Utiifu katika Zama za LLM: Mfumo Mpya wa Udhibiti kwa Majukwaa ya AI (SW)

Miaka mitano iliyopita, majukumu ya utiifu wa kampuni ya AI yalinganishwa kwenye ukurasa mmoja. Sera ya faragha, masharti ya huduma, labda mabango ya vidakuzi, na — ukiona unahadhari — makubaliano ya usindikaji wa data ya GDPR. Hiyo ndiyo yote. AI ilichukuliwa kama programu, na programu ilichukuliwa kwa urahisi.

Mnamo Aprili 2026, ulimwengu huo umeisha.

Jukwaa la AI linalozinduliwa leo linatumika ndani ya mfululizo wa udhibiti unaovuka, ikiwa ni pamoja na Sheria ya AI ya EU, Sheria ya Huduma za Dijitali, GDPR, sheria mahususi za sekta (fedha, afya, elimu), udhibiti wa usafirishaji, mahitaji ya uthibitisho wa umri, mahitaji ya asili ya maudhui, na — kwa kuongezeka — majukumu ya KYC/AML-style ya wazi juu ya nani anaweza kupata miundo na wanaweza kufanya nayo. Tazamo ya Anthropic ya hivi majuzi ya uthibitisho wa pasipoti na picha ya mtu binafsi kwenye Claude ni dalili moja inayoonekana ya mabadiliko haya. Haitalastika.

Chapisho hili linaweka ramani ya mfululizo wa udhibiti ambao makampuni ya AI yanatakiwa kuendeshwa ndani, inaeleza nini kimebadilika katika miezi 18 iliyopita, na huweka usanifu wa vitendo wa kujenga bidhaa ambayo inaweza kuhimili uchunguzi wa udhibiti bila kuharibu uzoefu wa wasanidi programu.

Kilichobadilika

Mambo minne yalitokea, kwa takriban sambamba, kati ya mwishoni mwa 2024 na mwanzoni mwa 2026.

Kwanza, wadhibiti walifahamu. Sheria ya AI ya EU ilianza kutekelezwa kwa awamu kuanzia Agosti 2024, na majukumu ya modeli ya AI ya jumla yakianza mwishoni mwa Agosti 2025 na majukumu ya mfumo wa hatari kubwa yakianza Agosti 2026. Uingereza ilianzisha Taasisi ya Usalama wa AI na mikataba rasmi ya majaribio. Agizo la rais la Marekani kuhusu AI liliunda viwango vya kuripoti kwa majaribio makubwa ya mafunzo. Brazil, Japan, Korea Kusini, Singapore, na UAE zote zilichapisha mifumo ya AI. China ilikuwa tayari inahitaji uthibitisho wa utambulisho wa AI ya kijenzi tangu 2023.

Pili, majukwaa ya AI yalikuwa muhimu katika kiwango cha mfumo. Claude, ChatGPT, Gemini, na Grok sasa wako kwenye mchakato wa kazi wa wafanyakazi wa biashara milioni ya thelathini na wateja milioni mia mbili. Kiwango hicho kinazua majukumu ya "jukwaa kubwa mtandaoni" ya Sheria ya Huduma za Dijitali katika EU, utaratibu wa ulinzi wa watumiaji katika maeneo mengi, na mvuto wa jumla wa "ikiwa itavunjika, itavunja mambo mengi".

Tatu, njia za matumizi mbaya zilikomaa. Udanganyifu wa deepfake, uigaji wa sauti, uvuaji wa mawasiliano kwa njia ya kiotomatiki, utengenezaji wa utambulisho wa sintetiki, kutolewa kwa modeli, uchimbaji wa hakimiliki, uundaji wa CSAM, ujanja wa wakala — yote yalihamia kutoka katika uthibitisho wa dhana hadi katika utendaji wa viwanda. Kila mratibu sasa ana orodha ya matukio halisi ya kuonyesha wakati wa kuandika sheria.

Nne, tasnia iliisha visababishi. Kwa mwaka mwingi wa 2023 na 2024, makampuni ya AI yaliweza kujitetea kwa ufanisi kwamba udhibiti wa kujitundika na ahadi za hiari zilikuwa za kutosha. Kufikia 2026, pamoja na ushahidi wazi wa kutolewa kwa viwanda, udanganyifu wa deepfake unafikia hasara za bilioni kwa mwaka, na roboti za AI zimeshirikishwa katika kujitoa uhai kwa vijana na udanganyifu wa uigaji, hoja hiyo haishikiki tena.

