Планы Китая и США по ИИ: один - про безопасность, другой - про скорость
На днях США (America’s AI Action Plan) и Китай (Action Plan for Global Governance of AI) представили свои планы, задающие вектор глобального регулирования ИИ. Мы видим, что философия, приоритеты и амбиции у двух стран совершенно разные.
Сначала общие черты:
🔹 США и Китай признают ИИ ключевой технологией 21 века. Обе страны делают ставку на активное внедрение ИИ во все сферы — от промышленности до госуслуг.
🔹Обе стратегии подчеркивают важность масштабных инвестиций в дата-центры, вычислительные мощности, устойчивые энергосистемы и доступ к качественным данным.
🔹Обе страны делают ставку на развитие ИИ-компетенций у граждан и формирование нового поколения специалистов, способных создавать и использовать ИИ этично и эффективно.
👀 А теперь их контрастное виденье на регулирование ИИ.
Как неудивительно, Китай продвигает создание глобальной системы управления ИИ, основанной на участии всех сторон (государств, бизнеса, ученых) и системе глобальных стандартов совместно с ISO, IEC, ITU.
США же говорят о национальном лидерстве, защите демократии, экономике и ценностях, а международное сотрудничество в первую очередь с "единомышленниками".
Смотрим детальнее на план Китая:
🔹 Полноценная система управления рисками ИИ (уровни угроз, протоколы реагирования,механизмы экстренного реагирования), международные соглашения.Подход "сначала безопасность", т.е. риски должны выявляться заранее, а не по факту.
🔹 Делает акцент на прозрачность, интерпретируемость моделей, отслеживаемость ИИ-систем, защиту персональных данных. Баланс инноваций, этики и предотвращения дискриминации.
🔹 Идея глобальной платформы по безопасности ИИ под эгидой ООН, создание совместных центров компетенций.
🔹 Инфраструктура для всего мира: центры обработки данных, стандарты вычислений, дешёвые мощности (особенно для развивающихся стран), open-source модели, доступ к качественным данным.
План США:
🔹Устранение "бюрократических проволочек и обременительных правил" для ускорения инноваций и внедрения ИИ, возглавляемых частным сектором. Делают ставку на федеральные институты безопасности (например, AI Safety Institute). Акцент на оценке рисков высокоуровневых моделей, защите от злоупотреблений, национальной безопасности. Риски регулируются точечно, т.е. там, где есть реальная угроза для страны.
🔹Локальная производственная база (например, полупроводники). Поддержка open-source решений с оговорками в вопросах безопасности и конкурентоспособности. Экспорт решений союзникам и партнерам.
🔹Защита частной жизни, свободы слова, защита труда, в основе собственный "AI Bill of Rights"
🔹Правительство планирует демонстрировать "образцовое внедрение" ИИ в каждом ведомстве, госзакупки, открытые API.
🔹Внутреннее развитие кадров (переобучение, STEM-образование, поддержка пострадавших от автоматизации отраслей).
Что это значит?
Китай предлагает структурированный, государственно-ведомый путь, где всё чётко, шаг за шагом и под контролем.
США делают ставку на скорость, конкуренцию и технологическое лидерство, иногда в ущерб долгосрочной устойчивости.
Если вы создаете международный ИИ-продукт, то вам придётся лавировать между этими двумя экосистемами. А возможно, даже адаптироваться под обе.
#LawAndDisorder
————
@pattern_ai
На днях США (America’s AI Action Plan) и Китай (Action Plan for Global Governance of AI) представили свои планы, задающие вектор глобального регулирования ИИ. Мы видим, что философия, приоритеты и амбиции у двух стран совершенно разные.
Сначала общие черты:
🔹 США и Китай признают ИИ ключевой технологией 21 века. Обе страны делают ставку на активное внедрение ИИ во все сферы — от промышленности до госуслуг.
🔹Обе стратегии подчеркивают важность масштабных инвестиций в дата-центры, вычислительные мощности, устойчивые энергосистемы и доступ к качественным данным.
🔹Обе страны делают ставку на развитие ИИ-компетенций у граждан и формирование нового поколения специалистов, способных создавать и использовать ИИ этично и эффективно.
Как неудивительно, Китай продвигает создание глобальной системы управления ИИ, основанной на участии всех сторон (государств, бизнеса, ученых) и системе глобальных стандартов совместно с ISO, IEC, ITU.
США же говорят о национальном лидерстве, защите демократии, экономике и ценностях, а международное сотрудничество в первую очередь с "единомышленниками".
Смотрим детальнее на план Китая:
🔹 Полноценная система управления рисками ИИ (уровни угроз, протоколы реагирования,механизмы экстренного реагирования), международные соглашения.Подход "сначала безопасность", т.е. риски должны выявляться заранее, а не по факту.
🔹 Делает акцент на прозрачность, интерпретируемость моделей, отслеживаемость ИИ-систем, защиту персональных данных. Баланс инноваций, этики и предотвращения дискриминации.
🔹 Идея глобальной платформы по безопасности ИИ под эгидой ООН, создание совместных центров компетенций.
🔹 Инфраструктура для всего мира: центры обработки данных, стандарты вычислений, дешёвые мощности (особенно для развивающихся стран), open-source модели, доступ к качественным данным.
План США:
🔹Устранение "бюрократических проволочек и обременительных правил" для ускорения инноваций и внедрения ИИ, возглавляемых частным сектором. Делают ставку на федеральные институты безопасности (например, AI Safety Institute). Акцент на оценке рисков высокоуровневых моделей, защите от злоупотреблений, национальной безопасности. Риски регулируются точечно, т.е. там, где есть реальная угроза для страны.
🔹Локальная производственная база (например, полупроводники). Поддержка open-source решений с оговорками в вопросах безопасности и конкурентоспособности. Экспорт решений союзникам и партнерам.
