(SeaPRwire) – กรอบการกำกับดูแลที่ผู้บริหารสร้างขึ้นมาหลายทศวรรษ ได้รับการออกแบบมาสำหรับบุคคล เอเจนต์ AI ไม่ใช่บุคคล และช่องว่างระหว่างข้อเท็จจริงทั้งสองนี้เป็นจุดที่ความเสี่ยงขององค์กรกำลังสะสมอย่างเร็วที่สุดในขณะนี้
ในช่วงปีที่ผ่านมา องค์กรต่างๆ ต้องเผชิญกับข้อเท็จจริงที่ว่า AI ถูกนำมาใช้งานเร็วกว่าที่จะสามารถกำกับดูแลได้ การใช้ shadow AI ที่เพิ่มมากขึ้นกำลังเปิดเผยช่องว่างเกี่ยวกับว่าใคร หรืออะไร อนุญาตให้ดำเนินการได้ งานวิจัยล่าสุดของเราแสดงให้เห็นว่า 91% ขององค์กรกำลังใช้งานเอเจนต์ AI อยู่แล้ว แต่มีเพียง 10% เท่านั้นที่มีกลยุทธ์ที่ชัดเจนในการจัดการเอเจนต์เหล่านี้
ขณะนี้เอเจนต์ AI เป็นผู้ปฏิบัติงานที่ทำงานด้วยตนเองโดยไม่ต้องมีผู้จัดการคนคอยนำทาง
ตัวกระทำดิจิทัลอัตโนมัติเหล่านี้สามารถวิเคราะห์ข้อมูล เริ่มต้นขั้นตอนการทำงาน และดำเนินการภายในองค์กรได้ แต่ในขณะที่ประโยชน์ด้านความเร็ว ขนาดการทำงาน และผลผลิตเป็นสิ่งที่เห็นได้ง่าย การเปลี่ยนแปลงด้านอำนาจหน้าที่กลับเป็นสิ่งที่มองเห็นได้ชัดเจนน้อยกว่า
ภัยคุกคามที่แท้จริงในการนำ AI ไปใช้ในองค์กรไม่ใช่ระดับความฉลาดของเอเจนต์ แต่เป็นปริมาณอำนาจหน้าที่ที่ผู้บริหารมอบหมายให้พวกเขา นั่นคือสิทธิในการตัดสินใจ และสิ่งที่จะเกิดขึ้นเมื่ออำนาจหน้าที่ถูกมอบหมายให้กับระบบที่องค์กรไม่สามารถมองเห็นได้อย่างสมบูรณ์ ไม่ต้องพูดถึงการควบคุม
ในที่สุด ความเสี่ยงไม่ได้อยู่ที่เอเจนต์ AI จะทำงานด้วยเจตนาร้าย แต่กลับอยู่ที่พวกเขาจะทำงานตรงตามที่ตั้งค่าไว้ ในระบบที่ไม่เคยถูกออกแบบมาเพื่อพิจารณาตัวตนที่ไม่ใช่มนุษย์
มานานหลายปีแล้วที่บริษัทต่างๆ สร้างแบบจำลองความปลอดภัยโดยมีพนักงานเป็นศูนย์กลาง พนักงานถูกว่าจ้าง ได้รับข้อมูลประจำตัว เพื่อการตรวจสอบ ติดตามการทำงาน และในที่สุดก็ถูกยกเลิกสิทธิ์การเข้าถึงเมื่อเลิกงาน การจัดการตัวตนทำให้สิ่งเหล่านี้เป็นไปได้: เป็นวิธีที่องค์กรตรวจสอบว่าพนักงานเป็นใคร สามารถเชื่อมต่อกับอะไรได้บ้าง และได้รับอนุญาตให้ทำอะไรได้บ้าง
เอเจนต์ AI ทำลายแบบจำลองดังกล่าว พวกเขาไม่ได้ลงชื่อเข้าใช้งานตอน 9 โมงเช้าและลงชื่อออกตอน 5 โมงเย็น พวกเขาทำงานต่อเนื่องข้ามระบบหลายระบบและสภาพแวดล้อมคลาวด์ สามารถดึงข้อมูลที่ละเอียดอ่อน เริ่มต้นกระบวนการทางการเงิน หรือตัดสินใจที่ส่งผลต่อลูกค้าได้ในไม่กี่วินาที
อย่างไรก็ตาม องค์กรขนาดใหญ่ยังคงปฏิบัติต่อเอเจนต์เหล่านี้เหมือนซอฟต์แวร์ในเบื้องหลัง แทนที่จะเป็นผู้ปฏิบัติงานที่มีอำนาจหน้าที่จริง
งานวิจัยล่าสุดจาก Gravitee แพลตฟอร์มจัดการ API พบว่ามีเพียง 22% ขององค์กรที่ปฏิบัติต่อเอเจนต์ AI เป็นตัวตนอิสระ แม้ว่าจะมีบริษัทเกือบ 90% รายงานว่าเคยมีเหตุการณ์ด้านความปลอดภัยที่สงสัยหรือยืนยันแล้วที่เกี่ยวข้องกับเอเจนต์ AI