Matokeo yake ni kwamba utiifu wa AI sio lazima tu baada ya bidhaa. Ni wasiwasi wa usanifu, sambamba na uwezo wa kuongezeka na usalama.

Mfululizo wa Udhibiti mwaka 2026

Jukwaa la AI linalofanya kazi katika masoko makubwa sasa linapaswa kushughulikia safu zifuatazo, kwa wakati mmoja.

Sheria ya AI ya EU

Sheria ya kwanza ya AI kamili iliyoanza kutekelezwa. Majukumu muhimu kwa kila aina:

• Miundo ya AI ya jumla (GPAI): maandishi ya uwazi, muhtasari wa data ya mafunzo, sera ya hakimiliki, hati za kiufundi zinazopatikana kwa watelezaji. Miundo iliyo na hatari ya "mfumo" (iliyofunzwa juu ya FLOP 10^25) inakabili majukumu ya ziada: tathmini ya hatari ya mfumo, jaribio la nyekundu, taarifa za tukio kubwa, ulinzi wa usalama wa mtandao.
• Miundo ya AI ya hatari kubwa: mifumo ya usimamizi wa hatari, utawala wa data, hati za kiufundi, uhifadhi wa rekodi, usimamizi wa binadamu, mahitaji ya usahihi na uimara, ufuatiliaji wa baada ya soko. Inatumika kwa AI katika ajira, mikopo, bima, elimu, miundombinu muhimu, utekelezaji wa sheria, na zaidi.
• AI ya hatari ndogo (roboti za mazungumzo, deepfake): majukumu ya uwazi - watumiaji lazima wajue wameingiliana na AI, na maudhui yaliyosintetiki lazima yawekwe alama.
• AI iliyopigwa marufuku: alama za kijamii, utambuzi wa viumbe hai kwa wakati halisi katika nafasi za umma (ikiwa na ubaguzi mdogo), kutambuliwa kwa hisia katika mahali pa kazi/elimu, upelelezi wa polisi kulingana na wasifu pekee, uchunguzi usio lengwa wa uso.

Adhabu huenda hadi 7% ya mzunguko wa kila mwaka wa ulimwengu kwa AI iliyopigwa marufuku, 3% kwa ukiukwaji mwingine.

Sheria ya Huduma za Dijitali (DSA)

Inatumika kwa jukwaa lolote mtandaoni linalohudumia watumiaji wa EU. Roboti za mazungumzo za AI zilizo na kiwango kikubwa zinazua majukumu ya "jukwaa kubwa sana mtandaoni" (VLOP): tathmini za hatari ya mfumo, ukaguzi wa uhuru, taarifa za uwazi, ufikiaji wa data wa mtafiti, majukumu ya uongofu wa maudhui, mifumo ya mabadiliko ya mzozo. Adhabu ya kiwango cha juu: 6% ya mzunguko wa ulimwengu.

GDPR

Bado utaratibu wa msingi wa faragha kwa bidhaa yoyote ya AI inayozungumza data ya kibinafsi ya EU. Sehemu muhimu za shinikizo maalum kwa AI:

• Msingi wa kisheria wa data ya mafunzo. Kukwaruza maudhui ya wavuti ya umma kwa mafunzo ya modeli iko chini ya mazingira ya mahakama katika maeneo mengi ya EU.
• Haki ya kufuta. Unafanyaje "kufuta" mtu kutoka kwa modeli iliyofunzwa? Utekelezaji wa hai wa hii bado unajitokeza.
• Uchaguzi wa mwamuzi wa kiotomatiki (Nakala ya 22). Inazima wakati matokeo ya AI yanaathiri sana watu binafsi. Inahitaji chaguo la ukaguzi wa binadamu.
• Upungufu wa data. Ni vigumu kuendana na mafunzo ya mfumo wa msingi kwenye mfululizo mkubwa wa data.

EDPB (Bodi ya Ulinzi wa Data ya Ulaya) ilitoa maoni mnamo Desemba 2024 ikifafanua baadhi ya haya, lakini utekelezaji haufani katika nchi wanachama na imebadilika.

