S0025重大

供應商不透明阻礙風險評估

部署

風險描述

AI 模型供應商以商業機密為由拒絕揭露模型的訓練數據來源、架構細節、已知限制和安全測試結果。部署組織在缺乏這些關鍵資訊的情況下無法進行充分的風險評估,形同「盲目部署」。這種供應商不透明在 AI-as-a-Service 模式下尤其嚴重,因為組織完全依賴供應商提供的有限資訊做出部署決策。

框架對照

iso 23894R4
tw principle透明與可解釋
tw principle問責
tw risk type部署互動問題(Deployment Interaction)

控制措施

  • 供應商透明度要求
  • 獨立評估

處理步驟

  1. 在採購合約中要求供應商提供最低透明度資訊
  2. 委託獨立第三方對供應商的 AI 系統進行安全和偏見評估
  3. 建立供應商透明度評分機制,作為採購決策的參考
  4. 推動產業標準化的 AI 模型資訊揭露框架(如 Model Cards)