ระบุอันตรายที่อาจเกิดขึ้น
ขั้นตอนแรกในกระบวนการ AI สร้างสรรค์ที่รับผิดชอบคือการระบุอันตรายที่อาจเกิดขึ้นซึ่งอาจส่งผลต่อโซลูชันที่วางแผนไว้ของคุณ มีสี่ขั้นตอนในลำดับขั้นนี้ ดังที่แสดงไว้ที่นี่:
- ระบุอันตรายที่อาจเกิดขึ้น
- จัดลำดับความสำคัญของอันตรายที่ระบุ
- ทดสอบและตรวจสอบอันตรายที่จัดลำดับความสำคัญ
- จัดทำเอกสารและแบ่งปันอันตรายที่ยืนยัน
1: ระบุอันตรายที่อาจเกิดขึ้น
อันตรายที่อาจเกิดขึ้นซึ่งเกี่ยวข้องกับโซลูชัน AI สร้างสรรค์ของคุณขึ้นอยู่กับปัจจัยหลายประการ รวมถึงบริการและโมเดลเฉพาะที่ใช้ในการสร้างเอาต์พุต ตลอดจนข้อมูลการปรับแต่งหรือพื้นฐานใดๆ ที่ใช้ในการปรับแต่งเอาต์พุต อันตรายที่อาจเกิดขึ้นทั่วไปบางประเภทในโซลูชัน AI สร้างสรรค์ ได้แก่:
- การสร้างเนื้อหาที่ไม่เหมาะสม ดูหมิ่น หรือเลือกปฏิบัติ
- การสร้างเนื้อหาที่มีความผิดพลาดทางข้อเท็จจริง
- การสร้างเนื้อหาที่ส่งเสริมหรือสนับสนุนพฤติกรรมหรือการปฏิบัติที่ผิดกฎหมายหรือผิดจริยธรรม
หากต้องการทำความเข้าใจข้อจำกัดและลักษณะการทำงานที่ทราบของบริการและโมเดลในโซลูชันของคุณโดยสมบูรณ์ โปรดอ่านเอกสารที่มีอยู่ ตัวอย่างเช่น บริการ Azure OpenAI มีหมายเหตุความโปร่งใส ซึ่งคุณสามารถใช้เพื่อทำความเข้าใจข้อควรพิจารณาเฉพาะที่เกี่ยวข้องกับบริการและโมเดลที่มีให้บริการ นอกจากนี้ นักพัฒนาโมเดลแต่ละรายอาจจัดเตรียมเอกสาร เช่น การ์ดระบบ OpenAI สำหรับโมเดล GPT-4
พิจารณาอ่านคำแนะนำในคู่มือการประเมินผลกระทบ AI ที่รับผิดชอบของ Microsoft และใช้เทมเพลตการประเมินผลกระทบ AI ที่รับผิดชอบที่เกี่ยวข้องเพื่อจัดทำเอกสารอันตรายที่อาจเกิดขึ้น
ตรวจทาน ข้อมูลและแนวทาง สําหรับแหล่งข้อมูลที่คุณใช้เพื่อช่วยระบุความเสียหายที่อาจเกิดขึ้น
2:จัดลำดับความสำคัญของอันตราย
สำหรับอันตรายที่อาจเกิดขึ้นแต่ละรายการที่คุณระบุ ให้ประเมินความเป็นไปได้ที่จะเกิดขึ้นและระดับผลกระทบที่ตามมาหากเกิดขึ้น จากนั้นใช้ข้อมูลนี้เพื่อจัดลำดับความสำคัญของอันตรายที่เป็นไปได้และมีผลกระทบมากที่สุดก่อน การจัดลำดับความสำคัญนี้จะช่วยให้คุณมุ่งเน้นไปที่การค้นหาและลดความเสี่ยงที่เป็นอันตรายที่สุดในโซลูชันของคุณ
การจัดลำดับความสำคัญจะต้องคำนึงถึงจุดประสงค์ในการใช้โซลูชันตลอดจนโอกาสที่จะนำไปใช้ในทางที่ผิด และอาจเป็นอัตวิสัยได้ ตัวอย่างเช่น สมมติว่าคุณกำลังพัฒนาผู้ช่วยในครัวอัจฉริยะที่ให้ความช่วยเหลือด้านสูตรอาหารแก่เชฟและคนครัวสมัครเล่น อันตรายที่อาจเกิดขึ้นอาจได้แก่:
- โซลูชันนี้ให้เวลาในการปรุงอาหารที่ไม่ถูกต้อง ส่งผลให้อาหารปรุงไม่สุกจนอาจทำให้เกิดอาการเจ็บป่วยได้