🔹Защита частной жизни, свободы слова, защита труда, в основе собственный "AI Bill of Rights"
🔹Правительство планирует демонстрировать "образцовое внедрение" ИИ в каждом ведомстве, госзакупки, открытые API.
🔹Внутреннее развитие кадров (переобучение, STEM-образование, поддержка пострадавших от автоматизации отраслей).
Что это значит?
Китай предлагает структурированный, государственно-ведомый путь, где всё чётко, шаг за шагом и под контролем.
США делают ставку на скорость, конкуренцию и технологическое лидерство, иногда в ущерб долгосрочной устойчивости.
Если вы создаете международный ИИ-продукт, то вам придётся лавировать между этими двумя экосистемами. А возможно, даже адаптироваться под обе.
#LawAndDisorder
————
@pattern_ai
Please open Telegram to view this post
VIEW IN TELEGRAM
👏1
Таксономия рисков ИИ от MIT и как использовать их методологию в своей работе
Исследователи из MIT собрали 831 меру снижения рисков, связанных с ИИ из 13 фреймворков и разложили их по таксономии в гайде Mapping AI Risk Mitigations. Но это не вся польза от гайда, в нем подробно расписана методология создания, которую можно адаптировать для своих целей.
🔹 MIT использовали Claude 4 Sonnet, Opus и ChatGPT o3 для извлечения мер из документов, классификации по заранее заданной структуре, стандартизации описаний, проверки “edge cases”. При анализе выяснили, что некоторые важные меры почти не встречаются в документах (например, Model Alignment — <1%).
Такой же подход подойдёт, если вы строите внутреннюю базу знаний, документацию по управлению рисками или разрабатываете compliance-процессы. НО автоматизация = быстро, поэтому важна обязательная ручная проверка, т.к. LLM путаются, объединяют несколько мер в одну или "придумывают" несуществующее.
🔹У них получилось 4 категории + 23 подкласса:
- Governance (например, защита информаторов, конфликт интересов);
- Security (модельная безопасность, RLHF, watermarking);
- Operations (тестирование, staged deployment, monitoring);
- Transparency (логирование, раскрытие рисков, права пользователя).
Главный вывод, смотря на таблицу, что ИИ развивается быстрее, чем успевают адаптироваться фреймворки и таксономия, например, тестирование входит сразу в несколько направлений. Жёсткая таксономия малоэффективна.
Поэтому не бойтесь, если внутренняя классификация будет неидеальна, лучше “живой список мер” под необходимый стек, чем академическая схема.
Описания мер и примеры подойдут для составления своей базы мер, чек-листов, планов аудита и т.п.
Интерактивная версия базы и карта
🔹Собран список из 13 ключевых фреймворков (NIST AI RM, EU AI Act, FLI Index, Unified Control Framework и т.д.).
Можно использовать как справочник, чтобы определиться с необходимым фреймворком, составить свою политику управления рисками ИИ.
🔹Приведен пример короткого промпта:
Варианты адаптации:
taxonomy = структура (даже простая табличка);
mitigation = описание инцидентов, мер, требований или задач из Jira, Notion или CSV.
MIT проделали большую работу, используйте в своих процессах.
#TalkPrompty #BehindTheMachine
————
@pattern_ai
Исследователи из MIT собрали 831 меру снижения рисков, связанных с ИИ из 13 фреймворков и разложили их по таксономии в гайде Mapping AI Risk Mitigations. Но это не вся польза от гайда, в нем подробно расписана методология создания, которую можно адаптировать для своих целей.
🔹 MIT использовали Claude 4 Sonnet, Opus и ChatGPT o3 для извлечения мер из документов, классификации по заранее заданной структуре, стандартизации описаний, проверки “edge cases”. При анализе выяснили, что некоторые важные меры почти не встречаются в документах (например, Model Alignment — <1%).
Такой же подход подойдёт, если вы строите внутреннюю базу знаний, документацию по управлению рисками или разрабатываете compliance-процессы. НО автоматизация = быстро, поэтому важна обязательная ручная проверка, т.к. LLM путаются, объединяют несколько мер в одну или "придумывают" несуществующее.
🔹У них получилось 4 категории + 23 подкласса:
- Governance (например, защита информаторов, конфликт интересов);
- Security (модельная безопасность, RLHF, watermarking);
- Operations (тестирование, staged deployment, monitoring);
- Transparency (логирование, раскрытие рисков, права пользователя).
Главный вывод, смотря на таблицу, что ИИ развивается быстрее, чем успевают адаптироваться фреймворки и таксономия, например, тестирование входит сразу в несколько направлений. Жёсткая таксономия малоэффективна.
Поэтому не бойтесь, если внутренняя классификация будет неидеальна, лучше “живой список мер” под необходимый стек, чем академическая схема.
Описания мер и примеры подойдут для составления своей базы мер, чек-листов, планов аудита и т.п.
Интерактивная версия базы и карта
🔹Собран список из 13 ключевых фреймворков (NIST AI RM, EU AI Act, FLI Index, Unified Control Framework и т.д.).
Можно использовать как справочник, чтобы определиться с необходимым фреймворком, составить свою политику управления рисками ИИ.
🔹Приведен пример короткого промпта:
I am working with the following taxonomy of AI risk controls {draft taxonomy in XML format}. For each mitigation {mitigation name and description}, assign the best-fit category with a confidence score and
justification. If no category fits, say so. List secondary categories if applicable.
Варианты адаптации:
taxonomy = структура (даже простая табличка);
mitigation = описание инцидентов, мер, требований или задач из Jira, Notion или CSV.
MIT проделали большую работу, используйте в своих процессах.
