أثبت الذكاء الاصطناعي التوليدي (GenAI) أنه قوة دافعة للتغيير، أحدثت نقلة نوعية هائلة على مستوى العالم. فمن خلال الاستفادة من تقنيات التعلم العميق، تستطيع نماذج اللغة الضخمة (LLMs)، وهي فرع من فروع الذكاء الاصطناعي التوليدي، تحليل كميات هائلة من مجموعات البيانات والأنماط لإنتاج أفكار جديدة، وخوارزميات معقدة، وإبداعات فنية، وحلول مبتكرة. مع ذلك، دفعت هذه التقنية الثورية 93% من مديري أمن المعلومات (CISOs) إلى إعادة النظر في "مستقبلهم كمديري أمن معلومات"، كما كشف أحدث استطلاع للرأي.
يُعدّ الذكاء الاصطناعي العام تقنية رائدة، ولذا فإنّ المخاطر المرتبطة به غير مسبوقة. ولا تُصمّم استراتيجيات الأمن السيبراني التقليدية لمواجهة هذا النوع الجديد من المخاطر، مثل الحقن الفوري، والسمية، والهلوسة، وتسميم البيانات، وسرقة النماذج. لذلك، يجب على مسؤولي أمن المعلومات إعادة النظر في نهجهم لتأمين أنظمة الذكاء الاصطناعي الخاصة بهم من أجل استخدام أكثر أمانًا ومسؤولية لهذه التقنية.
الذكاء الاصطناعي: سلاح ذو حدين، ينطوي على مخاطر حقيقية وإمكانية إساءة الاستخدام
على الصعيد العالمي، تتبنى المؤسسات نماذج التعلم المعزز بوتيرة متسارعة لدعم تطبيقات الذكاء الاصطناعي من الجيل الجديد، مثل أنظمة الذكاء الاصطناعي المساعدة، والتحليلات، وأدوات أتمتة الأعمال. ومع ذلك، وعلى الرغم من جاذبية هذه النماذج، فإنها تُثير مجموعة جديدة من المخاطر الجسيمة المتعلقة بالأمن والخصوصية والأخلاقيات والحوكمة والامتثال. فعلى سبيل المثال، قد تُفضّل تقنية الذكاء الاصطناعي المُطوّرة والمُستخدمة لأغراض التوظيف، دون قصد، فئة ديموغرافية على أخرى، مما يُؤدي إلى تضارب خطير في الأخلاقيات ويُعطي انطباعًا سلبيًا لدى العالم.
قد تُستخدم أنظمة إدارة التعلم الآلي التي يتم تطويرها ونشرها واستخدامها دون سياسات وضوابط مناسبة لأغراض غير قانونية وغير أخلاقية، مثل:
- الوصول غير المصرح به إلى المعلومات الشخصية الحساسة للأفراد دون موافقة.
- المراقبة الجماعية غير المصرح بها.
- التزييف العميق للشخصيات الشهيرة، مثل السياسيين أو المحسنين أو المشاهير.
- انتهاك غير مقصود للبيانات الشخصية أو البيانات الشخصية الحساسة للأفراد.
- الترويج للتحيزات أو الأحكام المسبقة أو العنصرية على نطاق واسع.
تلعب أطر إدارة مخاطر الذكاء الاصطناعي هنا دورًا مهمًا في إدارة وتخفيف النتائج غير المرغوب فيها الناتجة عن تطبيقات الذكاء الاصطناعي من الجيل الأول.
تطبيق إطار عمل إدارة مخاطر الذكاء الاصطناعي لإدارة التعقيدات
تُمكّن أطر إدارة مخاطر الذكاء الاصطناعي، مثل إطار إدارة مخاطر الذكاء الاصطناعي التابع للمعهد الوطني للمعايير والتكنولوجيا (NIST)، المؤسسات من تحديد وتقييم وتخفيف مخاطر الأمن والخصوصية والأخلاقيات والامتثال الموجودة في أنظمة الذكاء الاصطناعي طوال دورة حياتها لضمان تطويرها ونشرها واستخدامها بشكل آمن.
