在GRC治理領域很重要的議題是風險管理。很多組織識別完風險後,就放在檔案裡等待稽核員欽點翻牌,或下次風險評鑑時間到拿出來看看。
但是,風險原本就不是靜態存在Excel或是檢查表內,而應該是動態存在於工作流程中。當Agentic AI 進入企業工作流程(Workflow)後,更加重AI風險識別的困難度。所以我發展互動式 AI 風險知識圖譜(繁體中文)。
互動式 AI 風險知識圖譜,包含6 大 AI 風險領域與涵蓋 209 個風險情境。
D1數據與隱私風險:數據投毒、偏見、隱私洩露、未授權使用
D2模型安全風險:對抗攻擊、提示注入、模型竊取、幻覺
D3系統與基礎設施風險:供應鏈、來源篡改、部署環境、資源濫用
D4應用與互動風險:失控行為、過度依賴、輸出濫用、多智能體
D5公平與倫理風險:演算法歧視、透明度、人類自主性、有害內容
D6治理與合規風險:合規缺口、問責不足、社會衝擊、環境影響
參考框架
*ISO/IEC 22989 — AI 概念與術語
*ISO/IEC 42001(AI 管理系統)
*ISO/IEC 23894(AI 風險管理)
*ISO/IEC 5338(AI 系統生命週期)
*NIST AI RMF(AI 風險管理框架)
*NIST CSF(網路安全管理框架)
*CoSAI Risk Map(AI 安全風險地圖)
*MITRE ATLAS(AI 對抗威脅)
*AIDEFEND(開源人工智慧防禦框架)
*OWASP LLM Top 10
為了解決v1.x版的風險圖譜不易閱讀這個問題,我改寫後端風險情境資料庫架構與智能判讀演算法,讓風險情境與能夠工作流程(Workflow)結合。由於AI判讀的是來自「已知風險情境資料庫」,所以已讓AI幻覺降到最低。
我設計2種方式:
1.依照企業預畫工作流程輸入「AI 風險知識圖譜系統」,AI可藉由流程圖判讀可能其中的風險問題。
2.使用者NLP輸入情境,讓AI智能判斷並與使用者解讀去判斷風險情境與相依性。
AI會幫你找到風險議題
原先要讓開放公測,後來發現真的分析Token流量會快速侵蝕小弟的錢包,而「智能分析」功能,可讓使用者輸入真的不同 API Key,為了安全議題,我決定改變展示方式。或許開放部分帳號測試
下一階段正在發展「AI模型/數據飄移監測工具」,預估將與「AI 風險知識圖譜系統」進行整合。畢竟,當AI模型/數據發生飄移時,會讓企業發生「不可預期與掌握的情境與影響」,這將會是企業面臨風險更進階的議題。又是一個難搞的大工程。
風險情境與影響內容將逐步增加,這個才是最花時間的地方
展示網址(支援電腦與手機版,電腦版效果較佳)
https://lnkd.in/gKhEnrQ8
本文觀點來自個人心得與觀察,不代表任何組織或機構立場。