พิจารณาสถานการณ์ที่พบบ่อย: บริษัทแห่งหนึ่งนำเอเจนต์ AI ภายในองค์กรมาใช้เพื่อปรับปรุงประสิทธิภาพการจัดการด้านพนักงาน พนักงานคนหนึ่งขอให้เอเจนต์ยื่นใบลา อัปเดตข้อมูลเงินเดือน และแจ้งให้ผู้จัดการของท่านทราบ เอเจนต์จะเชื่อมต่อกับระบบทรัพยากรบุคคล แพลตฟอร์มการเงิน และเครื่องมือทำงานร่วมกันโดยอัตโนมัติเพื่อทำคำขอให้เสร็จสมบูรณ์
ลองคิดดูว่าเอเจนต์ต้องเข้าถึงระบบกี่ระบบเพื่อทำคำขอให้เสร็จสมบูรณ์ พวกเขามีสิทธิ์การเข้าถึงอะไรบ้าง? กำลังใช้จุดเชื่อมต่ออะไรบ้าง หรืออาจจะทิ้งจุดเชื่อมต่อเหล่านี้เปิดอยู่? จะเกิดอะไรขึ้นหากมีอะไรผิดพลาด?
ผลประโยชน์ด้านประสิทธิภาพเป็นสิ่งที่แท้จริง แต่ถ้าแต่ละขั้นตอนไม่ได้รับการกำกับดูแลด้วยการควบคุมตัวตนที่ชัดเจน บริษัทอาจจะไม่ทราบอย่างแน่นอนว่าได้มอบอำนาจหน้าที่อะไรไปบ้าง และจะแทรกแซงได้อย่างไรเมื่อเกิดปัญหา
นี่คือเหตุผลที่ช่องว่างด้านตัวตนเป็นปัญหาของฝ่ายบริหาร ไม่ใช่แค่ปัญหาทางเทคนิค
แบบจำลองการเข้าถึงแบบเดิมคาดว่าบทบาทจะค่อนข้างคงที่และพฤติกรรมของมนุษย์สามารถคาดเดาได้ แต่เอเจนต์ AI ทำงานผ่านงานที่เปลี่ยนแปลงได้ตลอดเวลาและอำนาจหน้าที่ที่ได้รับมอบหมาย พวกเขาอาจต้องใช้สิทธิ์การเข้าถึงชั่วคราวที่ระบุอย่างเฉพาะเจาะจงสูงเพื่อทำการกระทำเพียงครั้งเดียว แล้วจึงย้ายไปยังขั้นตอนการทำงานถัดไปทันที
ถ้าไม่มีความสามารถในการตรวจสอบและอนุญาตแต่ละขั้นตอนอย่างต่อเนื่อง องค์กรก็เสี่ยงต่อการสะสมของตัวกระทำที่ไม่ใช่มนุษย์จำนวนมากขึ้นที่มีสิทธิ์การเข้าถึงที่กว้างและคงอยู่ – ซึ่งในหลายกรณีไม่เคยมีการมอบสิทธิ์โดยเจตนา – ไปยังระบบที่สำคัญ
ตอนนี้เราเห็นสิ่งนี้กำลังเกิดขึ้นแล้ว ในขณะที่องค์กรต่างๆ เริ่มผลักดันโค้ดที่สร้างโดย AI และการกระทำอัตโนมัติเข้าสู่สภาพแวดล้อมการใช้งานจริง ซึ่งมักจะเร็วกว่าแบบจำลองการกำกับดูแลที่จะทันตามได้ เหตุการณ์ล่าสุด เช่น การละเมิดข้อมูลแชทบอทของ McDonald’s ที่การควบคุมที่อ่อนแอทำให้ข้อมูลผู้สมัครงานหลายล้านรายถูกเปิดเผย หรือเมื่อเอเจนต์ AI เขียนโค้ดที่ Replit ลบฐานข้อมูลการใช้งานจริง แสดงให้เห็นว่าช่องว่างเหล่านี้สามารถกลายเป็นภัยพิบัติในโลกจริงได้เร็วเพียงใด
เอเจนต์ AI ที่ตั้งค่าไว้เพื่อเพิ่มประสิทธิภาพการตัดสินใจด้านห่วงโซ่อุปทาน อาจกระตุ้นให้มีการสัญญาซื้อสินค้าขนาดใหญ่ เอเจนต์บริการลูกค้าอาจเปิดเผยข้อมูลบัญชีที่ละเอียดอ่อน เอเจนต์รายงานทางการเงินอาจกระจายข้อมูลที่ละเอียดอ่อนจากหลายแหล่งไปยังกลุ่มคนจำนวนมาก
กรณีเหล่านี้ทั้งหมดเกิดจากการควบคุมอำนาจอัตโนมัติที่ไม่ดีพอ
หน่วยงานกำกับดูแลกำลังเริ่มลงมือทำงาน ในหลายตลาดเช่นสิงคโปร์และออสเตรเลีย ผู้กำกับนโยบายกำลังเน้นย้ำว่า องค์กรมีความรับผิดชอบต่อระบบอัตโนมัติของตน
สิ่งนี้สร้างความท้าทายด้านการปฏิบัติตามกฎหมายให้กับผู้นำธุรกิจ คุณจะพิสูจน์ได้อย่างไรว่าระบบใครเป็นผู้เริ่มต้นการตัดสินใจ? คุณจะแสดงได้อย่างไรว่าสิทธิ์การเข้าถึงนั้นเหมาะสมในช่วงเวลาที่มีการกระทำ? คุณจะหยุดชะงักหรือเพิกถอนอำนาจหน้าที่ได้อย่างไรหากเอเจนต์ทำงานผิดปกติที่ไม่คาดคิด?
