Impara come valutare il rischio dei sistemi di intelligenza artificiale

Impara a valutare il rischio dei sistemi di intelligenza artificiale

L’intelligenza artificiale (AI) è un campo in rapida evoluzione con il potenziale per migliorare e trasformare molti aspetti della società. Nel 2023, il ritmo di adozione delle tecnologie AI si è accelerato ulteriormente con lo sviluppo di modelli di base potenti (FMs) e un conseguente avanzamento nelle capacità di generazione di AI.

Presso Amazon, abbiamo lanciato diversi servizi di generazione di AI, come Amazon Bedrock e Amazon CodeWhisperer, e abbiamo reso disponibili una serie di modelli generativi altamente capaci tramite Amazon SageMaker JumpStart. Questi servizi sono progettati per supportare i nostri clienti nello sfruttare le capacità emergenti dell’IA generativa, inclusa la creatività migliorata, la creazione di contenuti personalizzati e dinamici e la progettazione innovativa. Possono anche consentire agli specialisti di IA di comprendere il mondo come mai prima d’ora: affrontando le barriere linguistiche, il cambiamento climatico, accelerando le scoperte scientifiche e altro ancora.

Tuttavia, per realizzare pienamente il potenziale dell’IA generativa, è importante riflettere attentamente su eventuali rischi potenziali. Prima di tutto, questo beneficia gli stakeholder del sistema IA promuovendo lo sviluppo e la distribuzione responsabili e sicuri e incoraggiando l’adozione di misure preventive per affrontare l’impatto potenziale. Di conseguenza, stabilire meccanismi per valutare e gestire il rischio è un processo importante da considerare per gli specialisti di AI ed è diventato un componente essenziale di molti standard emergenti dell’industria dell’IA (ad esempio, ISO 42001, ISO 23894 e NIST RMF) e della legislazione (come l’EU AI Act).

In questo articolo, discuteremo come valutare il potenziale rischio del tuo sistema di IA.

• Ricercatori dal Meta AI presentano Style Tailoring una ricetta di testo-per-sticker per perfezionare i modelli di diffusione latente (LDMs) in un dominio distinto con alta qualità visiva.
• Amazon presenta Q un chatbot di intelligenza artificiale generativa che può essere personalizzato specificatamente per un’attività commerciale.
• Coraggio nello studio di ML Demistificazione delle Regolarizzazioni L1 e L2 (parte 3)

Quali sono i diversi livelli di rischio?

Anche se potrebbe essere più facile iniziare a considerare un singolo modello di apprendimento automatico (ML) e i rischi associati in modo isolato, è importante considerare i dettagli dell’applicazione specifica di tale modello e il relativo caso d’uso come parte di un sistema di IA completo. Infatti, è probabile che un tipico sistema di IA si basi su più modelli ML diversi che lavorano insieme e un’organizzazione potrebbe cercare di costruire più sistemi di IA diversi. Di conseguenza, i rischi possono essere valutati per ciascun caso d’uso e a diversi livelli, vale a dire il rischio del modello, il rischio del sistema di IA e il rischio aziendale.

Il rischio aziendale comprende il vasto spettro di rischi che un’organizzazione può affrontare, inclusi i rischi finanziari, operativi e strategici. Il rischio del sistema di IA si concentra sull’impatto associato all’implementazione e al funzionamento dei sistemi di IA, mentre il rischio del modello ML riguarda specificamente le vulnerabilità e le incertezze intrinseche ai modelli ML.

In questo articolo, ci concentriamo principalmente sul rischio del sistema di IA. Tuttavia, è importante notare che tutti i diversi livelli di gestione del rischio all’interno di un’organizzazione dovrebbero essere considerati e allineati.

Come viene definito il rischio del sistema di IA?

La gestione del rischio nel contesto di un sistema di IA può essere un percorso per minimizzare l’effetto dell’incertezza o dei potenziali impatti negativi, fornendo anche opportunità per massimizzare gli impatti positivi. Il rischio stesso non è un danno potenziale ma l’effetto dell’incertezza sugli obiettivi. Secondo il NIST Risk Management Framework (NIST RMF), il rischio può essere stimato come una misura moltiplicativa della probabilità di occorrenza di un evento moltiplicata dalle magnitudini delle conseguenze dell’evento corrispondente.

Ci sono due aspetti del rischio: rischio intrinseco e rischio residuo. Il rischio intrinseco rappresenta l’entità del rischio che il sistema di IA presenta in assenza di mitigi o controlli. Il rischio residuo cattura i rischi rimanenti dopo aver considerato le strategie di mitigazione.

Siate sempre consapevoli che la valutazione del rischio è un’attività incentrata sull’uomo che richiede sforzi a livello aziendale; questi sforzi vanno dall’assicurarsi che tutti gli stakeholder pertinenti siano inclusi nel processo di valutazione (come i team di prodotto, ingegneria, scienza, vendite e sicurezza) alla valutazione di come le prospettive e le norme sociali influenzano la percezione della probabilità e delle conseguenze di determinati eventi.

Perché la vostra organizzazione dovrebbe preoccuparsi della valutazione del rischio?