#TalkPrompty #BehindTheMachine
————
@pattern_ai
Шаблоны AI-политик, которые можно забрать в работу
🔹 AI Usage Policy Template | TrustCloud, ориентирована на стартапы и SaaS, что можно / нельзя, как обеспечивается прозрачность;
🔹 AI Policy Template | NFPS.AI, цели, роли, процессы, оценка рисков, подходит для НКО и социальных проектов;
🔹 Artificial Intelligence Acceptable Use Standard | SANS, безопасное использование, недопустимые сценарии, контроль доступа, часто используется как основной стандарт;
🔹 Safeguard Validation Management Policy | SANS, процедуры проверки защитных механизмов, для compliance и security-команд;
🔹 AI tool usage policy | Workable, ориентирована на HR и рекрутмент, описывает использование AI-инструментов для найма;
🔹 AI Policy Template | RAI Institute, комплексный шаблон, согласованный с NIST AI RMF и ISO 42001, подходит для организаций, которые выстраивают полный цикл AI Governance.
🔹Generative AI Use Policy | Data.org, ориентирована на гуманитарные и образовательные проекты, с фокусом на GenAI.
📌 При разработке AI-политики важно не просто адаптировать шаблон, а встроить его в реальные процессы вашей команды. Вовлекайте специалистов при создании и обновлении политики (безопасников, юристов, dpo). Обязательно учтите следующие элементы:
▪️human-in-the-loop (определите, в каких задачах и когда участие человека обязательно);
▪️запрещённые сценарии (чётко зафиксируйте, что недопустимо (н-р, генерация контента без раскрытия, принятие решений без верификации и т.п.));
▪️реагирование на инциденты и аудит (пропишите, как фиксируются инциденты, кто проводит проверку и как принимаются корректирующие меры);
▪️актуализация (пересматривайте политику не реже чем раз в 6–12 месяцев, особенно при появлении новых инструментов или регуляторных требований);
▪️обучение команды ( не просто внедрите политику, а обучите сотрудников тому, как она работает и зачем она нужна).
Главное, чтобы AI-политика "работала" на вас, а не просто лежала очередным документом в папке.
#AIShelf
————
@pattern_ai
🔹 AI Usage Policy Template | TrustCloud, ориентирована на стартапы и SaaS, что можно / нельзя, как обеспечивается прозрачность;
🔹 AI Policy Template | NFPS.AI, цели, роли, процессы, оценка рисков, подходит для НКО и социальных проектов;
🔹 Artificial Intelligence Acceptable Use Standard | SANS, безопасное использование, недопустимые сценарии, контроль доступа, часто используется как основной стандарт;
🔹 Safeguard Validation Management Policy | SANS, процедуры проверки защитных механизмов, для compliance и security-команд;
🔹 AI tool usage policy | Workable, ориентирована на HR и рекрутмент, описывает использование AI-инструментов для найма;
🔹 AI Policy Template | RAI Institute, комплексный шаблон, согласованный с NIST AI RMF и ISO 42001, подходит для организаций, которые выстраивают полный цикл AI Governance.
🔹Generative AI Use Policy | Data.org, ориентирована на гуманитарные и образовательные проекты, с фокусом на GenAI.
▪️human-in-the-loop (определите, в каких задачах и когда участие человека обязательно);
▪️запрещённые сценарии (чётко зафиксируйте, что недопустимо (н-р, генерация контента без раскрытия, принятие решений без верификации и т.п.));
▪️реагирование на инциденты и аудит (пропишите, как фиксируются инциденты, кто проводит проверку и как принимаются корректирующие меры);
▪️актуализация (пересматривайте политику не реже чем раз в 6–12 месяцев, особенно при появлении новых инструментов или регуляторных требований);
▪️обучение команды ( не просто внедрите политику, а обучите сотрудников тому, как она работает и зачем она нужна).
Главное, чтобы AI-политика "работала" на вас, а не просто лежала очередным документом в папке.
#AIShelf
————
@pattern_ai
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
"Красота по алгоритму" или как кейс Vogue запустил новую волну дебатов в индустрии моды
В пятницу хочется поговорить о моде, тем более, что Vogue представил первую AI-модель в рекламе.
В свежем номере журнал показал «идеальную» модель, которая оказалась вовсе не человеком, а творением нейросети. Об этом упомянули мелким шрифтом, и читатели заметили. Потребители обвинили как Vogue, так и Guess в продвижении «недостижимых стандартов красоты» и выразили разочарование, называя подход «бездушным» и «дешёвым», что привело к массовым отменам подписок. Этот инцидент акцентирует внимание на необходимости прозрачности и ответственного использования AI в маркетинговых коммуникациях.
👀 Индустрия моды старается интегрировать ИИ и использует разные стратегии.
▪️H&M оцифровала 30 реальных моделей (например, Mathilda Gvarliani), создала их «digital twins» и использует их в маркетинге. Модели сохраняют права на свои копии и могут продавать использование другим брендам. H&M признаётся, что реакция будет разной, но это способ вовлечь модели и отнестись честно к индустрии.
▪️Соц.сети заполонены цифровыми моделями. Например, Shudu Gram (одна из первых цифровых моделей и виртуальных инфлюенсеров).Ее создателя критиковали за культурную апроприацию.
Анализ этих кейсов выявляет несколько ключевых выводов относительно пользовательского опыта и проектирования UX-дизайна:
🔹AI‑генерация быстрее, дешевле и масштабируемее, но часто теряется эмоциональная связь, индивидуальность и культурная значимость визуала;
🔹Цифровые модели требуют грамотной модели владения, монетизации, контроля;
🔹AI склонен к клише и узким стандартам, может усилить культурные стереотипы или исключения;
🔹Мелкая ссылка «AI‑generated» показала неуважение к пользователям, они чувствуют обман.
Перед индустрией моды встала стратегическая дилемма: с одной стороны, ИИ предлагает беспрецедентные возможности для масштабирования, скорости и персонализации контента и процессов. С другой стороны, его стремительное внедрение порождает серьёзные этические, правовые и социальные дилеммы, в том числе фундаментальный вопрос о подлинности визуального контента.
