Коли міністри оборони NATO офіційно ухвалили Принципи відповідального використання штучного інтелекту в обороні на Брюссельському саміті 2021 року, вони публікували не просто декларацію про наміри — вони встановлювали базовий стандарт, який тепер мають операціоналізувати офіцери із закупівель, постачальники програмного забезпечення та програмні менеджери по всьому альянсу. Проблема полягає не в розумінні того, що означає відповідальний AI в абстракції; вона полягає в перекладі шести принципів високого рівня на конкретні інженерні вимоги, механізми аудиту та критерії закупівель, які витримують юридичну перевірку та операційне навантаження.

Ця стаття відображає фреймворк NATO на інженерні рішення, що роблять відповідність реальною, а не номінальною. Вона охоплює спектр контролю людини від повністю ручного до автономного режиму, технічні засоби контролю, яких вимагає кожен принцип, способи включення вимог до етики в закупівельну документацію та документаційні артефакти, що демонструють справжню відповідність. Організації, що оцінюють AI для оборонного використання — як покупці, так і розробники — повинні розглядати це не як філософську дискусію, а як специфікацію вимог.

Шість принципів AI від NATO та що вони вимагають на практиці

Принципи відповідального використання AI в обороні NATO перераховують шість властивостей, дотримання яких взяли на себе зобов'язання країни-члени при розробці та розгортанні AI в оборонних контекстах. Кожен принцип звучить просто. Кожен вимагає конкретних інженерних засобів контролю, яких на практиці часто бракує.

Законний. Системи AI повинні відповідати застосовному національному та міжнародному праву, включно з міжнародним гуманітарним правом. З інженерної точки зору, це означає, що передбачене використання системи перевірено юридичним радником з досвідом у галузі МГП, що варіант використання знаходиться в межах цієї перевірки та що будь-яке оновлення можливостей системи ініціює нову юридичну перевірку. Законність — це не прапорець під час закупівлі — це постійне зобов'язання протягом усього життєвого циклу системи.

Відповідальний. Підзвітність людини повинна підтримуватися постійно. Цей принцип стосується прогалини в підзвітності, що виникає, коли AI функціонує в складних соціотехнічних системах: коли настає шкідливий результат, повинні існувати конкретні люди, які несуть відповідальність. Відповідальний AI вимагає, щоб ланцюжок прийняття рішень був задокументований до розгортання, щоб ролі та повноваження були визначені для кожної точки прийняття рішень, і щоб система не розгорталася способами, що структурно унеможливлюють підзвітність — наприклад, шляхом роботи зі швидкостями або масштабами, що роблять осмислену перевірку людиною неможливою.

Відстежуваний. Системи AI, їхні дані та процеси розробки повинні бути задокументовані для забезпечення можливості аудиту. Відстежуваність — це інженерний артефакт, а не декларація про політику. Вона вимагає, щоб система реєструвала кожен логічний висновок або рекомендацію, що генерується, щоб ці журнали були незмінними та зберігалися, щоб навчальні дані та версії моделей були задокументовані, і щоб розслідування після інциденту могло відновити, що зробила система, чому, і хто діяв на підставі цього.

Надійний. Системи AI повинні бути протестовані та валідовані в межах їхнього передбачуваного діапазону використання, включно з ворожими умовами. Документація надійності повинна визначати умови, за яких заявлені показники продуктивності системи є дійсними, режими відмов, які були виявлені, та що система робить при зустрічі з вхідними даними поза межами свого навчального розподілу. Формальна верифікація критично важливих для безпеки компонентів — доказ того, що певні властивості виконуються для всіх вхідних даних у визначеному просторі — є золотим стандартом надійності у застосуваннях з високими ставками.

Керований. Системи AI повинні бути спроектовані таким чином, щоб оператори-люди могли коригувати, виправляти, перенавчати або вимикати розгорнуті системи. Керованість вимагає перевіреної процедури вимкнення, механізму перевизначення, що не залежить від інфраструктури постачальника, та поведінки за замовчуванням у безпечному стані (перехід до контролю людини, а не до продовження автономної роботи) при втраті підключення або порушенні цілісності програмного забезпечення. Система, вимкнення якої вимагає виклику служби постачальника, не є керованою в розумінні NATO.