- เมื่อได้รับพร้อมท์ โซลูชันจะแสดงสูตรสำหรับยาพิษร้ายแรงที่สามารถผลิตได้จากส่วนผสมในชีวิตประจำวัน
แม้ว่าผลลัพธ์เหล่านี้จะไม่เป็นที่พึงปรารถนา แต่คุณอาจตัดสินใจว่าศักยภาพของโซลูชันในการสนับสนุนการสร้างยาพิษร้ายแรงนั้นมีผลกระทบมากกว่าศักยภาพในการสร้างอาหารปรุงไม่สุก อย่างไรก็ตาม เมื่อพิจารณาจากสถานการณ์การใช้งานหลักของโซลูชัน คุณยังอาจสันนิษฐานได้ว่าความถี่ที่แนะนำเวลาในการปรุงอาหารที่ไม่ถูกต้องนั้นมีแนวโน้มที่จะสูงกว่าจำนวนผู้ใช้ที่ขอสูตรยาพิษอย่างชัดเจน การกำหนดลำดับความสำคัญสูงสุดเป็นหัวข้อสนทนาสำหรับทีมพัฒนา ซึ่งอาจเกี่ยวข้องกับการให้คำปรึกษาด้านนโยบายหรือผู้เชี่ยวชาญด้านกฎหมายเพื่อจัดลำดับความสำคัญอย่างเพียงพอ
3: ทดสอบและตรวจสอบการมีอยู่ของอันตราย
เมื่อคุณมีรายการที่จัดลำดับความสำคัญแล้ว คุณสามารถทดสอบโซลูชันของคุณเพื่อตรวจสอบว่ามีอันตรายหรือไม่ และถ้ามีอันตรายนั้นอยู่ภายใต้เงื่อนไขใด การทดสอบของคุณยังอาจเผยให้เห็นถึงการมีอยู่ของอันตรายที่ไม่สามารถระบุได้ก่อนหน้านี้ ซึ่งคุณสามารถเพิ่มลงในรายการได้
วิธีทั่วไปในการทดสอบอันตรายหรือช่องโหว่ที่อาจเกิดขึ้นในโซลูชันซอฟต์แวร์คือการใช้การทดสอบ “ทีมสีแดง (red team)” ซึ่งทีมผู้ทดสอบจงใจตรวจสอบโซลูชันเพื่อหาจุดอ่อนและพยายามสร้างผลลัพธ์ที่เป็นอันตราย ตัวอย่างการทดสอบโซลูชันผู้ช่วยในครัวอัจฉริยะที่กล่าวถึงก่อนหน้านี้อาจรวมถึงการขอสูตรยาพิษหรือสูตรอาหารด่วนที่มีส่วนผสมที่ควรปรุงให้สุกอย่างทั่วถึง ความสำเร็จของทีมสีแดงควรได้รับการจัดทำเอกสารและตรวจสอบเพื่อช่วยระบุความเป็นไปได้จริงของผลลัพธ์ที่เป็นอันตรายที่จะเกิดขึ้นเมื่อมีการใช้โซลูชัน
หมายเหตุ
การจำลองการโจมตีทางไซเบอร์ (Red teaming) เป็นกลยุทธ์ที่มักใช้เพื่อค้นหาช่องโหว่ด้านความปลอดภัยหรือจุดอ่อนอื่นๆ ที่อาจส่งผลต่อความถูกต้องของโซลูชันซอฟต์แวร์ เมื่อขยายแนวทางนี้เพื่อค้นหาเนื้อหาที่เป็นอันตรายจาก AI สร้างสรรค์ คุณสามารถนำกระบวนการ AI ที่รับผิดชอบมาใช้ ซึ่งต่อยอดและเสริมแนวทางปฏิบัติด้านการรักษาความปลอดภัยทางไซเบอร์ที่มีอยู่
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ Red Teaming สำหรับโซลูชัน AI สร้างสรรค์ ให้ดูบทนำเกี่ยวกับโมเดลภาษาขนาดใหญ่ (LLM) ของการจำลองการโจมตีทางไซเบอร์ในเอกสารบริการ Azure OpenAI
4: จัดทำเอกสารและแบ่งปันรายละเอียดของอันตราย
เมื่อคุณรวบรวมหลักฐานเพื่อสนับสนุนการมีอยู่ของอันตรายที่อาจเกิดขึ้นในโซลูชัน ให้จัดทำเอกสารรายละเอียดและแบ่งปันกับผู้เกี่ยวข้อง รายการอันตรายที่จัดลำดับความสำคัญควรได้รับการเก็บรักษาและเพิ่มไว้หากมีการระบุอันตรายใหม่