Johtajien vuosikymmenten aikana rakentamat hallintokehykset on suunniteltu ihmisille. Tekoälyagentit eivät ole ihmisiä, ja näiden kahden tosiasian välinen kuilu on se, missä liiketoimintariskit kasaantuvat nopeimmin.
Viime vuoden aikana organisaatiot ovat joutuneet kohtaamaan sen tosiasian, että tekoäly otetaan käyttöön nopeammin kuin sitä voidaan hallita. Varjo-AI:n lisääntyvä käyttö paljastaa aukkoja sen suhteen, kuka tai mikä voi toimia. Uusin tutkimuksemme osoittaa, että 91 % organisaatioista käyttää jo tekoälyagentteja, mutta vain 10 %:lla on selkeä strategia niiden hallintaan.
Tekoälyagentit ovat nyt toimijoita, jotka toimivat itsenäisesti ilman, että ihmispäällikkö näyttää tietä.
Nämä itsenäiset digitaaliset toimijat voivat analysoida dataa, käynnistää työnkulkuja ja toimia yritysten sisällä. Mutta vaikka nopeuden, mittakaavan ja tuottavuuden edut on helppo nähdä, auktoriteetin muutos on vähemmän ilmeinen.
Todellinen uhka yritysten tekoälyn käyttöönotossa ei ole se, kuinka älykkäät agentit ovat, vaan se, kuinka paljon johtajat delegoivat heille valtaa. Kyse on päätösoikeuksista ja siitä, mitä tapahtuu, kun valtuudet siirretään järjestelmille, joita organisaatiot eivät voi täysin nähdä, saati kontrolloida.
Loppujen lopuksi riski ei ole se, että tekoälyagentit käyttäytyvät haitallisesti. Pikemminkin ne käyttäytyvät täsmälleen määritetyllä tavalla järjestelmissä, joita ei koskaan suunniteltu ottamaan huomioon ei-ihmisidentiteetit.
Yritykset ovat vuosien ajan rakentaneet turvallisuusmalleja ihmisten ympärille. Työntekijät palkataan, valtuutetaan, valvotaan ja lopulta irtisanotaan, kun he lähtevät. Identiteetin hallinta mahdollistaa tämän: näin organisaatiot tarkistavat, keitä työntekijät ovat, mihin he voivat muodostaa yhteyden ja mihin heillä on oikeus.
Tekoälyagentit rikkovat tämän mallin. He eivät kirjaudu sisään klo 9.00 tai kirjaudu ulos klo 17.00. Ne toimivat jatkuvasti useissa järjestelmissä ja pilviympäristöissä. Ne voivat palauttaa arkaluontoisia tietoja, aktivoida talousprosesseja tai tehdä asiakaskohtaisia päätöksiä sekunneissa.
Yritykset kuitenkin kohtelevat agentteja edelleen taustaohjelmistoina, eivätkä operatiivisia toimijoita, joilla on todellinen auktoriteetti.
Graviteen, API-hallintaalustan, tuoreen tutkimuksen mukaan vain 22 % organisaatioista kohtelee tekoälyagentteja itsenäisinä identiteeteinä, vaikka lähes 90 % yrityksistä raportoi epäillyistä tai vahvistetuista tietoturvahäiriöistä, joissa tekoälyagentteja on osallisena.
Harkitse yleistä skenaariota: yritys ottaa käyttöön sisäisen tekoälyagentin työntekijöiden hallinnan optimoimiseksi. Työntekijä pyytää agenttia lähettämään lomaa, päivittämään palkkatiedot ja ilmoittamaan asiasta esimiehelleen. Agentti muodostaa automaattisesti yhteyden henkilöstöjärjestelmiin, rahoitusalustoihin ja yhteistyötyökaluihin suorittaakseen pyynnön.
Ajattele, kuinka monta järjestelmää agentti tarvitsee pyynnön suorittamiseksi. Mitä lupia sinulla on? Mitä tukiasemia käytät tai jätät mahdollisesti auki? Mitä tapahtuu, jos jokin menee pieleen?
Tehokkuushyöty on todellinen. Mutta ellei jokaista vaihetta säännellä selkeällä henkilöllisyyden tarkistuksella, yritys ei välttämättä tiedä tarkalleen, mikä valtuutus on delegoitu ja kuinka toimia ongelmatilanteissa.
