Đừng cung cấp các công cụ AI cho lập trình viên nếu thiếu ba cơ chế kiểm soát này
Việc cung cấp các công cụ AI cho đội ngũ của bạn có vẻ dễ dàng. Bạn kết nối một mô hình, đưa một mã khóa dùng chung (shared key) vào tệp cấu hình, và triển khai nó.
Nghe có vẻ có trách nhiệm. Nhưng thực tế lại rất nguy hiểm.
Những vấn đề liên quan đến mã khóa dùng chung và việc thiếu nhật ký (logs) sẽ không xuất hiện ngay từ ngày đầu tiên. Không có gì bị hỏng. Các công cụ vẫn hoạt động bình thường. Những vấn đề này sẽ ẩn mình cho đến khi chúng trở thành những cuộc khủng hoảng.
Nếu bạn muốn mở rộng quy mô AI một cách an toàn, bạn phải xây dựng ba thứ ngay từ lần commit đầu tiên:
- Mã khóa theo từng người dùng (Per-user keys)
- Nhật ký kiểm tra (Audit logging)
- Kiểm soát chi phí (Cost controls)
Một mã khóa dùng chung là một cái bẫy. Nếu một lập trình viên nghỉ việc hoặc một mã khóa bị rò rỉ trong ảnh chụp màn hình, bạn sẽ phải đối mặt với một sự lựa chọn. Hoặc là bạn thay đổi mã khóa (rotate key) và làm hỏng công cụ của tất cả mọi người cùng một lúc. Hoặc là bạn không làm gì cả và để một cựu nhân viên tiếp tục truy cập vào các mô hình của bạn.
Mã khóa theo từng người dùng giúp việc này trở nên đơn giản. Một người rời đi, bạn vô hiệu hóa một mã khóa, và không ai khác nhận ra điều đó. Mỗi yêu cầu đều có một danh tính. Bạn có thể trả lời câu hỏi "ai đã làm việc này" ngay lập tức.
Nhật ký kiểm tra (Audit logging) chính là bảo hiểm của bạn. Bạn không thể kiểm tra lại quá khứ một cách hồi tố. Nếu bạn không ghi nhật ký ngay từ đầu, bạn sẽ không có bằng chứng khi các bộ phận bảo mật hoặc tuân thủ (compliance) đặt câu hỏi.
Đừng mặc định ghi lại mọi prompt hay kết quả phản hồi (completion). Điều đó tạo ra một rủi ro bảo mật mới. Thay vào đó, hãy ghi lại siêu dữ liệu (metadata): ai, khi nào, mô hình nào và chi phí là bao nhiêu.
Kiểm soát chi phí giúp ngăn chặn những bất ngờ. Chi phí cho AI thường biến động mạnh. Một tác nhân (agent) bị kẹt trong một vòng lặp có thể làm cạn kiệt ngân sách của bạn chỉ trong vài giờ. Hãy sử dụng hạn mức theo từng người dùng và cảnh báo ngân sách. Điều này sẽ biến một hóa đơn khổng lồ thành một thông báo đơn giản.
Ba cơ chế kiểm soát này không phải là các tính năng riêng biệt. Chúng hoạt động cùng nhau. Bạn không thể theo dõi chi phí trên mỗi người nếu bạn không thể xác định được người đó là ai.
Một số người gọi đây là gold-plating (làm quá mức cần thiết). Không phải vậy.
Gold-plating là những công việc mang tính suy đoán. Còn những cơ chế kiểm soát này là những điều chắc chắn. Ai đó sẽ nghỉ việc. Một mã khóa sẽ bị rò rỉ. Một hóa đơn sẽ tăng vọt.
Thực hiện việc này ngay bây giờ chỉ mất một buổi chiều. Thực hiện nó sau này sẽ đòi hỏi một cuộc di trú (migration) khổng lồ và đầy áp lực.
Hãy xây dựng nó một cách tiết kiệm. Hãy xây dựng nó ngay từ đầu.
Cộng đồng học tập tùy chọn: https://t.me/GyaanSetuAi
