Vzhledem k tomu, že se umělá inteligence stává součástí prohlížečů, SaaS platforem, rozšíření, kopilotů a nově vznikajících agentních pracovních postupů, organizace potřebují novou vrstvu správy a řízení, která funguje v okamžiku interakce.

Tento požadavek mění to, co v řízení umělé inteligence znamená „dobrý“ systém. Hodnocení dodavatelů se musí posunout od obecných slibů k zaměření na konkrétní, srovnatelná kritéria v oblasti vyhledávání informací, kontextového hodnocení rizik, řízení založené na politikách, vymáhání v reálném čase, auditovatelnosti, provozní vhodnosti a připravenosti na budoucnost.

Náš Průvodce RFP pro hodnocení řešení pro kontrolu užívání umělé inteligence je navržen tak, aby pomohl vedoucím pracovníkům v oblasti bezpečnosti, dodržování předpisů a IT systematicky a konzistentně vyhodnocovat řešení AI Usage Control (AUC).

Proč používat šablonu RFP pro hodnocení dodavatele AI Usage Control?

Řízení používání umělé inteligence není jedna funkce. Je to sada možností, které musí fungovat napříč způsoby přístupu k umělé inteligenci a jejího používání a musí obstát i v reálných provozních omezeních.

Tato příručka pomáhá urychlit výzkum, posílit rozhodování a umožnit bezpečné zavádění umělé inteligence v celé organizaci standardizací toho, na co musí dodavatelé reagovat a jak na to musí reagovat.

Podle čeho by měla být platforma pro kontrolu používání umělé inteligence hodnocena?

Průvodce je rozdělen do osmi částí, z nichž každá se vztahuje k určité oblasti požadavků v rámci podnikového programu správy a řízení umělé inteligence.

  1. Objevování a pokrytí pomocí umělé inteligence
    Jak je používání umělé inteligence průběžně zjišťováno a monitorováno napříč všemi přístupovými cestami a prostředími. 
  2. Hodnocení rizik umělé inteligence a kontextové povědomí
    Jak řešení vyhodnocuje riziko umělé inteligence v reálném čase analýzou obsahu výzvy, citlivosti dat, identity a kontextu přístupu. 
  3. Řízení užívání umělé inteligence na základě politik
    Jak jsou definovány a vynucovány podrobné, kontextově orientované zásady pro povolení, omezení nebo blokování rizikových akcí umělé inteligence. 
  4. Vynucování v reálném čase v době interakce
    Jak se kontrolní mechanismy uplatňují v okamžiku interakce s umělou inteligencí, před zveřejněním citlivých dat nebo provedením rizikových akcí. 
  5. Monitorování, upozorňování a auditovatelnost
    Jak je aktivita umělé inteligence zaznamenávána, monitorována a auditována za účelem podpory bezpečnostních operací, dodržování předpisů a reakce na incidenty. 
  6. Architektonická vhodnost a provozní připravenost
    Jak se ovládací prvky umělé inteligence aplikují v okamžiku interakce bez architektonické nebo provozní zátěže. 
  7. Nasazení a správa
    Jak je řešení nasazeno, škálováno a spravováno napříč uživateli, prohlížeči, zařízeními a prostředími s minimálními provozními režijními náklady. 
  8. Připravenost dodavatelů a zajištění budoucnosti
    Posuzuje podporu dodavatelů, škálovatelnost a schopnost přizpůsobit se vyvíjejícím se rizikům, nástrojům a požadavkům na správu a řízení v oblasti umělé inteligence. 

Co v praxi znamená „AI Discovery and Coverage“?

Cíl je jednoduchý. Zajistit úplný a nepřetržitý přehled o tom, jak se umělá inteligence používá v celé organizaci.

V praxi průvodce tlačí na dodavatele, aby prokázali pokrytí napříč prostředími, prohlížeči a přístupovými cestami, nikoli aby je obcházeli. Ptá se, zda dodavatel může odhalit využití umělé inteligence napříč prohlížeči, SaaS aplikacemi, rozšířeními, nativními aplikacemi, IDE a agentními pracovními postupy.

Průvodce se ptá, zda dodavatel podporuje šíři tam, kde se nyní objevuje umělá inteligence, včetně:

  • Podpora více prohlížečů, včetně Chrome, Edge, Safari, Brave, Arc a dalších
  • Detekce a pokrytí prohlížečů pomocí umělé inteligence, včetně Atlas, Dia, Genspark, Comet a dalších
  • Ovládání bočního panelu v prohlížečích s umělou inteligencí
  • Schopnost rozlišovat mezi akcemi uživatele i agenta a kontrolovat je
  • Vestavěná detekce SaaS pomocí umělé inteligence v platformách, jako jsou CRM, e-mail a nástroje pro spolupráci
  • Detekce pomocí umělé inteligence v prohlížeči pro nástroje jako ChatGPT, Claude a Gemini
  • Detekce pomocí umělé inteligence na desktopové platformě pro nativní nástroje, jako jsou ChatGPT a Copilot
  • Detekce a ovládání pluginů IDE
  • Detekce rozšíření, včetně rozšíření prohlížeče s umělou inteligencí, která fungují jako zprostředkovatelé