Теперь выбор стоит между приоритетом операционной эффективности за счёт ИИ и сохранением акцента на человечности, инклюзивности и уникальности, которые исторически были движущей силой моды.
#UXWatch
————
@pattern_ai
В пятницу хочется поговорить о моде, тем более, что Vogue представил первую AI-модель в рекламе.
В свежем номере журнал показал «идеальную» модель, которая оказалась вовсе не человеком, а творением нейросети. Об этом упомянули мелким шрифтом, и читатели заметили. Потребители обвинили как Vogue, так и Guess в продвижении «недостижимых стандартов красоты» и выразили разочарование, называя подход «бездушным» и «дешёвым», что привело к массовым отменам подписок. Этот инцидент акцентирует внимание на необходимости прозрачности и ответственного использования AI в маркетинговых коммуникациях.
▪️H&M оцифровала 30 реальных моделей (например, Mathilda Gvarliani), создала их «digital twins» и использует их в маркетинге. Модели сохраняют права на свои копии и могут продавать использование другим брендам. H&M признаётся, что реакция будет разной, но это способ вовлечь модели и отнестись честно к индустрии.
▪️Соц.сети заполонены цифровыми моделями. Например, Shudu Gram (одна из первых цифровых моделей и виртуальных инфлюенсеров).Ее создателя критиковали за культурную апроприацию.
Анализ этих кейсов выявляет несколько ключевых выводов относительно пользовательского опыта и проектирования UX-дизайна:
🔹AI‑генерация быстрее, дешевле и масштабируемее, но часто теряется эмоциональная связь, индивидуальность и культурная значимость визуала;
🔹Цифровые модели требуют грамотной модели владения, монетизации, контроля;
🔹AI склонен к клише и узким стандартам, может усилить культурные стереотипы или исключения;
🔹Мелкая ссылка «AI‑generated» показала неуважение к пользователям, они чувствуют обман.
Перед индустрией моды встала стратегическая дилемма: с одной стороны, ИИ предлагает беспрецедентные возможности для масштабирования, скорости и персонализации контента и процессов. С другой стороны, его стремительное внедрение порождает серьёзные этические, правовые и социальные дилеммы, в том числе фундаментальный вопрос о подлинности визуального контента.
Теперь выбор стоит между приоритетом операционной эффективности за счёт ИИ и сохранением акцента на человечности, инклюзивности и уникальности, которые исторически были движущей силой моды.
#UXWatch
————
@pattern_ai
Please open Telegram to view this post
VIEW IN TELEGRAM
👏1
AI Model Clauses: универсальные шаблоны для госструктур и частных компаний
AI Model Clauses - это стандартные договорные положения, которые регулируют разработку, закупку и использование систем ИИ. Их цель: минимизировать правовые, этические и операционные риски, установить чёткие правила взаимодействия между сторонами.
👀 Посмотрим, какие есть сейчас:
1. Updated EU AI model contractual clauses, предназначены для использования гос. организациями, которые закупают системы ИИ, разработанные внешними поставщиками.
Частные компании, особенно те, что работают с регулируемыми секторами или поставляют ИИ в гос. структуры, также могут использовать эти clauses как стандарт и ориентир по лучшим практикам.
📌 Для интереса, кейсы использования ИИ гос. органами на Public Sector Tech Watch
2. EU AI Act Contractual Clauses |Society for Computers & Law AI Group, UK, в виде таблицы представлен гибкий набор положений, которые можно адаптировать под различные сценарии, также акцент на управление рисками, этические аспекты.
3. Australia’s AI Model Clauses предназначены для использования в контрактах между гос. органами и поставщиками. Покупателям необходимо выбирать положения, исходя из конкретного способа использования ИИ в рамках договора и учитывая конкретные риски, связанные с таким использованием. Основное внимание уделяется принципам использования ИИ: справедливость, конфиденциальность, подотчетность, безопасность, объяснимость.
Частные компании могут адаптировать отдельные положения для защиты интересов при взаимодействии с подрядчиками или разработчиками ИИ.
#AIShelf
————
@pattern_ai
AI Model Clauses - это стандартные договорные положения, которые регулируют разработку, закупку и использование систем ИИ. Их цель: минимизировать правовые, этические и операционные риски, установить чёткие правила взаимодействия между сторонами.
1. Updated EU AI model contractual clauses, предназначены для использования гос. организациями, которые закупают системы ИИ, разработанные внешними поставщиками.
MCC-AI-High-Risk предназначен для закупок систем ИИ, классифицируемых как «высокорисковые» в соответствии с EU AI Act и основан на требованиях и обязательствах, изложенных в Главе 3.
MCC-AI-Light предназначен для закупок систем ИИ, которые не относятся к категории высокого риска, но всё же могут представлять угрозу здоровью, безопасности или основным правам, также требования Главы 3.
Частные компании, особенно те, что работают с регулируемыми секторами или поставляют ИИ в гос. структуры, также могут использовать эти clauses как стандарт и ориентир по лучшим практикам.
2. EU AI Act Contractual Clauses |Society for Computers & Law AI Group, UK, в виде таблицы представлен гибкий набор положений, которые можно адаптировать под различные сценарии, также акцент на управление рисками, этические аспекты.
3. Australia’s AI Model Clauses предназначены для использования в контрактах между гос. органами и поставщиками. Покупателям необходимо выбирать положения, исходя из конкретного способа использования ИИ в рамках договора и учитывая конкретные риски, связанные с таким использованием. Основное внимание уделяется принципам использования ИИ: справедливость, конфиденциальность, подотчетность, безопасность, объяснимость.
Например, положения для модели ИИ, помогающей в подготовке отчётов или анализа и обобщения информации, включают требования к продавцу:
- получить одобрение Покупателя на использование ИИ при предоставлении услуг;
- проводить проверки качества для подтверждения точности и надежности результатов ИИ
вести подробный учет использования ИИ;
- указывать запрещенные системы ИИ, которые Продавец не должен использовать при предоставлении услуг (например, DeepSeek и Kaspersky).
