Generative AI – סיכונים ובקרות

Generative AI הינו תת-ענף של הבינה המלאכותית המתמקד ביצירת תוכן חדש וייחודי כגון תמונות, טקסט או אפילו מוזיקה, המושג באמצעות שימוש באלגוריתמים מתקדמים המנתחים תבניות ודפוסים המופיעים בנתונים קיימים, ומייצרים תוכן חדש הדומה מאוד למקור. למרות שברור שטכנולוגיה זו מאפשרת יעילות מוגברת, יש גם כמה סיכונים שיש לקחת בחשבון. 

אילו סיכונים ובקרות חברות שמאמצות בינה מלאכותית צריכות לקחת בחשבון?

הונאה

אין ספק שלמודלים בסיסיים, כגון משפחת מודלי GPT (למשל chatGPT) ו-BARD, קיים פוטנציאל להאיץ את הקצב שבו חברות יכולות לחקור, לייצר ולתעד תוכן. עם זאת, היכולות של מודלים אלה ואחרים יכולים להיות מנוצלים לרעה על ידי אלה המבקשים לבצע הונאה, כמו לדוגמה זיוף חשבוניות, עסקאות או אפילו תמיכה בפיתוח זהויות מזויפות. חברות המסתמכות על מידע המתקבל מצדדים שלישיים כדי לתמוך בהחלטות עסקיות (למשל מגזר הביטוח או ההלוואות) צריכות לשקול אם יש להן מספיק בקרות כדי לזהות אם הראיות שסופקו הן אמיתיות.

מוניטין

מערכות Generative AI רבות טרם שילבו כללי אתיקה בתהליך קבלת ההחלטות שלהן בעוד שתוצאותיהן נשענות על נתונים על פיהם הן אומנו. דבר זה עלול לגרום לכך שמערכות אלה יפעלו באופן בלתי צפוי, כולל הפקת תוצרים שאינם תואמים לעקרונות האתיים של הארגון עצמו. על חברות לבחון את מידת השקיפות אליה הן חשופות בכל הנוגע ל-Training Data – נתוני הקלט בהם נעשה שימוש בתהליך הכשרת המודל, וכן לבחון את רמת הבדיקות שנערכו במטרה לזיהוי בעיות אפשריות כגון הטיה או אפליה. 

פיננסי

יותר ויותר מוסדות פיננסיים כבר אימצו אלגוריתמים ומודלים של למידת מכונה במטרה לתמוך בקבלת החלטות בעולמות המסחר, ההשקעות והאשראי. ככל שחברות שוקלות אימוץ של טכנולוגיית ה-Generative AI, קיים סיכון גדול יותר שפגמים שלא זוהו ו/או נתונים לקויים יובילו להפסדים כספיים. כדי לצמצם סיכון זה חשוב לוודא שמערכות ה-AI נבדקות בהרחבה לפני עלייתן לאוויר וכן לשקול את הצורך בפיקוח אנושי באזורים בעלי סיכון גבוה יותר. על חברות לשקול גם הקמת בקרות ניטור ומתן התראות במטרה לזהות מקרים בהם המערכות פועלות לא כפי שצופה מהן במקור.

רגולטורי

לאחרונה חלה עלייה בפעילות של ממשלות וגופים רגולטוריים המתמקדים בהבטחת קיום מבני ראוי של משילות (governance) ובקרות בכל הנוגע לבינה מלאכותית, כך למשל כיום ישנן מספר מדינות האוסרות בהחלט שימוש בטכנולוגיות Generative AI מסוימות. אי עמידה בדרישות אלו עלולה לחשוף חברות לקנסות רגולטוריים (למשל קנס של 10% מההכנסה הכוללת שיחול במסגרת החוק המוצע ע"י ה-EU AI Act). חברות צריכות לשקול אם הפיתוח או השימוש שלהן בטכנולוגיית ה-Generative AI נכנסות תחת היקף הדרישות החדשות וכן להחיל תוכניות עבודה מתאימות כדי להבטיח שהן מוכנות לרגולציה.

פרטיות וטכנולוגיה

סימני שאלה וחששות משמעותיים קיימים סביב נוכחותם של נתונים רגישים ומידע אישי במערכי הנתונים המשמשים לאימון מערכות ה-Generative AI. חוסר שקיפות סביב הנתונים שנאספו, המטרה ואופן השימוש בהם צפוי להעלות את רמות הסיכון עבור חברות המעורבות בפיתוח מערכות בינה מלאכותית או שימוש בתוצאותיהן. חברות יצטרכו לשקול כיצד לנווט בזהירות בין האתגרים הדינמיים הללו תוך יישום בקרות גישה הקריטיות בניהול פרטיות הנתונים, כולל יישום של הנחיות חדשות לגבי שמירת נתונים וזכויות גישה למידע הנוגע לבקשות המבוצעות באמצעות מערכת ה-Generative AI. יתר על כן, יש להקדיש תשומת לב לחוסן וכושר ההתאוששות (resilience) של הטכנולוגיה ותשתיות הענן, במיוחד עבור ארגונים עם מספר רב של עובדים ו/או לקוחות המאמצים Generative AI.Generative AI יכול גם ליצור דרכים חדשות דרכם יכולים להיווצר סיכוני אבטחת סייבר ושימושים זדוניים שקשה לחזות מראש. לדוגמא, Generative AI מהווה סיכון למערכות אבטחה ביומטריות, כגון זיהוי פנים.

משפטי

בתקופה האחרונה, סוגיית הבעלות המשפטית הנוגעת לתוכן שנוצר על ידי Generative AI עוררה דיונים רבים. חוקים ופרשנויות יכולים להשתנות בין תחומי שיפוט שונים, מה שמחייב חברות להעריך את היקף זכויות הקניין הרוחני שלהן על כל תוכן שהופק. התקשרות מוקדמת עם מומחים משפטיים תפחית את הסיכון לסכסוכים ומחלוקות פוטנציאליות עתידיות בנושא זה. בנוסף, חברות צריכות לזהות באופן יזום כל סיכוני ליטיגציה נוכחיים או עתידיים הקשורים לשימוש בטכנולוגיית AI זו, לרבות ההנחיה EU AI Liability Directive המוצעת.

איך מאמצים טכנולוגיות Generative AI על אף הסיכונים?

מערכות Generative AI הן מורכבות מטבען וניהול יעיל של הסיכונים הפוטנציאליים הגלומות בהן עשוי להיות מאתגר. להלן מספר נקודות חשובות שחברות צריכות לקחת בחשבון ככל שהשימוש ב-Generative AI הופך נפוץ יותר:

∙ יש לזהות היכן נעשה שימוש ב-Generative AI באופן פנימי או ע"י צדדים שלישיים כגון לקוחות, ספקים או בעלי עניין עיקריים אחרים. 

∙ יש לקבוע האם טכנולוגיה זו מציגה סיכונים חדשים או מצטברים ו/או מחויבויות רגולטוריות לחברה.

∙ יש להגדיר את תאבון הסיכון של החברה לאימוץ Generative AI ולגבש מדיניות ונהלים קשורים.

∙ יש להעריך את השלמות וההלימה של תכנון הבקרות הקיימות וכן לקבוע האם קיים צורך ביישום מדיניות ונהלים משלימים נוספים.

∙ יש לתקן את כל פערי הבקרה שזוהו כדי להבטיח שהסיכונים הקשורים ב-Generative AI הופחתו כראוי. 

קישור למאמר באנגלית

 _{Generative AI - Risk and control considerations for firms | Deloitte UK}