Pak se přesouvá k základům správy a řízení, které jsou během hodnocení často přeskakovány, i když mění rizikový profil:

  • Sankcionovaná vs. stínová umělá inteligence (BYOAI) a jak jsou detekovány neoprávněné nástroje
  • Atribuce uživatelů pro aktivitu umělé inteligence
  • Mapování a rozlišení identit, včetně korporátních vs. osobních identit a ověřených vs. neověřených identit
  • Identifikace typu účtu (firemní vs. osobní) a zda jsou data předmětem trénování modelu
  • Podpora anonymního a soukromého režimu
  • Viditelnost konverzací, včetně minulých a aktivních konverzací s umělou inteligencí, výzev a odpovědí

Jak vyhodnocujete riziko a politiku bez hádání?

Průvodce odděluje hodnocení rizik od vymáhání zásad a poté žádá dodavatele o vysvětlení obou.

Cíl posouzení rizik je jasný.
Upřednostňujte řízení umělé inteligence založené na dynamickém riziku spíše než na statických předpokladech.

To znamená vyhodnotit, zda řešení dokáže zohlednit způsob přístupu k AI (prohlížeč, rozšíření, integrovaný SaaS, API, agent), detekovat rizikové nebo anomální vzorce používání AI na základě chování a kontextu a zohlednit roli uživatele, typ identity, stav zařízení a kontext relace.

Zahrnuje také posouzení rizik rozšíření jako definovaný požadavek.
Dokážete analyzovat všechna rozšíření prohlížeče s umělou inteligencí nainstalovaná uživateli a zablokovat ta riziková?

V případě politiky je cíl také explicitní.
Převeďte záměry řízení do vymahatelných kontrol v reálném světě.

Tato sekce testuje, zda se zásady vztahují k akcím, u kterých dochází k vystavení, včetně výzev, nahrávání, kopírování/vkládání a odpovědí. Testuje také blokování citlivých dat pro PII, PHI a IP a také schopnost detekovat a blokovat vkládání výzev v prohlížečích s umělou inteligencí.

Nezastavuje se u jediného vynucovacího opatření. Ptá se, zda dodavatelé podporují více režimů vynucování, jako je Povolit, Monitorovat, Varovat, Obejít s odůvodněním, Blokovat a Redaktovat, a zda lze zásady konzistentně aplikovat napříč prohlížeči, SaaS, rozšířeními a agenty.

Jak testujete vynucování v reálném čase v době interakce?

Průvodce zachází s řízením doby interakce jako se samostatnou oblastí hodnocení s jasným cílem. Řídit riziko umělé inteligence v okamžiku, kdy k němu dojde.

Ptá se, zda řešení dokáže kontrolovat výzvy, vstupy, nahrávání a odpovědi v reálném čase a zda vynucování zohledňuje záměr, identitu a kontext relace.

Také testuje provozní realitu, která určuje, zda kontrolní mechanismy fungují v praxi:

  • Detekce anomálií a vynucování pravidel pro zneužití, porušení zásad nebo anomální chování
  • Nerušivé ovládací prvky, které nenarušují pracovní postupy ani nesnižují výkon
  • Ovládací prvky odolné proti obcházení, které minimalizují pokusy uživatelů o obejití zásad nebo použití nespravovaných alternativních řešení
  • Pokyny pro uživatele prostřednictvím varování, vysvětlení nebo pokynů v reálném čase v případě, že akce porušují zásady

Jak proměníte odpovědi dodavatele v obhajitelné rozhodnutí?

Průvodce obsahuje jednoduchý proces hodnocení určený pro porovnání.

  1. Projděte si každou část, abyste pochopili požadavky. 
  2. Rozešlete RFP vybraným dodavatelům AI Usage Control. 
  3. Požádejte každého dodavatele, aby u každého požadavku vyplnil sloupec Odpověď s následujícími údaji:
     Odpověď Ano nebo Ne
     Podrobný popis schopností a případně uveďte reference 
  4. Vyhodnoťte a porovnejte odpovědi, abyste identifikovali dodavatele, který nejlépe splňuje vaše potřeby v oblasti správy, zabezpečení, provozu a produktivity.

Praktickou hodnotou je konzistence. Každý dodavatel reaguje na stejné požadavky, ve stejném formátu, napříč stejnými doménami a s referencemi.

Takto se přesouváte od dojmů k důkazům.

Co byste měli dělat dál?

Pokud je umělá inteligence integrována do prohlížečů, SaaS platforem, rozšíření, kopilotů a nově vznikajících agentních pracovních postupů, pak musí řízení fungovat v okamžiku interakce.

Tato příručka standardizuje hodnotící kritéria, aby bylo možné dodavatele konzistentně a vedle sebe posuzovat podle skutečných požadavků podnikové správy a řízení umělé inteligence, a to včetně vyhledávání informací, kontextového hodnocení rizik, správy a řízení založeného na zásadách, vymáhání v reálném čase, auditovatelnosti, provozní vhodnosti a připravenosti na budoucnost.

Stáhněte si Průvodce RFP pro hodnocení řešení pro kontrolu užívání umělé inteligence