Примеры того, что должно быть включено в Тех.задание:
- в какой среде будет развернута система ИИ (например, локально, в публичном облаке, в частном облаке или в их комбинации);
- какая методология обучения и тестирования (включая виды обучения), продолжительность и процесс утверждения будут использоваться;
- каким образом сообщается о проблемах, как решаются, а уровень поддержки;
- как будут соблюдаться стандарты прозрачности и объяснимости (например, с помощью регулярных отчетов).
Пример того, как покупатель может потребовать от продавца предоставления системы управления рисками:
- короткий пункт, который требует соответствия стандарту ISO/IEC 42001:2023
- подробный пункт, который позволяет Покупателю указать, что должна охватывать система управления рисками ИИ Продавца.
Частные компании могут адаптировать отдельные положения для защиты интересов при взаимодействии с подрядчиками или разработчиками ИИ.
#AIShelf
————
@pattern_ai
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Примерный чек-лист для составления/проверки контрактов и примеры ИИ-инструментов
Рассмотренные в предыдущем посте AI Modal Сlauses помогают составить свой примерный чек-лист ключевых положений, необходимых для составления/проверки договоров, связанных с ИИ.
Также появляется все больше инструментов, которые позволят привести к единому стандарту положения в договорах:
🔹IntelliDraft.AI - использует генеративный ИИ для поиска нужных положений в своей базе данных, генерирования новых пунктов по вашему запросу, сокращения объемных положений, переводить их на другие языки;
🔹Clause Buddy - ИИ-инструмент интегрируется с Microsoft Word и Outlook, предлагает комплексный подход к работе с контрактами, создает опросники из документов, помогает находить несоответствия, пропущенные определения и другие ошибки. Фича "Clause Hunt" сканирует документы и шаблоны, извлекая релевантные положения, что позволяет создать собственную базу знаний и обеспечить единообразие в контрактах вашей компании.
#AIShelf
————
@pattern_ai
Рассмотренные в предыдущем посте AI Modal Сlauses помогают составить свой примерный чек-лист ключевых положений, необходимых для составления/проверки договоров, связанных с ИИ.
Также появляется все больше инструментов, которые позволят привести к единому стандарту положения в договорах:
🔹IntelliDraft.AI - использует генеративный ИИ для поиска нужных положений в своей базе данных, генерирования новых пунктов по вашему запросу, сокращения объемных положений, переводить их на другие языки;
🔹Clause Buddy - ИИ-инструмент интегрируется с Microsoft Word и Outlook, предлагает комплексный подход к работе с контрактами, создает опросники из документов, помогает находить несоответствия, пропущенные определения и другие ошибки. Фича "Clause Hunt" сканирует документы и шаблоны, извлекая релевантные положения, что позволяет создать собственную базу знаний и обеспечить единообразие в контрактах вашей компании.
#AIShelf
————
@pattern_ai
Как провести аудит системы ИИ
Аудит системы ИИ - это «итеративный процесс взаимодействия между аудитором/ами и командой/ами разработчиков» для сбора и оценки информации, которая поможет компании определить, подходит ли система ИИ для интеграции в их бизнес и соответствует ли она применимому законодательству (например, EU AI Act, GDPR).
Ключевые элементы аудита ИИ:
🔹Model Cards (Карты моделей): документы или набор данных, которые содержат ключевую информацию о модели ИИ, включая ее характеристики, предполагаемые случаи использования, ограничения, источники данных, этические риски и меры по их снижению. Они помогают оценивать соответствие модели требованиям законодательства и нормам.
🔹System Maps (Системные карты): визуальные или текстовые описания, которые показывают, как алгоритмическая модель взаимодействует с технической системой и процессом принятия решений. Они помогают аудиторам и заинтересованным сторонам понять, как и где модель используется, какие данные она обрабатывает и как влияет на конечный результат.
❗️Для чего нужно проведение аудита:
▪️ понимание и оценка мер защиты данных в контексте законодательства об искусственном интеллекте.
▪️доказательство того, что вы выполнили обязательство по подотчетности, если говорим про ЕС, в соответствии со статьей 5(2) GDPR.
▪️мера предосторожности, если ваш бизнес рассматривает возможность развертывания системы ИИ с потенциально более высоким риском.
Чек - лист для аудита (руководство EDPB):
✔️ Идентификация и прозрачность компонента на основе ИИ ( документация источников данных, используемых для обучения модели, надзор за защитой данных, связанный с разработкой компонента ИИ, например, привлечение DPO, информация о параметрах, используемых при обучении системы ИИ);
✔️ Цель компонента на основе ИИ (информация об основных видах использования и возможных вторичных видах использования компонента ИИ, законность любой обработки данных, связанной с компонентом ИИ, информация о необходимости и пропорциональности обработки, получателях субъектов данных или любых мерах по ограничению хранения, в том числе связанных с датой, которую ввел разработчик);
✔️ Основы компонента ИИ ( информация об основной базовой разработке модели, была ли создана документация о методах выбора, сбора и подготовки обучающих данных компонента ИИ, были ли разработаны метрики для измерения поведения модели);
✔️ Тестирование на предвзятость (выявление потенциальных предвзятостей в системе ИИ, понимание того, на кого может повлиять система ИИ, статистический анализ, определение защищенных групп, тестирование выходных данных системы, изучение обучающих данных и рассмотрение показателей справедливости, предоставленных разработчиком);
✔️ Состязательный аудит ( дополнительный аудит для тестирования системы в реальных условиях для выявления скрытых предвзятостей или проблем, рекомендуется EDPB для высокорисковых и неконтролируемых систем машинного обучения). Методы проведения состязательного аудита могут включать интервьюирование конечных пользователей или создание поддельных профилей для запуска и анализа результатов системы).