З усунутими упередженнями. Повинні бути докладені зусилля для уникнення ненавмисних упереджень у результатах AI, зокрема упереджень, що можуть призвести до дискримінаційних результатів. Усунення упереджень — це не заява про різноманітність набору даних — це методологія тестування. Вона вимагає вимірювання відмінностей у продуктивності між відповідними підгрупами, тестування з використанням ворожих вхідних даних, розроблених для зондування меж прийняття рішень, та оцінки продуктивності на даних з операційних середовищ, що відрізняються від навчального розподілу. Поріг прийнятного упередження повинен бути визначений до розгортання, а не виявлений після інциденту.

Ключовий висновок: Усі шість принципів піддаються перевірці на інженерному рівні. Постачальники, які можуть формулювати зобов'язання щодо етики в маркетинговій мові, але не можуть продемонструвати відповідні технічні засоби контролю, впровадили «промивання етикою», а не відповідність вимогам етики. Команди із закупівель повинні запитати: де в кодовій базі закріплений цей принцип? Що реєструє журнал аудиту? Як це тестувалося? Відповіді показують, чи є етика структурною чи косметичною.

Спектр контролю людини

Найважливішим проектним рішенням у будь-якій військовій системі AI є її позиція в спектрі автономії. Це не бінарний вибір між «контролем людини» та «автономним» — це континуум з різними інженерними, правовими та етичними наслідками в кожній точці.

Повністю ручний режим. Система не виконує жодної автономної обробки; кожна дія безпосередньо командується оператором-людиною. Повний ручний контроль є базовим рівнем, але часто є непрактичним у темпі та обсязі сучасних інформаційних операцій або розвідувального аналізу. Повністю ручний режим є відповідним вибором лише тоді, коли швидкість прийняття рішень людиною сумісна з операційним темпом, або коли правові та етичні ставки автономних дій занадто високі, щоб приймати будь-який ступінь автоматизації.

Людина в циклі (HITL). Система генерує рекомендації або можливі дії, які людина повинна явно авторизувати перед виконанням. Людина в циклі є відповідною моделлю для рішень з високими наслідками, де пояснюваність та авторизація повинні бути задокументовані. Вона вимагає, щоб система представляла свою рекомендацію з достатнім поясненням для прийняття людиною обґрунтованого рішення — не просто показник впевненості, але й фактори, що обумовили результат, та умови, за яких результат є відомо ненадійним.

Людина в зоні контролю (HOTL). Система виконує дії автономно, але людина-монітор має повноваження та можливість втрутитися або припинити роботу в будь-який час. HOTL є відповідним для завдань з великим обсягом та нижчими ставками, де індивідуальні авторизації є непрактичними, але де підтримується нагляд людини за шаблонами та результатами. Вона вимагає, щоб інтерфейс моніторингу ефективно виявляв аномалії, щоб людина-монітор була навчена розпізнавати ситуації, що вимагають втручання, та щоб механізм втручання був достатньо швидким, щоб бути значущим.

Консультативний. Специфічний варіант HITL, де система надає аналіз або підтримку прийняття рішень без прямого шляху до дій — людина повинна вжити окремі заходи для реалізації будь-якої рекомендації. Консультативний режим є позицією з найнижчим ризиком у спектрі автономії, але несе специфічну етичну небезпеку: якщо консультативні результати зазвичай приймаються без ретельного вивчення, система є функціонально автономною, водночас створюючи видимість нагляду людини. Консультативні системи вимагають моніторингу використання для виявлення поведінки «гумового штемпеля».

Автономний. Система вживає дій без авторизації людини в циклі прийняття рішень. Справжня автономія в оборонних контекстах підпадає під найсуворіші вимоги всіх основних фреймворків етики та стикається зі значними правовими обмеженнями відповідно до міжнародного гуманітарного права. Автономні системи вимагають формальної верифікації властивостей безпеки, механізмів примусової зупинки та задокументованих режимів відмов з перевіреними засобами пом'якшення для кожного.

Ключовий висновок: Номінальна класифікація автономії системи та її ефективна автономія при розгортанні можуть суттєво розходитися. «Консультативна» система, що генерує рекомендації зі швидкістю тисячі на годину, з робочим процесом, який направляє їх одному аналітику, що має дві секунди на елемент, є ефективно автономною незалежно від ярлика. Перевірка етики повинна оцінювати ефективну автономію — фактичне навантаження прийняття рішень, покладене на людей в операційному робочому процесі, — а не номінальну класифікацію.