Sheria Mahususi za Sekta

AI inayotumika katika sekta zilizodhibitiwa inachukua majukumu ya sekta moja kwa moja:

• Fedha: MiFID II, PSD2/PSD3, miongozo ya EBA kuhusu AI katika alama za mikopo, mwongozo wa FINRA AI, mzunguko wa CFPB kuhusu ubaguzi wa kisheria
• Afya: MDR (kanuni za vifaa vya matibabu vya EU) kwa AI ya uchunguzi, mwongozo wa HIPAA na FDA huko Marekani
• Elimu: sheria za ulinzi wa data za mwanafunzi (FERPA huko Marekani, sheria za ngazi ya jimbo)
• Ajira: Sheria ya Mtaa ya NYC 144, aina ya hatari kubwa ya Sheria ya AI ya EU kwa zana za ajira, mwongozo wa EEOC kuhusu ubaguzi wa kisheria
• Bima: muhtasari wa mfumo wa NAIC juu ya AI, udhibiti wa ngazi ya jimbo

Jukwaa la AI ambalo huruhusu wateja wa biashara kuingia katika sekta zozote kati ya hizi hurithi sehemu ya wajibu.

Udhibiti wa Usafirishaji

AI ni ya matumizi mawili. Marekani imedhibiti vifaa vya GPU vingine vya juu tangu 2022, imeongeza udhibiti wa uzito wa modeli chini ya viwango fulani vya uwezo, na inaweka vikwazo vya Orodha ya Entity kwenye ufikiaji wa teknolojia ya AI ya Marekani na watendaji fulani wa kigeni. EU ina udhibiti wa usafirishaji wa vitu vya matumizi mawili ikijumuisha AI chini ya Kanuni ya EU ya Matumizi Mawili. Hili linaonekana kama majukumu ya utiifu katika nani unaweza kuuza ufikiaji wa API kwako, ni wateja gani wanaopita ukaguzi wa vikwazo, na ni moduli gani zinaweza kupelekwa katika maeneo gani.

KYC, AML, na Udhibiti wa Ufikiaji

Kuongezeka kwisha kwa safu, na moja ambayo makampuni mengi ya AI hayajajitayarisha. Viendeshaji:

• Sera za Uskalishaji Unuwishi za maabara ya mbele (ASL-3 na hapo juu zinahitaji KYC)
• Ulinzi wa mashambulizi ya kutolewa (ona onyesho la Februari 2026 la Anthropic)
• Uchunguzi wa udhibiti wa usafirishaji (unahitaji wateja waliofungwa),
• Uzuiaji wa matumizi mabaya (CSAM, kuimarisha silaha, udanganyifu),
• Uhusiano wa udhibiti na fintech (miundombinu ya AI inatibiwa zaidi kama miundombinu ya fedha).

Matokeo ya vitendo ni kwamba majukwaa ya AI yanajenga mipango ya KYC - uthibitisho wa utambulisho, ukaguzi wa vikwazo, ukaguzi wa mmiliki mwenza, ufuatiliaji wa shughuli zinazoshukiwa - ambazo zinafanana sana na zile ambazo fintech na mabadilishano ya fedha fiche tayari zinatumia.

Uthibitisho wa Umri

Inazidi kuwa ya lazima katika masoko makubwa. Sheria ya Usalama Mtandaoni ya Uingereza, utekelezaji wa wanachama wa EU wa umri wa maudhui, sheria za ngazi ya jimbo la Marekani (Utah, Louisiana, Texas na wengine), na sera za jukwaa kama mahitaji ya Duka la App la Apple yote husukuma katika mwelekeo mmoja: bidhaa zilizo na maudhui ya watu wazima, huduma za kifedha, vipengele vya urejeleo vinavyozua utegemeaji, au hatari kubwa kwa watoto lazima zithibitisha umri.

Kwa roboti za mazungumzo za AI, hii inamanifesto kama ufikiaji uliopunguzwa kwa uwezo fulani, ulinzi karibu na mwingiliano wa watoto, na — katika maeneo mengi — marufuku ya tabia fulani ya mfumo mbele ya watumiaji wadogo.

Maudhui ya Asili na Kumbukumbu za Maji

Sheria ya AI ya EU inahitaji maudhui yaliyosintetiki yawe na lebo. Agizo la rais la Merika kuhusu AI liliomba NIST itengeneze viwango vya uthibitishaji wa maudhui. Sasisho la C2PA (Shirika la Tofauti ya Maudhui na Uthibitisho) linakuwa kiwango cha viwanda kwa ukweli. Majukwaa ya AI yanayozalisha picha, sauti na video yanatakiwa kusimba mawingu ya utambuzi wa kimfumo katika matokeo.