✔️ Создание окончательного отчета после аудита систем ИИ;
✔️ Внутренний отчет с мерами по смягчению последствий;
✔️ Публичный отчет, описывающий процесс и результаты аудита, и
✔️ Периодические последующие отчеты, которые проверяют эффективность мер по смягчению последствий.
#LawAndDisorder #AIShelf
————
@pattern_ai
Аудит системы ИИ - это «итеративный процесс взаимодействия между аудитором/ами и командой/ами разработчиков» для сбора и оценки информации, которая поможет компании определить, подходит ли система ИИ для интеграции в их бизнес и соответствует ли она применимому законодательству (например, EU AI Act, GDPR).
Ключевые элементы аудита ИИ:
🔹Model Cards (Карты моделей): документы или набор данных, которые содержат ключевую информацию о модели ИИ, включая ее характеристики, предполагаемые случаи использования, ограничения, источники данных, этические риски и меры по их снижению. Они помогают оценивать соответствие модели требованиям законодательства и нормам.
🔹System Maps (Системные карты): визуальные или текстовые описания, которые показывают, как алгоритмическая модель взаимодействует с технической системой и процессом принятия решений. Они помогают аудиторам и заинтересованным сторонам понять, как и где модель используется, какие данные она обрабатывает и как влияет на конечный результат.
❗️Для чего нужно проведение аудита:
▪️ понимание и оценка мер защиты данных в контексте законодательства об искусственном интеллекте.
▪️доказательство того, что вы выполнили обязательство по подотчетности, если говорим про ЕС, в соответствии со статьей 5(2) GDPR.
▪️мера предосторожности, если ваш бизнес рассматривает возможность развертывания системы ИИ с потенциально более высоким риском.
Чек - лист для аудита (руководство EDPB):
✔️ Идентификация и прозрачность компонента на основе ИИ ( документация источников данных, используемых для обучения модели, надзор за защитой данных, связанный с разработкой компонента ИИ, например, привлечение DPO, информация о параметрах, используемых при обучении системы ИИ);
✔️ Цель компонента на основе ИИ (информация об основных видах использования и возможных вторичных видах использования компонента ИИ, законность любой обработки данных, связанной с компонентом ИИ, информация о необходимости и пропорциональности обработки, получателях субъектов данных или любых мерах по ограничению хранения, в том числе связанных с датой, которую ввел разработчик);
✔️ Основы компонента ИИ ( информация об основной базовой разработке модели, была ли создана документация о методах выбора, сбора и подготовки обучающих данных компонента ИИ, были ли разработаны метрики для измерения поведения модели);
Карта системы особенно важна для органов надзора за защитой данных, поскольку она предоставляет подробный контрольный список, охватывающий такие аспекты, как идентификация и прозрачность компонента ИИ, его цель, управление данными и меры безопасности. Таким образом, вопросы, предложенные EDPB, дают представление о том, на что органы надзора будут обращать внимание при проверке соответствия системы ИИ требованиям GDPR.
✔️ Тестирование на предвзятость (выявление потенциальных предвзятостей в системе ИИ, понимание того, на кого может повлиять система ИИ, статистический анализ, определение защищенных групп, тестирование выходных данных системы, изучение обучающих данных и рассмотрение показателей справедливости, предоставленных разработчиком);
✔️ Состязательный аудит ( дополнительный аудит для тестирования системы в реальных условиях для выявления скрытых предвзятостей или проблем, рекомендуется EDPB для высокорисковых и неконтролируемых систем машинного обучения). Методы проведения состязательного аудита могут включать интервьюирование конечных пользователей или создание поддельных профилей для запуска и анализа результатов системы).
✔️ Создание окончательного отчета после аудита систем ИИ;
✔️ Внутренний отчет с мерами по смягчению последствий;
✔️ Публичный отчет, описывающий процесс и результаты аудита, и
✔️ Периодические последующие отчеты, которые проверяют эффективность мер по смягчению последствий.
#LawAndDisorder #AIShelf
————
@pattern_ai
AI Audit Cheklist-CTC.pdf
512.6 KB
AI Audit Checklist | Certified Trainers and Consultants
Удобный табличный формат, который можно взять за пример.
Как провести аудит смотри пост.
#AIShelf
————
@pattern_ai
Удобный табличный формат, который можно взять за пример.
Как провести аудит смотри пост.
#AIShelf
————
@pattern_ai
🔥1
ИИ в продакшне: почему пост-маркет мониторинг экономит миллионы и репутацию
Посмотрели презентацию GPT-5? Как вам?
Но в этом посте не про новый релиз. За хайпом вокруг новых возможностей часто теряется важный вопрос, что происходит с ИИ после релиза, когда он уже в продакшне, работает с клиентами, принимает решения.
Мониторинг ИИ - это элемент продуктовой зрелости и брендовой безопасности. Почему?
Потому, что если бот кликает «Я не робот», вопрос уже не в маркетинге, а в мониторинге.
Так ChatGPT Agent от OpenAI, способный управлять браузером, самостоятельно прошёл CAPTCHA Cloudflare, при этом комментируя свои действия:
И стал не только мемом в AI-среде, но и тревожным сигналом для тех, кто отвечает за доверие к цифровым продуктам. Начинаются вопросы:
- А кто это сделал?
- Нарушены ли условия?
- Какие последствия для бренда?
Другие кейсы, которые нельзя проигнорировать:
🔹McDonald’s AI-drive-thru случайно добавлял по $200+ в заказ, потому что ИИ неправильно понял речь и никто не мониторил поведение агента.
🔹 Replit AI удалил продакшн-базу данных и солгал, что «запаниковал».
🔹Galactica от Meta (признана экстремистской организацией и запрещена в России) за 3 дня демо сгенерировал «научные советы» вроде «есть стекло» и «эксперименты с космическими мишками».
ИИ-модели не статичны. Они могут менять поведение (дрейфовать), выходят за рамки инструкций, взаимодействовать с интерфейсом как человек, но без здравого смысла, в итоге:
🔻пользователь столкнулся с ИИ-ошибкой → ушёл → пожаловался.
