به توسعه‌دهندگان ابزارهای هوش مصنوعی بدون این سه کنترل اختصاص ندهید

دادن ابزارهای هوش مصنوعی به تیمتان آسان به نظر می‌رسد. یک مدل را متصل می‌کنید، یک کلید مشترک را در تنظیمات قرار می‌دهید و آن را عرضه می‌کنید.

این کار مسئولانه به نظر می‌رسد، اما در واقع خطرناک است.

مشکلات مربوط به کلیدهای مشترک و نبودِ لاگ (log)، از روز اول خود را نشان نمی‌دهند. هیچ‌چیز خراب نمی‌شود. ابزارها کار می‌کنند. مشکلات پنهان می‌مانند تا زمانی که به بحران تبدیل شوند.

اگر می‌خواهید هوش مصنوعی را به‌صورت ایمن مقیاس‌پذیر کنید، باید از اولین کامیت (commit)، سه چیز را بسازید:

  • کلیدهای اختصاصی برای هر کاربر (Per-user keys)
  • ثبت لاگ بازرسی (Audit logging)
  • کنترل‌های هزینه (Cost controls)

یک کلید مشترک یک تله است. اگر توسعه‌دهنده‌ای شرکت را ترک کند یا یک کلید در یک اسکرین‌شات لو برود، با یک انتخاب روبرو می‌شوید: یا کلید را تغییر می‌دهید (rotate) و ابزار همه را همزمان از کار می‌اندازید، یا هیچ کاری نمی‌کنید و اجازه می‌دهید یک کارمند سابق به مدل‌های شما دسترسی داشته باشد.

کلیدهای اختصاصی برای هر کاربر، این کار را ساده می‌کنند. یک نفر می‌رود، شما فقط یک کلید را غیرفعال می‌کنید و بقیه متوجه چیزی نمی‌شوند. هر درخواست دارای یک هویت است. می‌توانید بلافاصله به این سوال پاسخ دهید که «چه کسی این کار را انجام داده است؟».

ثبت لاگ بازرسی، بیمه شماست. شما نمی‌توانید گذشته را به‌صورت گذشته‌نگر بازرسی کنید. اگر از ابتدا لاگ‌گیری نکنید، زمانی که بخش امنیت یا انطباق (compliance) سوالاتی می‌پرسد، هیچ مدرکی نخواهید داشت.

به‌صورت پیش‌فرض، تمام پرامپت‌ها (prompts) یا پاسخ‌ها (completions) را لاگ نکنید؛ این کار ریسک امنیتی جدیدی ایجاد می‌کند. در عوض، متاداده‌ها (metadata) را ثبت کنید: چه کسی، چه زمانی، از کدام مدل و با چه هزینه‌ای.

کنترل هزینه از غافلگیری‌ها جلوگیری می‌کند. هزینه‌های هوش مصنوعی نوسانی است. یک عامل (agent) که در یک حلقه گیر کرده باشد، می‌تواند در عرض چند ساعت بودجه شما را تخلیه کند. از سقف‌های تعیین‌شده برای هر کاربر و هشدارهای بودجه استفاده کنید. این کار یک صورت‌حساب سنگین را به یک اعلان ساده تبدیل می‌کند.

این سه کنترل، ویژگی‌های مجزایی نیستند؛ آن‌ها با هم کار می‌کنند. اگر نتوانید فرد را شناسایی کنید، نمی‌توانید هزینه هر نفر را پیگیری کنید.

برخی این کار را gold-plating (افزودن ویژگی‌های اضافی و غیرضروری) می‌نامند. اما این‌طور نیست.

gold-plating کار بر اساس حدس و گمان است، اما این کنترل‌ها قطعی هستند. یک نفر شرکت را ترک خواهد کرد. یک کلید لو خواهد رفت. یک صورت‌حساب ناگهان بالا خواهد رفت.

انجام این کار در حال حاضر، یک بعدازظهر زمان می‌برد، اما انجام آن در آینده، نیازمند یک مهاجرت (migration) عظیم و پرفشار خواهد بود.

ارزان بسازیدش. اول بسازیدش.

Source: https://dev.to/azeemsidd3/if-youre-giving-developers-ai-tools-you-need-per-user-keys-audit-logging-and-cost-controls-on-47ia

Optional learning community: https://t.me/GyaanSetuAi