供應商不透明阻礙風險評估
部署
風險描述
AI 模型供應商以商業機密為由拒絕揭露模型的訓練數據來源、架構細節、已知限制和安全測試結果。部署組織在缺乏這些關鍵資訊的情況下無法進行充分的風險評估,形同「盲目部署」。這種供應商不透明在 AI-as-a-Service 模式下尤其嚴重,因為組織完全依賴供應商提供的有限資訊做出部署決策。
框架對照
iso 23894R4
tw principle透明與可解釋
tw principle問責
tw risk type部署互動問題(Deployment Interaction)
控制措施
- 供應商透明度要求
- 獨立評估
處理步驟
- 在採購合約中要求供應商提供最低透明度資訊
- 委託獨立第三方對供應商的 AI 系統進行安全和偏見評估
- 建立供應商透明度評分機制,作為採購決策的參考
- 推動產業標準化的 AI 模型資訊揭露框架(如 Model Cards)