يتضمن الإطار النموذجي الخطوات الحاسمة التالية التي يجب على الشركات مراعاتها للتخفيف من المخاطر التي تشكلها أنظمة الذكاء الاصطناعي بشكل فعال.
تعريف
من الضروري تحديد الغرض من نظام الذكاء الاصطناعي وكيفية انتقال البيانات بين الأنظمة ومعالجتها. وبالمثل، في هذه المرحلة، يجب على المؤسسة تحديد الجهات المعنية، والجهات الفاعلة في مجال الذكاء الاصطناعي، والقوانين والمعايير المختلفة المتعلقة بالبيانات والذكاء الاصطناعي. وبناءً على نتائج التحليل، يمكن للشركات تحديد المخاطر المرتبطة بالبيانات وأنظمة الذكاء الاصطناعي، مثل مخاطر الامتثال التي تختلف باختلاف الاختصاص القضائي.
تقييم أو تحليل المخاطر
في المرحلة الثانية، يتعين على الشركات تحديد درجة أو فئة للمخاطر التي قد تُسبب أو يُحتمل أن تُسبب ضررًا للفرد. على سبيل المثال، اعتمد قانون الاتحاد الأوروبي للذكاء الاصطناعي (قانون الذكاء الاصطناعي للاتحاد الأوروبي) الفئات التالية للمخاطر المرتبطة بالذكاء الاصطناعي: غير مقبولة، عالية، متوسطة، ومنخفضة. وبعبارة أخرى، يُمكن تصنيف أي نظام ذكاء اصطناعي يُمكن أن يُسبب أو يُحتمل أن يُسبب تهديدًا واضحًا لصحة وسلامة أو حقوق الإنسان الأساسية كنظام عالي المخاطر.
تحديد استجابة المخاطر
كما يوحي الاسم، تتضمن هذه الخطوة تحديد تدابير التخفيف اللازمة للاستجابة للمخاطر المحددة. وقد تختلف هذه التدابير تبعًا لدرجة أو مستوى المخاطر. يمكن التخفيف من حدة بعض المخاطر من خلال تطبيق ضوابط مناسبة، مثل تطبيق سياسات إخفاء البيانات الديناميكية عند مشاركة البيانات. مع ذلك، قد تتطلب بعض المخاطر تدابير أكثر تعقيدًا، حيث قد يلزم الاستعانة بخدمة أو حل من طرف ثالث أكثر كفاءة.
تطبيق إجراءات التحكم في المخاطر:
في هذه الخطوة، تتبنى الفرق وتنفذ الإجراءات، كالسياسات والضوابط، التي حُددت في الخطوة السابقة. قد تكون هذه الضوابط فنية أو إدارية، بناءً على مستوى المخاطر. على سبيل المثال، يمكن أن تكون بروتوكولات التوعية بالبيانات إجراءً فعالاً للاستجابة للمخاطر المرتبطة بالتحيزات.
المراقبة والإشراف
إن تقييم مخاطر الذكاء الاصطناعي ليس مهمة لمرة واحدة. في الواقع، يتطلب الأمر مراقبة مستمرة لبيئة الذكاء الاصطناعي مع إضافة المزيد من الأنظمة والتطبيقات إلى البيئة بشكل متقطع، مما يؤدي إلى ظهور المزيد من المخاطر.
ضع في اعتبارك اتباع نهج من خمس خطوات لتقليل المخاطر من خلال AI Governance
قد ينظر مسؤولو أمن المعلومات في الخطوات الأساسية الخمس التالية للتخفيف من المخاطر وضمان الاستخدام الأخلاقي والآمن للذكاء الاصطناعي.
