Τα πλαίσια διακυβέρνησης που έχουν οικοδομήσει οι εκτελεστικοί διευθυντές εδώ και δεκαετίες σχεδιάστηκαν για ανθρώπους. Οι πράκτορες Τεχνητής Νοημοσύνης (ΤΝ) δεν είναι άνθρωποι, και το χάσμα μεταξύ αυτών των δύο γεγονότων είναι το σημείο όπου ο επιχειρησιακός κίνδυνος συσσωρεύεται ταχύτερα.

Τον τελευταίο χρόνο, οι οργανισμοί αναγκάστηκαν να αντιμετωπίσουν το γεγονός ότι η ΤΝ αναπτύσσεται ταχύτερα από ό,τι μπορεί να διακυβερνηθεί. Η αυξανόμενη χρήση “σκιώδους ΤΝ” εκθέτει κενά σχετικά με το ποιος, ή τι, επιτρέπεται να ενεργεί. Η πιο πρόσφατη έρευνα δείχνει ότι το 91% των οργανισμών χρησιμοποιεί ήδη πράκτορες ΤΝ, αλλά μόνο το 10% έχει μια σαφή στρατηγική για τη διαχείρισή τους.

Οι πράκτορες ΤΝ λειτουργούν πλέον ως χειριστές, ενεργώντας με δική τους πρωτοβουλία χωρίς την ανάγκη ανθρώπινου διευθυντή να καθοδηγεί. Αυτοί οι αυτόνομοι ψηφιακοί παράγοντες μπορούν να αναλύουν δεδομένα, να δρομολογούν ροές εργασίας και να ενεργούν εντός των επιχειρήσεων. Ενώ είναι εύκολο να δει κανείς τα πλεονεκτήματα στην ταχύτητα, στην κλίμακα και στην παραγωγικότητα, η αλλαγή στην εξουσία είναι λιγότερο εμφανής.

Η πραγματική απειλή στην υιοθέτηση της ΤΝ από επιχειρήσεις δεν είναι πόσο ευφυείς είναι οι πράκτορες, αλλά πόση εξουσία εκχωρούν οι εκτελεστικοί διευθυντές σε αυτούς. Πρόκειται για δικαιώματα απόφασης και για το τι συμβαίνει όταν η εξουσία εκχωρείται σε συστήματα που οι οργανισμοί δεν μπορούν να δουν πλήρως, πόσο μάλλον να ελέγξουν. Τελικά, ο κίνδυνος δεν είναι ότι οι πράκτορες ΤΝ θα συμπεριφερθούν κακόβουλα. Αντίθετα, είναι ότι θα συμπεριφερθούν ακριβώς όπως έχουν ρυθμιστεί, σε συστήματα που ποτέ δεν σχεδιάστηκαν για να λαμβάνουν υπόψη μη ανθρώπινες ταυτότητες.

Για χρόνια, οι εταιρείες έχτισαν μοντέλα ασφαλείας γύρω από τους ανθρώπινους εργαζομένους. Οι εργαζόμενοι προσλαμβάνονται, πιστοποιούνται, παρακολουθούνται και τελικά απομακρύνονται όταν αποχωρούν. Η διαχείριση ταυτότητας το καθιστά αυτό δυνατό: είναι ο τρόπος με τον οποίο οι οργανισμοί επαληθεύουν ποιοι είναι οι εργαζόμενοι, με τι μπορούν να συνδεθούν και τι επιτρέπεται να κάνουν.

Οι πράκτορες ΤΝ σπάνε αυτό το μοντέλο. Δεν συνδέονται στις 9:00 π.μ. και αποσυνδέονται στις 5:00 μ.μ. Λειτουργούν συνεχώς σε πολλαπλά συστήματα και περιβάλλοντα cloud. Μπορούν να ανακτήσουν ευαίσθητα δεδομένα, να ενεργοποιήσουν οικονομικές διαδικασίες ή να λάβουν αποφάσεις που αφορούν πελάτες μέσα σε δευτερόλεπτα. Ωστόσο, οι επιχειρήσεις εξακολουθούν να αντιμετωπίζουν τους πράκτορες ως λογισμικό παρασκηνίου αντί για χειριστές με πραγματική εξουσία.