Siksi identiteettivaje on johtamisongelma, ei vain tekninen.
Perinteiset pääsymallit ottavat suhteellisen vakaat roolit ja ennustettavan ihmisen käyttäytymisen. Tekoälyagentit toimivat dynaamisten tehtävien ja delegoitujen valtuuksien kautta. He saattavat tarvita hyvin erityisiä väliaikaisia käyttöoikeuksia suorittaakseen yhden toiminnon ja siirtyäkseen sitten välittömästi seuraavaan työnkulkuun.
Ilman kykyä jatkuvasti todentaa ja valtuuttaa jokaista vaihetta, organisaatiot ovat vaarassa kerääntyä kasvavaan joukkoon ei-inhimillisiä toimijoita, joilla on laaja ja jatkuva pääsy kriittisiin järjestelmiin (jota monissa tapauksissa ei koskaan tarkoituksella myönnetty).
Näemme jo tämän tapahtuvan, kun organisaatiot alkavat ottaa tekoälyn luomaa koodia ja automatisoituja toimia todellisiin ympäristöihin, usein nopeammin kuin hallintomallit pystyvät pysymään perässä. Viimeaikaiset tapahtumat, kuten McDonald’sin chatbotin rikkominen, jossa heikot tarkastukset paljastivat miljoonia hakijoiden tietueita tai kun Replitin tekoälyn salausagentti poisti elävän tuotantotietokannan, osoittavat, kuinka nopeasti nämä rikkomukset voivat muuttua todellisiksi katastrofeiksi.
Tekoälyagentti, joka on määritetty optimoimaan toimitusketjun päätökset, voi laukaista laajamittaiset ostositoumukset. Asiakaspalveluagentti voi paljastaa arkaluonteisia tilitietoja. Talousraportoija voisi jakaa arkaluonteisia tietoja useista lähteistä suurelle yleisölle.
Kaikki nämä tapaukset johtuisivat huonosti hallitusta autonomiasta.
Sääntelyviranomaiset alkavat toimia. Useilla markkinoilla, kuten Singaporessa ja Australiassa, päättäjät korostavat, että organisaatiot ovat vastuussa automaattisista järjestelmistään.
Tämä asettaa vaatimusten noudattamisen haasteen yritysjohtajille. Miten todistat, mikä järjestelmä teki päätöksen? Miten osoitat, että käyttöoikeus oli asianmukainen toimenpiteen suorittamishetkellä? Kuinka keskeyttää tai peruuttaa valtuutus, jos agentti käyttäytyy odottamattomasti?
Tekoälyagenttien suojelemiseksi organisaatioiden on kyettävä vastaamaan kolmeen peruskysymykseen: Missä agenttini ovat, mihin he voivat muodostaa yhteyden ja mitä he saavat tehdä?
Onneksi yritysten ei tarvitse keksiä pyörää uudelleen. Heillä on jo tarvittavat käytännöt tekoälyagenttien hallintaan: johtajien on vain kohdeltava heitä enemmän tai vähemmän samalla tavalla kuin he kohtelevat työntekijöitä.
Käytännössä tämä tarkoittaa vakiintuneiden työvoimaturvallisuusperiaatteiden soveltamista uuteen toimintaympäristöön. Organisaatiot tarvitsevat agenttien elinkaaren hallintaa. Niiden on määriteltävä lupien laajuus ja kesto, seurattava toimintaa jatkuvasti ja vaadittava tehostettuja valtuuksia riskialttiisiin toimiin. Laajan ja pitkäaikaisen käyttöoikeuden sijaan agenttien tulisi toimia kertaluonteisilla valtuustiedoilla, jotka on sidottu tiettyihin tehtäviin.
Organisaatiot, jotka menestyvät tekoälyn käyttöönotossa, eivät ole ne, jotka toteuttavat eniten tekoälyä tai edes ne, jotka toteuttavat älykkäimmän tekoälyn. He ovat niitä, jotka ilmoittavat selvästi, että heillä on oikeus toimia, ja luotettava tapa todistaa se. Näin tekoäly lakkaa olemasta kokeilu (tai riski) ja siitä tulee todellinen voimavara.
Fortune.comin kommenteissa ilmaistut mielipiteet ovat yksinomaan niiden kirjoittajien näkemyksiä, eivätkä ne välttämättä heijasta Fortunen mielipiteitä ja uskomuksia.