Stabilire quadri di gestione del rischio per i sistemi AI può beneficiare la società nel suo complesso promuovendo la progettazione, lo sviluppo e il funzionamento sicuri e responsabili dei sistemi AI. I quadri di gestione del rischio possono anche beneficiare le organizzazioni nei seguenti modi:

• Miglioramento delle decisioni – Comprendendo i rischi associati ai sistemi AI, le organizzazioni possono prendere decisioni migliori su come mitigare quei rischi e utilizzare i sistemi AI in modo sicuro e responsabile
• Aumento della pianificazione della conformità – Un quadro di valutazione del rischio può aiutare le organizzazioni a prepararsi ai requisiti di valutazione del rischio previsti dalle leggi e dai regolamenti pertinenti
• Costruzione della fiducia – Dimostrando di adottare misure per mitigare i rischi dei sistemi AI, le organizzazioni possono mostrare ai propri clienti e stakeholder di essere impegnati nell’utilizzo dell’IA in modo sicuro e responsabile

Come valutare il rischio?

Come primo passo, un’organizzazione dovrebbe considerare la descrizione del caso d’uso AI che deve essere valutato e identificare tutti gli stakeholder pertinenti. Un caso d’uso è uno scenario o una situazione specifica che descrive come gli utenti interagiscono con un sistema AI per raggiungere un obiettivo particolare. Nel creare una descrizione del caso d’uso, può essere utile specificare il problema aziendale risolto, elencare gli stakeholder coinvolti, caratterizzare il flusso di lavoro e fornire dettagli sui dati di input e output del sistema.

Quando si tratta degli stakeholder, è facile trascurarne alcuni. La seguente figura è un buon punto di partenza per mappare i ruoli degli stakeholder AI.

Fonte: “Tecnologia dell’informazione – Intelligenza artificiale – Concetti e terminologia dell’intelligenza artificiale”.

Un importante passo successivo della valutazione del rischio del sistema AI è identificare gli eventi potenzialmente dannosi associati al caso d’uso. Nella considerazione di questi eventi, può essere utile riflettere su diverse dimensioni dell’AI responsabile, come l’equità e la robustezza, ad esempio. Diversi stakeholder potrebbero essere interessati in modo diverso lungo diverse dimensioni. Ad esempio, un basso rischio di robustezza per un utente finale potrebbe essere il risultato di lievi interruzioni del sistema AI, mentre un basso rischio di equità potrebbe essere causato dal fatto che un sistema AI produce output trascurabilmente diversi per diversi gruppi demografici.

Per stimare il rischio di un evento, è possibile utilizzare una scala di probabilità combinata con una scala di gravità per misurare la probabilità di accadimento e il grado delle conseguenze. Un buon punto di partenza quando si sviluppano queste scale potrebbe essere il NIST RMF, che suggerisce di utilizzare categorie qualitative non numeriche che vanno da rischio molto basso a rischio molto alto o principi di valutazione semi-quantitativa, come scale (come 1-10), intervalli o numeri rappresentativi. Dopo aver definito le scale di probabilità e gravità per tutte le dimensioni pertinenti, è possibile utilizzare un quadro di matrice del rischio per quantificare il rischio complessivo per gli stakeholder lungo ciascuna dimensione pertinente. La seguente figura mostra un esempio di matrice del rischio.

Utilizzando questa matrice del rischio, possiamo considerare un evento con bassa gravità e bassa probabilità di accadimento come a rischio molto basso. Tenete presente che la valutazione iniziale sarà solo una stima del rischio intrinseco e le strategie di mitigazione del rischio possono contribuire a ridurre ulteriormente i livelli di rischio. Il processo può quindi essere ripetuto per generare una valutazione residua di rischio per qualsiasi altro evento. Se vengono identificati più eventi lungo la stessa dimensione, può essere utile scegliere il livello di rischio più alto per creare un riepilogo finale della valutazione.

Utilizzando il riepilogo finale della valutazione, le organizzazioni dovranno definire quali livelli di rischio sono accettabili per i loro sistemi AI e considerare le normative e le politiche pertinenti.

Impegno di AWS

Attraverso le collaborazioni con la Casa Bianca e le ONU, tra gli altri, ci impegniamo a condividere la nostra conoscenza e competenza per promuovere l’uso responsabile e sicuro dell’IA. In questo ambito, Adam Selipsky di Amazon ha di recente rappresentato AWS al Summit sulla Sicurezza dell’IA con capi di stato e leader dell’industria presenti, dimostrando ulteriormente il nostro impegno a collaborare per lo sviluppo responsabile dell’intelligenza artificiale.

Conclusioni

Con l’avanzare dell’IA, la valutazione dei rischi sta diventando sempre più importante e utile per le organizzazioni che desiderano costruire e utilizzare l’IA in modo responsabile. Attraverso l’istituzione di un framework di valutazione dei rischi e di un piano di mitigazione dei rischi, le organizzazioni possono ridurre il rischio di potenziali incidenti legati all’IA e guadagnare la fiducia dei propri clienti, ottenendo benefici come una maggiore affidabilità, maggiore equità per diverse categorie demografiche e altro ancora.

Inizia il tuo percorso di sviluppo di un framework di valutazione dei rischi nella tua organizzazione e condividi le tue idee nei commenti.

Dai un’occhiata anche alla panoramica dei rischi dell’IA generativa pubblicata su Amazon Science: IA responsabile nell’era generativa, ed esplora la gamma di servizi AWS che possono supportarti nel tuo percorso di valutazione e mitigazione dei rischi: Amazon SageMaker Clarify, Amazon SageMaker Model Monitor, AWS CloudTrail, così come il framework di governance dei modelli.