Πρόσφατη έρευνα από την Gravitee, μια πλατφόρμα διαχείρισης API, διαπιστώνει ότι μόνο το 22% των οργανισμών αντιμετωπίζουν τους πράκτορες ΤΝ ως ανεξάρτητες ταυτότητες, ακόμη και όταν σχεδόν το 90% των εταιρειών αναφέρουν ύποπτα ή επιβεβαιωμένα περιστατικά ασφαλείας που περιλαμβάνουν πράκτορες ΤΝ.

Λάβετε υπόψη ένα κοινό σενάριο: Μια εταιρεία εισάγει έναν εσωτερικό πράκτορα ΤΝ για να βελτιστοποιήσει τη διοίκηση των εργαζομένων. Ένας εργαζόμενος ζητά από τον πράκτορα να υποβάλει άδεια, να ενημερώσει λεπτομέρειες μισθοδοσίας και να ειδοποιήσει τον διευθυντή του. Ο πράκτορας συνδέεται αυτόματα με συστήματα HR, πλατφόρμες χρηματοοικονομικών και εργαλεία συνεργασίας για να ολοκληρώσει το αίτημα. Σκεφτείτε πόσα συστήματα χρειάζεται να αποκτήσει πρόσβαση ο πράκτορας για να ολοκληρώσει το αίτημα. Τι άδειες έχει; Ποια σημεία πρόσβασης χρησιμοποιεί, ή ενδεχομένως αφήνει ανοιχτά; Τι γίνεται αν κάτι πάει στραβά;

Το κέρδος στην αποδοτικότητα είναι πραγματικό. Αλλά εκτός εάν κάθε βήμα διέπεται από σαφείς ελέγχους ταυτότητας, η εταιρεία μπορεί να μην γνωρίζει ακριβώς ποια εξουσία έχει εκχωρηθεί και πώς να παρέμβει όταν υπάρχει πρόβλημα. Αυτός είναι ο λόγος για τον οποίο το χάσμα ταυτότητας είναι ένα πρόβλημα ηγεσίας, όχι μόνο ένα τεχνικό.

Τα παραδοσιακά μοντέλα πρόσβασης υποθέτουν σχετικά σταθερούς ρόλους και προβλέψιμη ανθρώπινη συμπεριφορά. Οι πράκτορες ΤΝ λειτουργούν μέσω δυναμικών εργασιών και εκχωρημένης εξουσίας. Μπορεί να απαιτούν προσωρινές, ιδιαίτερα συγκεκριμένες άδειες για να εκτελέσουν μια μοναδική ενέργεια, και στη συνέχεια να προχωρήσουν αμέσως στην επόμενη ροή εργασίας. Χωρίς τη δυνατότητα συνεχούς επαλήθευσης και έγκρισης κάθε βήματος, οι οργανισμοί κινδυνεύουν να συσσωρεύσουν έναν αυξανόμενο πληθυσμό μη ανθρώπινων παραγόντων με ευρεία, επίμονη πρόσβαση—που, σε πολλές περιπτώσεις, δεν χορηγήθηκε ποτέ σκόπιμα—σε κρίσιμα συστήματα.

Βλέπουμε ήδη να εκτυλίσσεται αυτό, καθώς οι οργανισμοί αρχίζουν να προωθούν κώδικα που παράγεται από ΤΝ και αυτοματοποιημένες ενέργειες σε ζωντανά περιβάλλοντα, συχνά ταχύτερα από ό,τι μπορούν να ανταποκριθούν τα μοντέλα διακυβέρνησης. Πρόσφατα περιστατικά, όπως η παραβίαση ενός chatbot των McDonald’s όπου αδύναμοι έλεγχοι εξέθεσαν εκατομμύρια αρχεία αιτούντων, ή όταν ένας πράκτορας κωδικοποίησης ΤΝ στο Replit διέγραψε μια ζωντανή βάση δεδομένων παραγωγής, δείχνουν πόσο γρήγορα αυτά τα κενά μπορούν να μετατραπούν σε πραγματικές καταστροφές.

