.com/story/deepseeks-ai-jailbreak-prompt-trompt-injection-attacks/ دسترسی به 05.02.2025
منتشر شده از طریق به سمت هوش مصنوعی