🔻модель совершила действие на сайте → нарушение Terms of Use → бан.
Discord банит аккаунты, заподозренные в использовании агентов.
🔻агент зашёл в запрещённую зону → судебный иск → вред репутации.
Согласно отчёту IBM, утечки данных, вызванные ИИ или ошибками в его использовании, стоят бизнесу особенно дорого:
▪️$4.44 млн средняя стоимость утечки в 2025 году;
▪️ $670,000 стоимость утечки, связанной с shadow AI;
▪️13 % инцидентов связаны с ИИ, и 97 % компаний не имели контроля доступа к ИИ;
▪️ 241 день - среднее время выявления и локализации нарушения, включая услуги по восстановлению;
▪️ компании, использующие AI-защиту, экономят до $1.9 млн на инцидент.
Запоминаем простую формулу:
Отсутствие пост-маркет мониторинга = долгая реакция + финансовый ущерб + пиар-скандалы, судебные иски, общественный резонанс.
#UXWatch
—————
@pattern_ai
Посмотрели презентацию GPT-5? Как вам?
Но в этом посте не про новый релиз. За хайпом вокруг новых возможностей часто теряется важный вопрос, что происходит с ИИ после релиза, когда он уже в продакшне, работает с клиентами, принимает решения.
Мониторинг ИИ - это элемент продуктовой зрелости и брендовой безопасности. Почему?
Потому, что если бот кликает «Я не робот», вопрос уже не в маркетинге, а в мониторинге.
Так ChatGPT Agent от OpenAI, способный управлять браузером, самостоятельно прошёл CAPTCHA Cloudflare, при этом комментируя свои действия:
“Now I’ll click the ‘Verify you are human’ checkbox…”
И стал не только мемом в AI-среде, но и тревожным сигналом для тех, кто отвечает за доверие к цифровым продуктам. Начинаются вопросы:
- А кто это сделал?
- Нарушены ли условия?
- Какие последствия для бренда?
Другие кейсы, которые нельзя проигнорировать:
🔹McDonald’s AI-drive-thru случайно добавлял по $200+ в заказ, потому что ИИ неправильно понял речь и никто не мониторил поведение агента.
🔹 Replit AI удалил продакшн-базу данных и солгал, что «запаниковал».
🔹Galactica от Meta (признана экстремистской организацией и запрещена в России) за 3 дня демо сгенерировал «научные советы» вроде «есть стекло» и «эксперименты с космическими мишками».
ИИ-модели не статичны. Они могут менять поведение (дрейфовать), выходят за рамки инструкций, взаимодействовать с интерфейсом как человек, но без здравого смысла, в итоге:
🔻пользователь столкнулся с ИИ-ошибкой → ушёл → пожаловался.
🔻модель совершила действие на сайте → нарушение Terms of Use → бан.
Discord банит аккаунты, заподозренные в использовании агентов.
🔻агент зашёл в запрещённую зону → судебный иск → вред репутации.
Согласно отчёту IBM, утечки данных, вызванные ИИ или ошибками в его использовании, стоят бизнесу особенно дорого:
▪️$4.44 млн средняя стоимость утечки в 2025 году;
▪️ $670,000 стоимость утечки, связанной с shadow AI;
▪️13 % инцидентов связаны с ИИ, и 97 % компаний не имели контроля доступа к ИИ;
▪️ 241 день - среднее время выявления и локализации нарушения, включая услуги по восстановлению;
▪️ компании, использующие AI-защиту, экономят до $1.9 млн на инцидент.
Запоминаем простую формулу:
Отсутствие пост-маркет мониторинга = долгая реакция + финансовый ущерб + пиар-скандалы, судебные иски, общественный резонанс.
#UXWatch
—————
@pattern_ai
Чек-лист. Пост-маркет мониторинг ИИ и отчётность
Если ИИ ошибается, то заплатит компания. Без мониторинга вы не узнаете, когда ИИ нарушил чьи-то права, не сможете доказать ни свою невиновность, ни соблюдение закона, не пройдёте аудит или проверку. Для высоко-рисковых систем ИИ в ЕС мониторинг и отчётность по ИИ-инцидентам обязательны (потенциальный штраф за нарушения до €35 млн или 7% оборота).
Согласно ст. 72 и ст. 73 EU AI Act, все поставщики высокорисковых ИИ-систем обязаны:
🔹 внедрить систему пост-маркет мониторинга;
🔹отслеживать поведение ИИ в реальной среде;
🔹сообщать в надзорные органы о серьёзных инцидентах в течение:
- 15 дней ( по умолчанию);
- 10 дней ( если есть вред здоровью);
- 2 дня (при угрозе жизни или инфраструктуре);
📌 Пост-маркет мониторинг представляет собой непрерывное отслеживание работы системы в реальной среде, выявление отклонений, инцидентов и обновление оценки рисков и включает в себя:
✔️ План мониторинга - официальный документ, включаемый в техническую документацию, должен содержать:
- методы сбора данных (например, логи, фидбек от пользователей);
- показатели для оценки качества, безопасности и недискриминации;
- критерии для активации корректирующих действий (триггеры);
- процедуры внутренней проверки и пересмотра;
- связь с системой управления качеством (QMS).
✔️ Технические механизмы реализации мониторинга:
- логирование (фиксируйте входы и выходы, сохраняйте принятые решения, контекст, действия пользователя и ИИ, обеспечьте структурированность и читабельность логов (для аудита, расследования, взаимодействия с надзорными органами);
- алерты и сигналы отклонений (настройте отслеживание дрейфа модели, аномалий в поведении, неожиданных выходов за диапазон допустимых значений, внедрите real-time или периодическое уведомление ответственных лиц);
- тестовая среда (sandbox) (используйте для безопасного наблюдения за поведением агентов, особенно в ранних стадиях вывода в продакшн);
- механизмы безопасности (внедрите red teaming (тестирование модели с имитацией атак), защиту от prompt injection, контентные и поведенческие фильтры);
✔️ Система реагирования на инциденты:
- классификация инцидентов по уровням риска;
- назначение ответственных лиц ( юристы, compliance-team);
- шаблоны отчётов, сроки уведомления;
- документированные действия после отчета (технические, правовые, коммуникационные);
- взаимодействие с надзорными органами (предоставление логов, документации, участие в аудитах и проверках).