اكتشف نماذج الذكاء الاصطناعي وفهرسها
لحماية أنظمة التعلم الآلي وتطبيقات الذكاء الاصطناعي وبياناتها، يجب أن تمتلك الشركات نظرة شاملة على بيئة الذكاء الاصطناعي لديها، بما في ذلك نماذج الذكاء الاصطناعي (المعتمدة وغير المعتمدة) الموجودة، وأهدافها، وخصائصها، ومجموعات بيانات التدريب الخاصة بها، وتفاعلاتها مع النماذج الأخرى أو مع البيانات نفسها. وبفضل فهرس شامل لجميع البيانات الوصفية الغنية المتعلقة ببياناتها وتطبيقات الذكاء الاصطناعي، تستطيع الشركات تحسين الشفافية والحوكمة بكفاءة.
تقييم المخاطر وتصنيف نماذج الذكاء الاصطناعي
في هذه الخطوة، يتعين على الشركات تقييم المخاطر المرتبطة بنماذج الذكاء الاصطناعي الخاصة بها طوال دورة حياتها، بدءًا من مرحلة التطوير وحتى ما بعد التطوير. وبناءً على مدى خطورة المخاطر واللوائح العالمية، يمكن للشركات تصنيف نماذجها وبياناتها وفقًا لذلك. كما يمكن للشركات الاستفادة من القوالب الجاهزة لنماذج الذكاء الاصطناعي الشائعة لتحديد المخاطر الشائعة، مثل حقن الذكاء الاصطناعي الفوري، والسمية، والهلوسة، وكشف المعلومات الحساسة، وغيرها من التهديدات المذكورة في قائمة OWASP لأهم 10 مخاطر لتطبيقات إدارة التعلم .
رسم خرائط ورصد البيانات + تدفقات الذكاء الاصطناعي
من الضروري فهم تدفق البيانات والذكاء الاصطناعي، إذ تتعدد حالات تدفق البيانات داخل وخارج أنظمة الذكاء الاصطناعي، كالتدريب والضبط أو الإخراج استجابةً لمدخلات محددة. ومن خلال ربط نماذج التعلم الآلي أو أنظمة الذكاء الاصطناعي بأنشطة معالجة البيانات، ومصادر البيانات ذات الصلة، والالتزامات التنظيمية، والموردين، تستطيع الشركات اكتساب فهم شامل وفعّال لنماذج وأنظمة الذكاء الاصطناعي الخاصة بها.
تطبيق ضوابط البيانات والذكاء الاصطناعي لضمان الخصوصية والأمان والامتثال
في هذه الخطوة، ينبغي على الشركات تطبيق ضوابط أمنية وخصوصية وامتثال مناسبة لضمان حماية البيانات وسريتها. يجب وضع ضوابط مثل إخفاء هوية البيانات، وتنقيح البيانات الحساسة، وجدران الحماية الخاصة بإدارة دورة حياة التطبيقات (LLM) لحماية تفاعلات إدارة دورة حياة التطبيقات ومنع تسريب البيانات الحساسة أو استخدامها الداخلي الضار.
الامتثال للوائح
تخضع أنظمة الذكاء الاصطناعي التي تستخدم بيانات شخصية أو حساسة لقوانين ومعايير إقليمية وعالمية تتعلق بالبيانات والذكاء الاصطناعي. ويُعدّ الامتثال لهذه القوانين دليلاً على التطوير والاستخدام الأخلاقي والآمن لتقنيات إدارة دورة حياة التطبيقات (LLM) من قِبل المؤسسة. لذا، يجب على الشركات البدء بتحديد قوانين البيانات والذكاء الاصطناعي المعمول بها، وإجراء تقييمات للاستعداد لتقييم وضعها الحالي فيما يتعلق بالامتثال، والحدّ من مخاطر عدم الامتثال.
الشركات التي تنجح في تنفيذ هذه الخطوات الخمس -
- سيكتسبون شفافية كاملة في أنظمة الذكاء الاصطناعي الخاصة بهم، مما يمنحهم فهمًا أعمق وتحكمًا أكبر في كيفية عملها
- سيوفر ذلك رؤية واضحة لوعيهم بمخاطر الذكاء الاصطناعي، مما يمكنهم من تحديد المخاطر المحتملة والتخفيف منها بشكل فعال
- سيحقق ذلك وضوحاً بشأن معالجة بيانات الذكاء الاصطناعي، مما يضمن أن تكون معالجة البيانات فعالة وأخلاقية ومتوافقة مع اللوائح.