Інженерні вимоги для кожного принципу

Переклад принципів NATO на інженерні специфікації дає конкретний набір вимог до реалізації. Вони не є теоретичними — це засоби контролю, наявність яких повинні перевіряти перевірка коду, аудит безпеки або стороння оцінка етики.

Відстежуваність: журнали прийняття рішень. Кожен логічний висновок, рекомендація або автоматизована дія повинні бути зареєстровані з: міткою часу, хешем вхідних даних, версією моделі та конфігурацією, результатом та оцінкою впевненості або невизначеності. Журнали повинні бути одноразового запису та захищені від підробки. Вони повинні зберігатися протягом терміну, узгодженого з зобов'язаннями підзвітності організації, що розгортає — зазвичай роками для оборонних систем. Формат журналу повинен бути машиночитаємим для автоматизованого аналізу аудиту. Журналювання не повинно бути умовним від серйозності результату: звичайні правильні рішення повинні реєструватися з такою самою точністю, що й аномальні або шкідливі, оскільки цінність запису аудиту визначається його повнотою.

Надійність: формальна верифікація та картки моделей. Критично важливі для безпеки компоненти — ті, відмова яких може спричинити фізичну шкоду, незаконні результати або втрату командних повноважень — повинні бути формально верифіковані, якщо простір станів це дозволяє. Там, де повна формальна верифікація нездійсненна, тестування на основі властивостей та вправи з ворожою «червоною командою» забезпечують наступний рівень гарантій. Усі компоненти AI повинні мати картки моделей: структуровані документи, що визначають джерела навчальних даних, показники продуктивності на відокремлених тестових наборах (включно з ворожими тестовими наборами), відомі режими відмов та умови, за яких заявлені показники продуктивності не виконуються. Картки моделей повинні оновлюватися при кожному випуску версії та надаватися замовникам.

Керованість: архітектура віддаленої зупинки та перевизначення. Процедура вимкнення повинна бути задокументована в специфікації архітектури системи, а не лише в операційному посібнику. Реалізація повинна бути перевірена в реалістичних операційних умовах — включно з імітованою втратою підключення, ін'єкцією несправностей програмного забезпечення та стресовими сценаріями оператора. Система повинна мати чітко визначений безпечний стан, в який вона переходить при отриманні сигналу вимкнення: для системи рекомендацій це означає повернення до ручного робочого процесу без автоматизованого виводу; для системи моніторингу це означає припинення виводу дій при збереженні збору даних для перевірки людиною. Безпечний стан не повинен залежати від жодного зовнішнього сервісу, що знаходиться поза контролем організації, що розгортає.

Упередженість: методологія ворожого тестування. Усунення упереджень вимагає трьох окремих фаз тестування. По-перше, аудит навчальних даних: вимірювання розподілу демографічно та операційно значущих атрибутів у навчальних даних і документування відомих прогалин. По-друге, тестування на відмінності: вимірювання продуктивності системи між підгрупами та визначення прийнятних порогових значень відмінностей до запуску тесту — а не після перегляду результатів. По-третє, ворожі тести: побудова вхідних даних, спеціально розроблених для зондування межі прийняття рішень, включно з вхідними даними, що представляють граничні випадки в операційних середовищах, недостатньо представлених у навчальних даних. Усі три фази повинні бути задокументовані з кількісними результатами, а не якісними зведеннями. Для систем, що впливають на рішення щодо цілевказання або розподілу ресурсів, незалежний аудит упереджень третьою стороною перед розгортанням є відповідним стандартом.

Переклад етики у вимоги до закупівель

Принципи NATO стають дієвими у закупівлях, коли вони виражені як конкретні, перевірювані вимоги в технічному завданні та критеріях оцінки. Розпливчасті вимоги («система повинна відповідати принципам AI NATO») не можна оцінити і вони не створюють ані зобов'язань, ані підзвітності. Конкретні вимоги створюють і те, й інше.

