Come la governance e la sicurezza possono guidare l’adozione dell’AI agentica
Negli ultimi anni, il termine “rischi ombra” è diventato familiare per i dirigenti tecnologici. Questo termine si riferisce a beni o applicazioni che sfuggono alla visibilità dell’IT. Per anni, i professionisti della sicurezza dei dati hanno cercato di identificare e proteggere i dati ombra, ovvero informazioni sensibili archiviate al di fuori dei sistemi di gestione dei dati formali.
Recentemente, i professionisti IT hanno dovuto affrontare il problema dell’AI ombra, ovvero la presenza di applicazioni AI non autorizzate all’interno dei sistemi IT di un’impresa. Oggi, un nuovo rischio ombra è all’orizzonte: gli agenti AI ombra.
Con l’avanzamento della tecnologia AI generativa, le aziende stanno sperimentando con entusiasmo la sua ultima iterazione: agenti AI che possono prendere decisioni, utilizzare altri strumenti software e interagire autonomamente con sistemi critici. Questo può essere un grande vantaggio, ma solo se le aziende hanno la giusta governance e sicurezza AI in atto.
Autonomia e accessibilità degli agenti AI
L’autonomia degli agenti AI è un punto di forza principale. La loro capacità di perseguire obiettivi, risolvere compiti complessi e manovrare abilmente all’interno degli ambienti tecnologici consente di sbloccare importanti guadagni di produttività. Compiti che un tempo richiedevano l’intervento umano, come la risoluzione di problemi IT o la gestione dei flussi di lavoro HR, possono essere accelerati con l’aiuto degli agenti.
Inoltre, l’accessibilità degli agenti AI è un ulteriore vantaggio. Questi strumenti utilizzano elaborazione del linguaggio naturale avanzata, permettendo a una vasta gamma di lavoratori – non solo sviluppatori software e ingegneri – di assegnare nuovi casi d’uso o flussi di lavoro agli agenti.
Rischi associati all’autonomia degli agenti AI
Tuttavia, questa stessa autonomia e accessibilità possono invitare al rischio se non accompagnate da una corretta governance e sicurezza AI. Poiché una gamma più ampia di dipendenti può utilizzare gli agenti AI, aumenta la possibilità che qualcuno impieghi questi strumenti senza autorizzazione o adeguata formazione.
Le aziende hanno già riscontrato questo problema con assistenti AI e chatbot. I dipendenti possono inserire dati aziendali importanti in strumenti di terze parti non autorizzati, comportando il rischio di furti di dati.
Poiché gli agenti AI possono operare in modo autonomo all’interno delle infrastrutture chiave, aumenta il potenziale impatto negativo delle configurazioni ombra. Gli agenti AI sono vulnerabili agli stessi problemi di altri sistemi AI, come allucinazione, pregiudizio e deriva.
Controllo e governance degli agenti AI
Quando sono emersi i problemi legati ai dati ombra e all’AI ombra tradizionale, le imprese non hanno bloccato l’innovazione: si sono adattate. Questa dovrebbe essere la strategia anche in questa nuova era.
Il primo passo per allontanare le ombre è introdurre luce. I professionisti IT hanno bisogno di visibilità completa sugli agenti AI nel loro ambiente. Gli strumenti di governance e sicurezza AI possono cercare e catalogare automaticamente le applicazioni AI, evitando che gli agenti rimangano nell’ombra.
Dopo la scoperta, l’agente deve essere inserito nell’inventario, allineato a un caso d’uso e incorporato nel processo di governance. La valutazione del rischio, la valutazione della conformità e i controlli e le protezioni adeguati – tutti componenti chiave della governance AI – vengono applicati per mitigare il rischio.
Le imprese dovrebbero anche rendere le azioni degli agenti tracciabili e spiegabili. È fondamentale stabilire soglie predefinite per la tossicità e il pregiudizio. Inoltre, è essenziale monitorare attentamente i risultati degli agenti per la pertinenza del contesto, la fedeltà delle query e la qualità della selezione degli strumenti.
Il cuore di questa strategia è garantire che la sicurezza e la governance AI siano discipline profondamente integrate. Questa collaborazione deve avvenire a livello software, ma anche a livello umano: gli sviluppatori AI e i professionisti della sicurezza devono comunicare spesso e in modo tempestivo.