- سوف تحمي تقنياتها من سوء الاستخدام ونقاط الضعف من خلال بناء حماية كافية حول نماذج الذكاء الاصطناعي وأنظمة التفاعل
- سيستفيد من سهولة التنقل في المشهد المتطور باستمرار للامتثال التنظيمي للذكاء الاصطناعي، والبقاء متقدماً على المتطلبات القانونية والأخلاقية.
عزز الأمان إلى أقصى حد باستخدام أدوات التحكم المتقدمة وجدران الحماية من إدارة دورة حياة المنتج
تعتمد الشركات تقنيات الذكاء الاصطناعي من الجيل الأول (GenAI) لتشغيل تطبيقات المحادثة الحديثة. مع ذلك، يجب تقييم هذه المحادثات متعددة اللغات بشكل فوري للكشف عن أي استخدام ضار، أو رسائل مزعجة، أو ردود متحيزة. هنا، توفر جدران الحماية الخاصة بإدارة اللغات المتعددة (LLM) طبقة إضافية من الأمان، مما يضمن بقاء تفاعل البيانات مع أنظمة الذكاء الاصطناعي الداخلية أو العامة أو التجارية آمنًا ومتوافقًا مع المعايير. يمكن لمسؤولي أمن المعلومات (CISOs) استخدام جدران الحماية هذه لحماية تفاعلات الذكاء الاصطناعي في حالات الرسائل والردود، بالإضافة إلى حماية بيانات الاسترجاع. على سبيل المثال:
جدار الحماية الفوري
في هذه الحالة، يقوم جدار الحماية بفحص مطالبات المستخدم لتحديد السلوك غير الطبيعي والمطالبات الضارة. كما يساعد في تحديد المعلومات الحساسة وإخفائها، ويمنع أي محاولات لكسر حماية النظام.
جدار الحماية للاسترجاع
في هذا التفاعل، يراقب جدار الحماية البيانات التي يتم استرجاعها أثناء عملية توليد البيانات المعززة (RAG) ويتحكم بها. ويضمن الامتثال للمواضيع والإرشادات، وتنقيح البيانات الحساسة، ومنع الحقن الفوري.
جدار الحماية للاستجابة
في هذه الحالة، يقوم جدار الحماية بفحص الاستجابات التي تم إنشاؤها بواسطة LLM، مما يضمن تنقيح أي معلومات حساسة وتجنب المحتوى السام أو المواضيع المحظورة.
احمِ بياناتك في أي مكان مع GenAI Anywhere
إن تفعيل أمن الذكاء الاصطناعي وحوكمته ليس مجرد ضرورة تنظيمية، بل هو ميزة استراتيجية. فمن خلال تبني الخطوات الموضحة، تستطيع المؤسسات ضمان الشفافية الكاملة، ورفع مستوى الوعي بالمخاطر، ووضوح معالجة بيانات الذكاء الاصطناعي، إلى جانب توفير حماية قوية لنماذج الذكاء الاصطناعي وتفاعلاتها.
بحلول عام 2026، ستشهد المؤسسات التي تُفعّل الشفافية والثقة والأمان في مجال الذكاء الاصطناعي تحسناً بنسبة 50% في نماذج الذكاء الاصطناعي الخاصة بها من حيث التبني، وتحقيق أهداف العمل، وقبول المستخدمين. - غارتنر
يُحوّل تبني AI governance الالتزامات التنظيمية إلى فرص نمو، مما يعزز المكاسب المالية، ويحسن السمعة، ويسهل اتخاذ القرارات المستنيرة. هذا التحول من الامتثال إلى الميزة الاستراتيجية يؤكد أهمية دمج أمن الذكاء الاصطناعي وحوكمته في صميم عمليات أعمالك.
احمِ ذكاءك الاصطناعي وأطلق العنان لإمكانياته مع Securiti 's AI Security & Governance اطلب عرضًا تجريبيًا لترى كيف يمكن لحلنا أن يساعدك في رحلتك نحو AI governance .