Вимога до закупівлі щодо відстежуваності може звучати так: «Система повинна генерувати незмінний журнал аудиту для кожного логічного висновку AI, що фіксує хеш вхідних даних, ідентифікатор версії моделі, результат, показник впевненості та мітку часу з точністю до мілісекунди. Журнали повинні бути доступні для експорту у [вказаний формат] та зберігатися мінімум [вказаний термін]. Постачальники повинні продемонструвати механізми цілісності журналу за допомогою тестового набору даних під час приймального тестування». Це формулювання піддається оцінці: або система робить це, або ні.

Для керованості: «Система повинна реалізувати команду вимкнення, виконувану авторизованим оператором без підключення до систем постачальника. Час відгуку від команди вимкнення до входу в безпечний стан не повинен перевищувати [вказаний інтервал]. Конфігурація безпечного стану повинна бути задокументована, а процедура вимкнення повинна бути перевірена як частина приймального тестування в умовах імітованої втрати підключення».

Для усунення упереджень: «Постачальники повинні надати звіт про тестування на упередженість, що охоплює продуктивність на стандартному оціночному наборі, продуктивність на ворожих тестових вхідних даних, наданих організацією-замовником, та показники відмінностей між [визначеними демографічними та операційними підгрупами]. Порогові значення відмінностей повинні бути задокументовані в оцінці впливу AI. Відмінності, що перевищують задокументовані пороги, повинні розглядатися як дефекти, що вимагають виправлення до приймання».

Схема послідовна: кожен принцип етики може бути виражений як набір спостережуваних, перевірюваних системних поведінок та документаційних артефактів. Завдання команди із закупівель — визначити, як виглядають спостережувані докази відповідності, до оголошення тендеру.

Вимоги до документації: AIIA, картки моделей та звіти про пояснюваність

Три документаційних артефакти є мінімальним набором для системи AI, розгорнутої в оборонному контексті, яка заявляє про відповідність принципам NATO.

Оцінка впливу AI (AIIA). AIIA є основним документом підзвітності. Вона описує передбачене використання системи, рішення, на які вона впливає або які приймає, постраждале населення та інтереси, виявлені сценарії шкоди та їхню ймовірність, впроваджені засоби пом'якшення та їхню ефективність, залишковий ризик та рівень повноважень, необхідний для його прийняття, та механізм нагляду за розгорнутою системою. AIIA повинна бути підготовлена до початкового розгортання та оновлена при кожному великому випуску версії або значній зміні в операційній діяльності. Вона повинна бути затверджена органом з організаційною підзвітністю за роботу системи — а не лише інженерною командою.

Картка моделі. Картка моделі є технічним документом підзвітності для компонента AI зокрема. Вона документує архітектуру моделі, навчальні дані та відомі прогалини, процедуру навчання та гіперпараметри, показники продуктивності на стандартних та ворожих тестових наборах, відомі режими відмов та операційні умови, за яких заявлені показники продуктивності є дійсними. Картки моделей є стандартним артефактом у практиці відповідального AI та вимагаються Законом ЄС про AI для систем AI з високим ризиком. Оборонні системи AI повинні розглядати картку моделі як обов'язковий результат, що оновлюється з кожною версією моделі.

Звіт про пояснюваність. Для систем, класифікованих як HITL або консультативні, звіт про пояснюваність документує, як система повідомляє своє міркування операторам-людям, який рівень пояснення надається для кожного типу виводу, та яке тестування проводилося для перевірки точності пояснень (тобто чи відображають вони фактичні фактори, що керують виводом моделі, а не постфактумні раціоналізування). Вірність пояснення — ступінь, до якого пояснення точно представляє процес прийняття рішень моделі — є технічною властивістю, яку необхідно вимірювати та документувати, а не припускати.

Ключовий висновок: Вимоги до документації — це не адміністративні накладні витрати — вони є основою підзвітності. Система, для якої не була підготовлена AIIA, не може бути перевірена, не може продемонструвати відповідність принципу відповідальності та ставить організацію, що розгортає, у незахищене становище у разі інциденту. Розглядайте три документаційних артефакти як обов'язкові інженерні результати з таким самим статусом, що й специфікація архітектури системи.