เพื่อให้เอเจนต์ AI มีความปลอดภัย องค์กรต้องสามารถตอบคำถามพื้นฐานสามข้อได้: เอเจนต์ของฉันอยู่ที่ไหน สามารถเชื่อมต่อกับอะไรได้บ้าง และได้รับอนุญาตให้ทำอะไรได้บ้าง?
โชคดีที่บริษัทไม่ต้องคิดวิธีใหม่ๆ ทั้งหมด พวกเขามีแนวปฏิบัติที่จำเป็นในการจัดการเอเจนต์ AI อยู่แล้ว: ผู้บริหารเพียงแค่ต้องปฏิบัติต่อพวกเขาในลักษณะเดียวกับที่ปฏิบัติต่อพนักงานคนโดยประมาณ
ในทางปฏิบัติ หมายความว่าการนำวินัยด้านความปลอดภัยของแรงงานที่มีอยู่แล้วไปใช้กับบริบทการปฏิบัติงานใหม่ องค์กรต้องการการจัดการวงจรชีวิตสำหรับเอเจนต์ ต้องกำหนดขอบเขตและระยะเวลาของสิทธิ์การเข้าถึงของพวกเขา ติดตามกิจกรรมอย่างต่อเนื่อง และต้องมีการขออนุมัติเพิ่มเติมสำหรับการกระทำที่มีความเสี่ยงสูง แทนที่จะให้สิทธิ์การเข้าถึงที่กว้างและมีอายุยาวนาน เอเจนต์ควรทำงานด้วยข้อมูลประจำตัวที่ออกให้ทันทีตามความต้องการ (just-in-time credentials) ที่ผูกกับงานเฉพาะงาน
องค์กรที่ประสบความสำเร็จในการนำ AI ไปใช้ จะไม่ใช่องค์กรที่นำ AI ไปใช้มากที่สุด หรือแม้แต่ใช้ AI ที่ฉลาดที่สุด แต่จะเป็นองค์กรที่นำ AI ไปใช้ด้วยความชัดเจนว่าใครได้รับอนุญาตให้ดำเนินการ และมีวิธีที่เชื่อถือได้ในการพิสูจน์สิ่งนั้น นี่คือวิธีที่จะเปลี่ยน AI จากการทดลอง – หรือความเสี่ยง – ให้กลายเป็นสินทรัพย์ที่แท้จริงขององค์กร
บทความนี้ให้บริการโดยผู้ให้บริการเนื้อหาภายนอก SeaPRwire (https://www.seaprwire.com/) ไม่ได้ให้การรับประกันหรือแถลงการณ์ใดๆ ที่เกี่ยวข้องกับบทความนี้
หมวดหมู่: ข่าวสําคัญ ข่าวประจําวัน
SeaPRwire จัดส่งข่าวประชาสัมพันธ์สดให้กับบริษัทและสถาบัน โดยมียอดการเข้าถึงสื่อกว่า 6,500 แห่ง 86,000 บรรณาธิการและนักข่าว และเดสก์ท็อปอาชีพ 3.5 ล้านเครื่องทั่ว 90 ประเทศ SeaPRwire รองรับการเผยแพร่ข่าวประชาสัมพันธ์เป็นภาษาอังกฤษ เกาหลี ญี่ปุ่น อาหรับ จีนตัวย่อ จีนตัวเต็ม เวียดนาม ไทย อินโดนีเซีย มาเลเซีย เยอรมัน รัสเซีย ฝรั่งเศส สเปน โปรตุเกส และภาษาอื่นๆ