Ένας πράκτορας ΤΝ ρυθμισμένος να βελτιστοποιεί τις αποφάσεις της εφοδιαστικής αλυσίδας θα μπορούσε να ενεργοποιήσει μεγάλης κλίμακας δεσμεύσεις αγορών. Ένας πράκτορας εξυπηρέτησης πελατών θα μπορούσε να εκθέσει ευαίσθητες πληροφορίες λογαριασμού. Ένας πράκτορας οικονομικής αναφοράς ενδέχεται να διανείμει ευαίσθητες πληροφορίες από πολλαπλές πηγές σε ευρύ κοινό. Όλες αυτές οι περιπτώσεις θα προέκυπταν από κακώς διακυβερνημένη αυτονομία.

Οι ρυθμιστικές αρχές αρχίζουν να δρουν. Σε πολλές αγορές, όπως η Σιγκαπούρη και η Αυστραλία, οι υπεύθυνοι χάραξης πολιτικής τονίζουν ότι οι οργανισμοί είναι υπεύθυνοι για τα αυτοματοποιημένα συστήματά τους. Αυτό δημιουργεί μια πρόκληση συμμόρφωσης για τους επιχειρηματικούς ηγέτες. Πώς αποδεικνύετε ποιο σύστημα ξεκίνησε μια απόφαση; Πώς αποδεικνύετε ότι η πρόσβαση ήταν κατάλληλη τη στιγμή που λήφθηκε μια ενέργεια; Πώς διακόπτετε ή ανακαλείτε την εξουσία εάν ένας πράκτορας συμπεριφερθεί απροσδόκητα;

Για την ασφάλεια των πρακτόρων ΤΝ, οι οργανισμοί πρέπει να μπορούν να απαντήσουν σε τρεις θεμελιώδεις ερωτήσεις: Πού βρίσκονται οι πράκτορές μας, με τι μπορούν να συνδεθούν και τι επιτρέπεται να κάνουν;

Ευτυχώς, οι εταιρείες δεν χρειάζεται να εφεύρουν ξανά τον τροχό. Έχουν ήδη τις πρακτικές που χρειάζονται για να διαχειριστούν τους πράκτορες ΤΝ: οι εκτελεστικοί διευθυντές απλώς πρέπει να τους αντιμετωπίζουν περίπου με τον ίδιο τρόπο που αντιμετωπίζουν τους ανθρώπινους υπαλλήλους. Πρακτικά, αυτό σημαίνει την εφαρμογή καθιερωμένων πειθαρχικών κανόνων ασφάλειας του εργατικού δυναμικού σε ένα νέο λειτουργικό πλαίσιο. Οι οργανισμοί χρειάζονται διαχείριση του κύκλου ζωής για τους πράκτορες. Χρειάζεται να ορίσουν το πεδίο και τη διάρκεια των αδειών τους, να παρακολουθούν τη δραστηριότητα συνεχώς και να απαιτούν εξουσιοδότηση βήμα-βήμα για ενέργειες υψηλού κινδύνου. Αντί για ευρεία, μακροχρόνια πρόσβαση, οι πράκτορες θα πρέπει να λειτουργούν με πιστοποιήσεις “just-in-time” συνδεδεμένες με συγκεκριμένες εργασίες.

Οι οργανισμοί που θα επιτύχουν στην υιοθέτηση της ΤΝ δεν θα είναι αυτοί που θα αναπτύξουν την περισσότερη ΤΝ, ή ακόμη και την πιο έξυπνη ΤΝ. Θα είναι αυτοί που θα την αναπτύξουν με σαφήνεια για το ποιος είναι εξουσιοδοτημένος να ενεργεί, και με έναν αξιόπιστο τρόπο για να το αποδείξουν. Έτσι μετατρέπεται η ΤΝ από ένα πείραμα—ή έναν κίνδυνο—σε ένα πραγματικό περιουσιακό στοιχείο.