Поширені підводні камені: «промивання етикою» та прогалини в підзвітності

«Промивання етикою» є найпоширенішим режимом відмов у оборонних закупівлях AI. Воно виникає, коли постачальники формулюють зобов'язання щодо етики в маркетингових матеріалах і тендерній документації без впровадження відповідних засобів контролю у фактичній системі. Загальні ознаки включають: принципи етики, перелічені в резюме керівництва без відстежуваності до архітектурних рішень; «нагляд людини», описаний у тексті політики, але не закріплений воротами авторизації в програмному забезпеченні; претензії на пояснюваність, що описують інформаційну панель візуалізації без доказів того, що візуалізації точно відображають процес прийняття рішень моделі; та заяви про усунення упереджень, що посилаються на розмір набору даних без показників відмінностей. Захист команди із закупівель — вимагати демонстрації засобів контролю на рівні архітектури — а не приймати документацію щодо політики за чисту монету.

Прогалини в підзвітності — це структурні збої в ланцюжку прийняття рішень, що унеможливлюють покладення відповідальності за шкідливий результат. Вони, як правило, створюються одним з чотирьох механізмів: повзуча автономія (система, описана як консультативна, використовується способами, що роблять перевірку людиною номінальною), неоднозначність ролей (кілька сторін мають повноваження, що перетинаються, без чіткого основного підзвітного боку), дрейф версій (розгорнута система відхиляється від задокументованої без нової перевірки підзвітності) та залежність від постачальника (організація, що розгортає, не має технічних можливостей для аудиту або модифікації системи без участі постачальника). Прогалини в підзвітності повинні бути виявлені та усунені до розгортання, оскільки їх неможливо ретроактивно відновити після інциденту.

Narrative Shield як AI, що відповідає вимогам NATO

Narrative Shield розроблено з нуля для виконання принципів NATO в інформаційно-доменному контексті, для якого він був створений. Відстежуваність реалізована через незмінні журнали прийняття рішень, що фіксують кожну дію аналітика, кожну рекомендацію AI та кожну подію авторизації з повним контекстом. Керованість забезпечується архітектурою, що не потребує зовнішнього підключення до постачальника для вимкнення або конфігурації, з перевіреною процедурою безпечного стану. Контроль людини є структурним, а не номінальним: жодна рекомендація не виконується без явної авторизації аналітика на визначеному рівні ролі. Усунення упереджень охоплює як документацію навчальних даних, так і поточне ворожі тестування проти шаблонів атак в інформаційній сфері. AIIA та картка моделі підтримуються як живі документи, що оновлюються з кожним випуском.

Для організацій, що оцінюють платформи нарративної розвідки для підтримки StratCom або інформаційних операцій, фреймворк принципів NATO надає прямий рубрикатор оцінки. Вимагайте від постачальників відображення кожного принципу на конкретні архітектурні рішення та перевірювані засоби контролю. Стаття про журнал аудиту інформаційних операцій детально описує, як архітектура журналювання підтримує вимоги до відстежуваності та підзвітності, що висуває відповідність вимогам етики.

Часті запитання

+Чи існує сертифікація AI від NATO для оборонного програмного забезпечення?

Єдиного сертифікату AI від NATO, аналогічного знаку безпеки продукту, не існує. Принципи відповідального використання AI в обороні NATO, ухвалені на Брюссельському саміті 2021 року, встановлюють нормативну базу, але не є схемою сертифікації. Окремі закупівельні процеси в країнах-членах NATO можуть посилатися на ці принципи як на вимоги — Принципи етики AI Міністерства оборони Великобританії, Принципи етики AI Міністерства оборони США та Закон ЄС про AI (який класифікує певні суміжні з обороною застосування як високоризикові) — кожен з них накладає зобов'язання, що функціонують як фактичні вимоги відповідності. Постачальники, які прагнуть постачати системи AI союзникам NATO, повинні розглядати відповідність усім трьом фреймворкам як базовий рівень, а не як необов'язкову диференціацію.

+Які правові наслідки настають, якщо система AI спричиняє шкідливий інцидент у військовому контексті?

