De recente berichtgeving van Mercor is een nuttige waarschuwing voor inkopers van AI-oplossingen voor bedrijven. Mercor bevestigde een beveiligingsincident dat verband hield met een aanval op de toeleveringsketen van LiteLLM, en volgens berichten heeft Meta de samenwerking met het bedrijf tijdelijk stopgezet in afwachting van verder onderzoek. Voor leiders op het gebied van beveiliging, inkoop en AI is de les duidelijk: de beoordeling van leveranciers kan niet langer stoppen bij het hoogste niveau.
1. Waar komen uw gegevens vandaan en hoe worden ze beheerd?
Vraag om specifieke informatie over de herkomst, toestemming, licenties, bewaring en verwijdering van het materiaal. Als het antwoord vaag is, is dat een waarschuwingssignaal.
De openbare richtlijnen van Shaip met betrekking tot AI-gegevensverzameling legt de nadruk op herkomst, documentatie, privacybescherming en gestructureerde verzamelpraktijken.
2. Welke tools van derden en open-source tools zijn in uw workflow geïntegreerd?
Dit is nu des te belangrijker omdat Mercor het incident publiekelijk in verband bracht met LiteLLM en zichzelf beschreef als een van de duizenden bedrijven die getroffen zijn door een aanval op de toeleveringsketen.
3. Hoe beheert u de toegang tot gevoelige datasets en evaluatiemiddelen?
Toegangsbeperking, encryptie, auditregistratie en gegevensscheiding zouden basisvereisten moeten zijn.
Zoekt u een leverancier die garant staat voor vertrouwen binnen uw bedrijf?
4. Hoe ziet uw kwaliteitsborgingsproces er in de praktijk uit?
Zoek naar meetbare werkwijzen zoals beoordeling op meerdere niveaus, gouden datasets, rechtspraak en gestructureerde correctieprocessen.
Shaips publieke standpunt rondom menselijke betrokkenheid kwaliteit en LLM-opleidingsgegevensservices Dit ondersteunt het idee dat kwaliteit in het werkproces moet worden ingebouwd, en niet als een laatste controle moet worden toegevoegd.
5. Hoe ga je om met uitzonderlijke gevallen en onduidelijke oordelen?
In AI voor bedrijven kan niet alles veilig geautomatiseerd worden. Sommige taken vereisen nog steeds een menselijke beoordeling die specifiek is afgestemd op het betreffende vakgebied.
In de openbare HITL-richtlijnen van Shaip wordt betoogd dat mensen op de meest cruciale punten in de workflow moeten worden geplaatst, waar oordeel en verantwoordelijkheid het belangrijkst zijn.
6. Welk bewijs heeft u voor de naleving van de regelgeving en de volwassenheid van de beveiliging?
7. Wat gebeurt er als uw eigendomsstructuur, partnerschappen of strategische prioriteiten veranderen?
Hier zijn neutraliteit en klantbescherming van belang. Kopers moeten vragen hoe hun gegevens worden afgeschermd, of de belangen van de leverancier in lijn blijven met die van de klant, en hoe de belangen van de klant op de lange termijn worden beschermd.
Shaips openbare artikel over dataneutraliteit betoogt dat neutraliteit belangrijk is omdat klanten behoefte hebben aan aanbieders wiens belangen zijn afgestemd op vertrouwen, en niet op concurrerende productagenda's.
Laatste afhaalmaaltijden
Leveranciers van AI-data mogen niet als onderling verwisselbare dienstverleners worden beschouwd. Ze staan te dicht bij de kwaliteit van modellen, de bescherming van intellectueel eigendom, de operationele continuïteit en het vertrouwen van de onderneming. De juiste partner is niet simpelweg degene die het snelst kan leveren. Het is degene die kan aantonen hoe data wordt beheerd, hoe workflows worden beveiligd, hoe kwaliteit wordt gemeten en hoe de belangen van de klant worden beschermd. De publieke communicatie van Shaip op hun website sluit sterk aan bij deze focus op vertrouwen.
Zoekt u een partner die datakwaliteit, menselijke evaluatie en bedrijfsbrede governance combineert?
Ontdek Shaip's AI-gegevensdiensten, LLM-oplossingenen Beveiliging en naleving.
Wat houdt due diligence bij AI-leveranciers in?
Due diligence bij de selectie van een AI-leverancier is het proces waarbij de gegevensbronnen, kwaliteitscontroles, beveiligingsstatus, naleving van regelgeving, afhankelijkheden en het governance-model van een leverancier worden beoordeeld voordat een overeenkomst wordt gesloten.
Waarom zouden kopers van AI-oplossingen vragen stellen over open-source afhankelijkheden?
Omdat de moderne AI-stack vaak connectoren van derden, middleware en open-source tools bevat die risico's verderop in het proces kunnen introduceren. Het Mercor-incident is een recent voorbeeld van waarom dit belangrijk is.
Wat maakt een sterke leverancier van AI-data?
Een sterke leverancier van AI-data kan de herkomst, menselijke kwaliteitscontrole, controleerbaarheid, toegangscontrole, bewijs van naleving en de wijze waarop klantgegevens in de loop der tijd worden beschermd, toelichten. De openbare materialen van Shaip benadrukken deze pijlers.
Waarom is dataneutraliteit belangrijk?
Dataneutraliteit helpt het risico op belangenconflicten, onduidelijke hergebruiksgrenzen en verkeerd afgestemde prikkels in de toeleveringsketen van AI-data te verminderen.