Usanifu wa Utiifu Uliofanya Kazi

Ukiundaji bidhaa ya AI mwaka 2026, mfululizo wa udhibiti hapo juu unaweza kukushoga. Haipaswi. Upeo kuu: Utiifu wa AI ni tatizo la usanifu, sio tatizo la sera. Sera zilizosomwa kwa uangalifu, taarifa za faragha na DPAs ni muhimu lakini sivyo kutosha. Udhibiti unapaswa kuingia ndani ya bidhaa.

Hii ndiyo usanifu wa chini kabisa ambao utafanya kazi kwa jukwaa la AI la kisasa.

Safu ya Kitambulisho na Ufikiaji

Kila mtumiaji, kila kikao, kila wito wa API unapita kupitia safu inayojua:

• Mtumiaji ni nani (kiwango cha uthibitisho)
• Wako wapi (maeneo ya mamlaka)
• Wana kiwango gani cha ufikiaji (bure, kulipwa, biashara, uwezo uliopunguzwa)
• Profaili yao ya hatari inaonekana vipi (inavyobana, kihistoria, kifaa)

Hiyo ndiyo safu inayoshughulikia KYC, ukaguzi wa AML, ukaguzi wa vikwazo, uthibitisho wa umri na ukaguzi wa udhibiti wa usafirishaji. Ijenge mara moja, ingiza kwenye kila uso wa bidhaa.

Vipengele vya kiufundi:

• Uthibitisho wa hati na utambuzi wa uhai kwa viwango vya juu
• Vikwazo, PEP, ukaguzi wa vyombo vya habari vinavyopinga kwenye uundaji wa akaunti
• Uunganisho wa vifaa na ufuatiliaji wa tabia kwa alama za hatari zinazoendelea
• Ufuatiliaji unaoendelea na vichochezi vya kuthibitisha tena

Didit ni mtoa huduma mmoja ulijengwa kwa sura hii haswa - aina ya malipo, chanjo ya ulimwengu, uthibitisho wa haraka, API ya AI asilia.

Safu ya Usalama wa Maudhui

Uchujaji wa pembejeo, uchujaji wa matokeo, ugunduzi wa matumizi mabaya, uchunguzi wa CSAM, ulinzi wa hakimiliki, na mawingu ya asili ya maudhui. Hii ndiyo mahali ambapo usalama wa mfumo unakutana na majukumu ya udhibiti. Uwezo maalum:

• Uainishaji wa kutumbua kwa aina za matumizi mabaya (CSAM, silaha, udanganyifu, kujionauru, wimbi)
• Uainishaji wa matokeo ulinganifu na aina hizo hizo
• Ulinganishaji wa hash na maudhui yanayojulikana mabaya (NCMEC, database za hakimiliki)
• Mawingu ya maji na asili ya C2PA kwa vyombo vinavyozalishwa
• Nafasi ya majaribio nyekundu kwa utambuzi unaojulikana wa kuwafunguja

Safu ya Ukaguzi na Ripoti

Waratibu wanahitaji ripoti zilizobuniwa. Jenga miundombinu ya logi ya ukaguzi ili kusaidia kutoka siku ya kwanza:

• Kila uamuzi kwa athari ya nyenzo umeandikwa na pembejeo, matokeo, toleo la mfumo, kutumbua, na tier ya mtumiaji
• Mstari wa taarifa wa tukio linalounganishwa na ukweli wa ndani na faili la udhibiti wa nje
• Uundaji wa ripoti ya uwazi (takwimu zilizokusanywa, zisizo na majina juu ya bendera, marufuku, kukataa)
• Miundombinu ya ufikiaji wa utafiti kwa ombi la data mtindo wa DSA
• Vifurushi vya ushahidi vinavyoweza kuhamishwa kwa mifumo fulani ya udhibiti (hati za kiufundi za Sheria ya AI ya EU, ISO 42001, SOC 2)

Uelekezaji wa Mamlaka ya Kimamlaka

Sheria tofauti zinatumiwa katika maeneo tofauti. Msingi mmoja wa kanuni unapaswa kushughulikia:

• Watumiaji wa EU chini ya GDPR, Sheria ya AI ya EU, DSA
• Watumiaji wa Uingereza chini ya GDPR ya Uingereza, Sheria ya Usalama Mtandaoni, kanuni za AI za Uingereza
• Watumiaji wa Marekani chini ya muafaka wa ngazi ya jimbo (California CCPA/CPRA, sheria ya AI ya Utah, Sheria ya AI ya Colorado, Sheria ya Mtaa ya New York 144)
• Watumiaji wa Brazil chini ya LGPD na sheria inayokuja ya AI
• Watumiaji wa China chini ya kanuni za AI ya CAC

Safu ya Utiifu inaelesha omba, inatoza vizuizi vya jimbo, na inashughulikia makazi ya data. Hii sio hiari kwa majukwaa ya ulimwengu.