Правова підзвітність за інциденти, спричинені AI у військовому контексті, залежить від юрисдикції, характеру системи та ступеня нагляду людини в ланцюжку прийняття рішень. Відповідно до міжнародного гуманітарного права, принцип розмежування — який вимагає, щоб атаки відрізняли комбатантів від цивільних — застосовується незалежно від того, чи є агент, який приймає рішення, людиною чи автоматом. Командир, який розгортає систему AI, що завдає незаконної шкоди, може нести командну відповідальність, якщо він не здійснював належного нагляду. Відповідно до внутрішнього законодавства, офіцери із закупівель, розробники та оператори можуть нести відповідальність залежно від стандарту недбалості, що застосовується в їхній юрисдикції. Критичний інженерний висновок полягає в тому, що системи повинні реєструвати достатні дані ланцюжка прийняття рішень для підтримки перевірки підзвітності після інциденту — не як правову формальність, а тому що відсутність журналів аудиту сама по собі може бути доказом недбалості.

+Чим відрізняються вимоги до етики AI для консультативних та автономних систем?

Консультативні системи — ті, що надають рекомендації особам, які приймають рішення і зберігають остаточні повноваження, — мають менш суворі вимоги до етики, ніж автономні системи, оскільки людина залишається підзвітною за результат. Однак консультативні системи все одно вимагають пояснюваності (людина повинна розуміти, чому була надана рекомендація), усунення упереджень (упереджена рекомендація, яку людина незмінно дотримується, дає той самий результат, що й автономне упереджене рішення) та документації надійності (людина повинна знати, за яких умов консультативний вихід є ненадійним). Автономні системи додатково вимагають механізмів примусової зупинки, формальної верифікації властивостей безпеки та задокументованих режимів відмов з перевіреними засобами пом'якшення. Спектр не є бінарним: система, описана як «консультативна», яка виробляє результати зі швидкістю або обсягом, що робить перевірку людиною формальністю, є функціонально автономною з точки зору етики.

+Що таке оцінка впливу AI і коли вона потрібна?

Оцінка впливу AI (AIIA) — це структурована перевірка перед розгортанням, яка документує, що робить система, на які рішення вона впливає, хто постраждав, які режими відмов та які заходи нагляду та пом'якшення наявні. Це аналог AI для оцінки впливу на конфіденційність або оцінки ризиків безпеки. Формальні вимоги варіюються: Закон ЄС про AI вимагає оцінки відповідності для систем AI з високим ризиком; керівництво Міністерства оборони Великобританії зобов'язує проводити AIIA для всіх розгортань AI; Принципи відповідального використання NATO передбачають документацію, еквівалентну AIIA, як частину принципу підзвітності. Найкраща практика в оборонних закупівлях — вимагати від постачальників AIIA як частину тендерної документації та оновлювати її при кожному великому випуску версії. Система без AIIA не може бути перевірена, не може бути належним чином контрольована та не може продемонструвати відповідність жодному з принципів NATO.

+Що таке «промивання етикою» і як команди із закупівель можуть його виявити?

«Промивання етикою» — це практика формулювання зобов'язань щодо етики AI у маркетингових матеріалах і документації без їх фактичного впровадження в архітектуру системи. Загальні ознаки включають: принципи етики, перелічені в рекламних матеріалах без відповідних технічних засобів контролю; «нагляд людини», описаний у документах політики, але не закріплений програмним забезпеченням (без воріт авторизації, без журналів аудиту, без вимог підтвердження оператора); претензії на пояснюваність, що посилаються на постфактумне раціоналізування, а не на справжню прозорість рішень; та заяви про усунення упереджень, що посилаються на різноманітність набору даних без доказів тестування з використанням ворожих вхідних даних. Команди із закупівель повинні вимагати від постачальників демонстрації відповідності етиці на рівні архітектури системи — а не лише приймати документацію щодо політики. Конкретні питання: де в кодовій базі закріплена авторизація людини? Що реєструє журнал аудиту? Як модель тестувалася на зміщення розподілу та ворожі вхідні дані? Постачальники, які не можуть відповісти на цьому рівні конкретності, навряд чи запровадили засоби контролю етики по суті.

Додаткові матеріали: Стаття про журнал аудиту інформаційних операцій охоплює архітектуру журналювання та підзвітності, яку вимагають принципи відстежуваності та відповідального використання на практиці. Для ширшого контексту управління ISO 27001 для розробки оборонного програмного забезпечення розглядає, як фреймворки управління інформаційною безпекою перетинаються з відповідністю вимогам етики. Організаціям, що визначають критерії закупівлі AI, також слід переглянути матеріал як вибрати постачальника оборонного програмного забезпечення для повного рубрикатора оцінки поза межами етики AI зокрема.