将牙齿放入 AI 风险管理

安全和新兴技术中心 | 第 10 页1执行摘要拜登总统最近签署了一项旨在加强联邦政府人工智能治理的全面行政命令 ， 这给人工智能风险管理标准和联邦采购指南的制定和实施带来了紧迫性。1管理和预算办公室 （ OMB ） 迅速遵循其对部门和机构的指导 ， 其中包括 AI 最低风险标准及其纳入联邦合同。2一个迫在眉睫的挑战是政府如何最好地利用联邦采购规则、要求和实践 ， 以确保供应商遵守人工智能开发最佳实践。联邦政府经常利用其巨大的购买力来激励和执行其工业基础中的政策，使合规性成为获得政府合同的条件。The U.S.政府作为许多顶级公司的主要客户的地位有效地使其网络安全框架成为全球政府和行业采用的 “事实上的标准 ” 。3在网络安全的情况下 ， 采购规则在增加最佳实践的使用和采用方面的有效性促使国会议员和行业领导者将其作为人工智能风险管理执法的榜样。人工智能风险管理框架的当前演变，推动其在政府中开发和使用的相应立法，以及将其纳入联邦采购法规的呼吁，与推动创建网络安全框架和联邦采购规则的条件相似。因此，联邦政府采用和实施采购规则以在其供应商基础内执行网络安全标准，为人工智能提供了蓝图，并可以帮助预测即将到来的困难。这些以前的经验教训和网络安全采购规则的实施带来的挑战包括 ：1.难以平衡风险管理水平与风险影响水平。2.在评估要求中难以平衡信任和验证。3.难以监督和执行劳动力准备和培训。4.关注第三方审计和政府监督。5.使用采购规则执行事件报告和共享。 安全和新兴技术中心 | 第 10 页2以这些经验教训为指导 ， 本文为寻求制定人工智能采购实践和标准的政策制定者提供了以下建议 ：1.制定标准以评估 AI 系统的风险水平和潜在影响。建立类别以区分 AI 系统构成的风险水平 ， 并制定每个类别所需的适当风险管理实践。2.基于系统的整体风险的需求验证级别。合规审计成本很高 ， 因此联邦政府应利用风险类别来确定哪些系统需要合规审计。3.授权并为联邦采购人员提供有关 AI 风险管理标准的培训。4.利用第三方审计师来支持对供应商遵守 AI 风险管理标准的评估。这将解决联邦劳动力中的劳动力限制和技能差距 ， 但重要的是最终批准决定由政府决定。建立 AI 标准卓越中心 ， 以提供政府监督和支持合规性评估。5.使用合同规则来激励 ， 并在必要时迫使政府供应商遵守人工智能事件报告和跨机构共享。这些建议为如何避免过去的失误提供了实施指导，同时也能够及时采用最佳做法。监督和执行供应商遵守人工智能风险管理标准将需要代表政府做出重大努力，这应该从网络安全的历史经验中得到启示，并为满足人工智能技术的特定需求而量身定制。这些建议可以帮助指导建立有效的采购规则、实践和执法基础设施，以最好地确保人工智能风险管理合规性，并减轻人工智能危害的实现。 安全和新兴技术中心 | 第 10 页3目录执行摘要 ...........................................................................................................................................1Introduction...............................................................................................................................4当前和拟议的人工智能条例和规则 ....................................................................................................5合同中的网络安全风险管理 — — 以人工智能为例.............................................................................6AI 的网络安全采购挑战和经验教训....................................................................................................8平衡风险管理水平与风险影响水平 ................................................................................................8建议.....................................................................................................................................9在供应商对风险管理实践的承诺与政府的验证需求之间取得平衡.................................................10建议... ......................................................................................................................................12适当准备收购员工..................................................................................................................12建议...................................................................................................................................14第三方审计关注事项 ...................................................................................................................14建议...................................................................................................................................15突发事件共享和报告实施 ............................................................................................................16建议...................................................................................................................................17AI 风险管理建议摘要 ..................................................................................................................18......................................................................................................................................................19作者........................................................................................................................................20Acknowledgments...................................................................................................................20尾注........................................................................................................................................21 安全和新兴技术中心 | 第 10 页4Introduction美国总统乔 · 拜登 （ Joe Biden ） 在 2023 年 10 月签署了一项旨在加强联邦政府人工智能治理的全面行政命令 ， 这使得制定和实施人工智能风险管理标准和联邦采购准则变得迫在眉睫。4管理和预算办公室 （ OMB ） 迅速遵循其对部门和机构的指导 ， 要求将 AI 风险标准纳入未来的联邦合同。5随着各机构寻求实施行政命令和 OMB 指导 ， 一个迫在眉睫的问题是 ， 联邦政府如何最好地利用联邦采购规则、要求和实践 ， 将人工智能风险管理标准纳入其中 ， 并确保供应商合规。国会、工业界和学术界也对人工智能监管和采购规则提出了类似的呼吁 ， 并引用了早期的网络安全指南作为榜样。6联邦网络安全采购法规的演变提供了相关案例研究，以识别和预测人工智能合规任务可能面临的挑战。本文档讨论了存在或已经提出的 AI 风险管理法规，为什么网络安全是 AI 法规的有用先例，从联邦采购中的网络安全任务中汲取的经验教训，以及有关如何最好地利用联邦采购来强制要求 AI 风险管理标准合规性的相应建议。 安全和新兴技术中心 | 第 10 页5当前和拟议的人工智能条例和规则迄今为止 ， 美国政府执行 AI 风险管理实践的方法仅是自愿的。拜登政府获得了一些顶级 AI 公司的自愿承诺 ， 以帮助推进安全 ， 可靠和可信赖的 AI 的发展 ， 但这些承诺缺乏政府追究这些公司责任的执行机制。7最近的行政命令和 OMB 指南表明 ， 打算对 AI 风险管理进行更严格的控制 ， 以确保政府的供应商正在减轻危害并负责任地使用 AI 。对于联邦政府及其供应商来说，人工智能风险管理要求的路径来自立法和行政命令。《 2020 年国家人工智能倡议法案》指示国家标准与技术研究所 （ NIST ） 创建 AI 风险管理框架 （ RMF ），并指示 OMB 为联邦机构如何负责任地开发和获取 AI 技术提供计划。8《 2022 年人工智能培训法案》指示为收购专业人员建立关于如何有效采购和管理人工智能系统的培训计划。9最近 ， 拜登政府发布了关于人工智能的行政命令 ， 以确保联邦政府对人工智能系统的安全、可靠和可信赖的开发和使用。最新的行政命令指示 OMB 制定风险管理实践 ， 并指出该办公室 “应制定初步手段 ， 以确保获取 AI 系统和服务的代理合同与指南保持一致。10OMB 遵循这一方向 ， 发布了为 AI 风险管理实践设定基线的指南 ， 并要求联邦合同中的这些实践。11进一步的标准可能来自立法的通过 ， 该立法将强制在联邦机构和供应商中使用 NIST 的 AI RMF 。12OMB 发布的最低风险管理实践和更彻底的 NIST RMF 旨在帮助减轻与 AI 开发和使用相关的危害。可能通过合同要求建立监督和执行机制，对于这些政策和标准实现其风险管理目标至关重要。幸运的是，这不是联邦政府第一次寻求通过采购法规来执行技术标准。 安全和