人工智慧供應鏈:多數董事會忽視的治理缺口
您的 AI 系統不僅僅是您的 AI
當組織部署一套具有自主行為能力的 AI 系統時,通常會部署由多個方所建構的複雜組件集合:來自某供應商的基础模型、來自另一供應商的部署框架、第三方資料來源、外部 API、預訓練的專用模型、軟體函式庫以及雲端基礎設施。這些組件各自都可能帶來潛在風險——而部署該系統的組織,無論各組件源自何處,最終都須對整體的綜合風險負責。
這就是人工智慧供應鏈治理所面臨的挑戰,而加州大學柏克萊分校的「代理式人工智慧風險管理標準規範」已將此列為 NIST 人工智慧風險管理框架(AI RMF)中「治理」功能下的高優先級領域。對大多數組織而言,這代表其現行人工智慧治理框架的涵蓋範圍與實際人工智慧風險暴露範圍之間存在著顯著差距。
供應鏈涵蓋哪些內容
這份來自柏克萊的研究論文,參考了 Sheh 和 Geappen 的研究成果,指出人工智慧供應鏈涵蓋以下要素:用於訓練和微調模型的數據;模型本身;用於部署和協調模型的軟體框架與函式庫;模型運行的雲端基礎設施;代理程式可存取的第三方 API 和工具;以及部署系統所互動的任何外部代理程式或代理系統。
這條供應鏈的每一層都可能成為風險來源。訓練資料可能會在模型行為中引入偏見、漏洞或有害內容。 來自外部供應商的預訓練模型,其功能、限制或對齊特性可能未被充分披露或理解。軟體函式庫可能存在安全漏洞。外部 API 可能以導致代理程式誤判其輸出結果的方式變更資料格式或行為。而在多代理架構中日益普遍的第三方代理程式,其帶來的風險則取決於開發組織的治理標準。
NIST AI RMF 第 6 章與 ISO 42001 的回應
NIST 人工智慧風險管理框架(AI RMF)在「治理 6」(Govern 6)章節中探討了供應鏈治理,該章節要求制定相關政策與程序,以應對源自第三方軟體、數據及其他供應鏈問題所引發的人工智慧風險與效益。 柏克萊大學論文針對「治理 6.1」的指引十分具體:針對具自主行為的人工智慧,其治理機制必須考量與外部主體互動所衍生的風險,且監督範圍不得僅限於個別主體的行為,而必須監控該主體與外部自主系統及工具互動時的運作狀態與安全性。
ISO 42001 為落實這些要求提供了管理系統的框架。 第 8 條(營運規劃與控制)要求針對規劃階段所識別的風險實施控制措施,就供應鏈風險而言,這意味著:對人工智慧系統中使用的所有第三方元件進行文件化的評估;制定包含人工智慧特定風險考量在內的供應商與元件選定標準;持續監控第三方元件,以察覺可能影響系統行為或風險概況的變更;以及制定應對供應鏈事件的程序,包括元件漏洞或供應商失效。
人工智慧物料清單
伯克利大學的論文中,針對供應鏈透明度所建議的實用治理工具之一,便是「人工智慧物料清單」(AIBOM)——這是一份關於用於建構、訓練、測試及部署人工智慧系統之組件的正式紀錄,其設計理念源自現今已廣泛應用於軟體安全治理的「軟體物料清單」(SBOM)概念。
透過 AIBOM,組織能夠了解其 AI 系統的組成結構,評估各組件的風險概況,並在需要處理影響某個組件的漏洞或事件時,能有效率地對所有依賴該組件的系統採取應對措施。若缺乏 AIBOM,組織便是在「摸著石頭過河」地管理 AI 供應鏈風險——直到後果顯現之前,他們可能都無法得知哪些系統受到常用模型或函式庫中已公開漏洞的影響。
對於要求提供人工智慧治理成熟度證明之董事會而言,針對每項重大人工智慧部署要求提交一份《人工智慧治理成熟度報告》(AIBOM),是一個合理且務實的起點。
智慧財產權與自主行動
人工智慧供應鏈治理中常被忽視的一環,便是智慧財產權風險。具備代理能力的 AI 系統在自主運作時,可能會採取侵犯第三方智慧財產權的行為——例如複製受版權保護的內容、在訓練或微調過程中使用專有資料,或是產生包含受保護素材的輸出結果,卻未標示來源或取得授權。
伯克利大學的研究報告建議實施內容過濾機制以降低此風險,並對那些能持續從環境中學習的系統保持特別謹慎。對於內容密集型產業(如媒體、出版、研究及專業服務)的組織而言,此風險值得進行明確的風險評估並制定書面控制措施。
監控供應鏈變動
柏克萊大學的論文針對 Govern 1.5 提出的指引,列舉了若干應觸發對風險管理計畫進行全面重新評估的事件,包括整合新的供應鏈組件、移除現有組件,以及供應鏈中實體的變更。這是一項治理要求,目前鮮有組織將其納入其人工智慧運作流程中。
實際上,這意味著必須建立一套監控流程,用以追蹤已部署人工智慧系統供應鏈中的重大變更——例如模型更新、API 變更、基礎設施變更,以及新的第三方整合——並在這些變更發生時觸發風險評估流程。若缺乏此類機制,組織可能會發現,六個月前已部署並完成評估的人工智慧系統,其實已悄然發生了某些變更,導致先前的風險評估失效。
一個切實可行的起點
對於希望將人工智慧供應鏈治理列為近期優先事項的高階管理團隊而言,有三個步驟值得立即著手。首先,針對每項重大的人工智慧部署,進行供應鏈盤點,詳細記錄所有組件、其來源及存取權限。其次,評估現有的供應商風險管理流程是否足以涵蓋人工智慧特有的供應鏈風險,包括模型漏洞、資料來源追溯性及自主行動風險。第三,建立一套流程,用以監控供應鏈中的重大變動,並在變動發生時觸發風險評估。
人工智慧供應鏈並非僅是技術問題,不應完全交由資訊科技與採購部門處理。這是一項涉及企業層級風險的治理議題。董事會若能將其視為治理議題,將更能有效管理此項事務。
相關框架:NIST AI RMF(Govern 6、Govern 1.5)| ISO 42001 第 6.1、8.4、8 條 | 柏克萊代理式人工智慧規範:Govern 6.1、Govern 1.5