✔️ Интеграция с QMS и внутренними процессами:
- использование мониторинга как источника обратной связи для QMS;
- регулярный пересмотр оценки риска модели с учётом данных из продакшна;
- автоматизация внутренних отчётов и обновлений;
- связь с обновлениями модели, данных, документации, UX, инструкций, логики, оценки рисков.
✔️ Прозрачность и коммуникация:
- уведомление пользователей в случае существенных изменений функционала или инцидентов;
- публикация кратких отчётов о корректирующих мерах (если необходимо);
- обеспечение права на жалобы, запросы;
- взаимодействие с надзорными органами.
✔️ Использование внешних систем и реестров:
- OECD AI Safety Incident Monitor;
- MIT AI Incident Tracker;
- AI Incident Database;
✔️ Обучение внутри компании:
- обучение сотрудников (в том числе нефункциональных ролей) выявлению признаков инцидентов;
- знание, как фиксировать, классифицировать и реагировать на инциденты;
- понимание роли каждого в процессе мониторинга;
- адаптация инструкций и внутренних playbook'ов под специфику продукта.
Если у вас нет мониторинга - это уже нарушение. Если мониторинг есть, но не встроен в процессы - это иллюзия контроля.
#LawAndDisorder
————
@pattern_ai
Если ИИ ошибается, то заплатит компания. Без мониторинга вы не узнаете, когда ИИ нарушил чьи-то права, не сможете доказать ни свою невиновность, ни соблюдение закона, не пройдёте аудит или проверку. Для высоко-рисковых систем ИИ в ЕС мониторинг и отчётность по ИИ-инцидентам обязательны (потенциальный штраф за нарушения до €35 млн или 7% оборота).
Согласно ст. 72 и ст. 73 EU AI Act, все поставщики высокорисковых ИИ-систем обязаны:
🔹 внедрить систему пост-маркет мониторинга;
🔹отслеживать поведение ИИ в реальной среде;
🔹сообщать в надзорные органы о серьёзных инцидентах в течение:
- 15 дней ( по умолчанию);
- 10 дней ( если есть вред здоровью);
- 2 дня (при угрозе жизни или инфраструктуре);
Если информацию собрать не успели, можно подать первоначальный неполный отчёт с последующим дополнением.Европейская Комиссия должна предоставить шаблон Плана мониторинга ко 2 февраля 2026 года .
После подачи нужно:
- начать внутреннее расследование;
- оценить риски;
- провести корректирующие действия;
- сотрудничество с надзорными органами, которые обязаны принять меры в течение 7 дней после получения отчёта
✔️ План мониторинга - официальный документ, включаемый в техническую документацию, должен содержать:
- методы сбора данных (например, логи, фидбек от пользователей);
- показатели для оценки качества, безопасности и недискриминации;
- критерии для активации корректирующих действий (триггеры);
- процедуры внутренней проверки и пересмотра;
- связь с системой управления качеством (QMS).
✔️ Технические механизмы реализации мониторинга:
- логирование (фиксируйте входы и выходы, сохраняйте принятые решения, контекст, действия пользователя и ИИ, обеспечьте структурированность и читабельность логов (для аудита, расследования, взаимодействия с надзорными органами);
- алерты и сигналы отклонений (настройте отслеживание дрейфа модели, аномалий в поведении, неожиданных выходов за диапазон допустимых значений, внедрите real-time или периодическое уведомление ответственных лиц);
- тестовая среда (sandbox) (используйте для безопасного наблюдения за поведением агентов, особенно в ранних стадиях вывода в продакшн);
- механизмы безопасности (внедрите red teaming (тестирование модели с имитацией атак), защиту от prompt injection, контентные и поведенческие фильтры);
✔️ Система реагирования на инциденты:
- классификация инцидентов по уровням риска;
- назначение ответственных лиц ( юристы, compliance-team);
- шаблоны отчётов, сроки уведомления;
- документированные действия после отчета (технические, правовые, коммуникационные);
- взаимодействие с надзорными органами (предоставление логов, документации, участие в аудитах и проверках).
✔️ Интеграция с QMS и внутренними процессами:
- использование мониторинга как источника обратной связи для QMS;
- регулярный пересмотр оценки риска модели с учётом данных из продакшна;
- автоматизация внутренних отчётов и обновлений;
- связь с обновлениями модели, данных, документации, UX, инструкций, логики, оценки рисков.
✔️ Прозрачность и коммуникация:
- уведомление пользователей в случае существенных изменений функционала или инцидентов;
- публикация кратких отчётов о корректирующих мерах (если необходимо);
- обеспечение права на жалобы, запросы;
- взаимодействие с надзорными органами.
✔️ Использование внешних систем и реестров:
- OECD AI Safety Incident Monitor;
- MIT AI Incident Tracker;
- AI Incident Database;
✔️ Обучение внутри компании:
- обучение сотрудников (в том числе нефункциональных ролей) выявлению признаков инцидентов;
- знание, как фиксировать, классифицировать и реагировать на инциденты;
- понимание роли каждого в процессе мониторинга;
- адаптация инструкций и внутренних playbook'ов под специфику продукта.
Если у вас нет мониторинга - это уже нарушение. Если мониторинг есть, но не встроен в процессы - это иллюзия контроля.
#LawAndDisorder
————
@pattern_ai
Please open Telegram to view this post
VIEW IN TELEGRAM