Safu ya Utawala wa Mfumo

Kwa maabara ya mshikamano haswa, lakini kwa kuongezeka kwa kila mtu anayejenga juu ya miundo:

• Kadi za mfumo na asili ya mafunzo ya data, matokeo ya tathmini, mapungufu yanayojulikana
• Ripoti za jaribio nyekundu kwa miundo ya hatari ya mfumo
• Mjadala wa majibu ya tukio kwa kushindwa kwa tabia ya mfumo
• Udhibiti wa toleo la miundo iliyotumika katika muktadha zilizoandikishwa
• Hati za mtoa huduma wa ushirikiano (wajibu wa uwazi wa AI ya EU inapitisha mlolongo wa usambazaji)

Makosa ya Kawaida, na Jinsi Ya Kuepuka Yeye

Kuchukulia Utiifu ni Hati ya Sera

Kosa kubwa zaidi la gharama. Taarifa ya faragha iliyoandikwa kwa uzuri haifanyi chochote kama bidhaa haitekelezi sheria zilizoandikwa humo. Ijenga udhibiti ndani ya usanifu, kisha ueleze ila sera sio kinyume chake.

Kukubali Kujiunga na Kutosheleza

"Watumiaji lazima wawe na umri wa zaidi ya 18" katika masharti yako ya huduma haitoshi kukidhi mahitaji ya uthibitisho wa umri. "Watumiaji hawaruhusiwi kutumia bidhaa yetu kwa madhumuni yasiyo halali" haitoshi kukidhi majukumu ya kuzuia CSAM. Unahitaji uthibitisho, sio kuthibitisha.

Kusubiri Wazi wa Udhibiti

Kanuni hazitaboreka na wakati. Kila mzunguko wa uhakika umekaza majukumu, sio kuyabakia huru. Kujenga kwa Sheria ya AI ya EU 2025 leo inamaanisha tayari nyuma ya vifaa vya 2026 kati ya hatari kubwa. Ijenga kwa tafsiri ya kasi.

Kushikilia Biometri na Data ya Utambulisho Yako Mwenyewe

Huu ni uhasibu maelfu wa kimsingi, unaohitaji udhibiti. Usiwe mtoa huduma wa KYC kwa bahati mbaya, ikiwa wewe si mtoa huduma wa KYC. Tumia mtoa huduma iliyoteuliwa (Persona, Onfido, Didit) kwa data ya utambulisho na uwe katika upande wa kulia wa laini ya mdhibiti wa data/processor.

Kufikiri Usalama na Utiifu kama Uteuzi wa Gengei

Ni utendaji mmoja, na wasikilizaji tofauti. Programu yako ya jaribio nyekundu ni sehemu ya hati zako za hatari za mfumo za Sheria ya AI ya EU. Gharama yako ya CSAM ni sehemu ya majukumu yako ya DSA. Ukaguzi wako wa vikwazo ni sehemu ya msimamo wako wa udhibiti wa usafirishaji. Utawala wa miundombinu ni mchumi, hiyo. Utawala uliogawanywa unahakikisha mapungufu.

Kupunguza Gharama Ya Utiifu wa Mauzo Ya Biashara

Wateja wa biashara wataomba ushahidi — SOC 2 Aina II, ISO 27001, ISO 42001 (AI-maalum), makubaliano ya usindikaji wa data, orodha za msimamizi, uthibitisho wa muendelezo wa data. Kutojenga haya katika mwaka wa kwanza kunagharimu miezi ya mikataba ya biashara katika mwaka wa pili.

Kile Kilichobora Linatokea Katika 2026

Jukwaa la AI lililobuniwa vizuri mnamo 2026 lina, kwa kiwango cha chini:

• Uhakika wa uvimwaji wa hatari uliopunguzwa ndani ya kila safu na eneo la uwezo
• Ukaguzi wa vikwazo na usafirishaji katika uundaji wa akaunti na kwa ratiba inayoendelea
• Uthibitisho wa umri katika uso wowote ambapo wadogo wanakabiliwa na hatari muhimu
• Miundombinu ya Kinga ya Maudhui — uchujaji wa pembejeo, ufuatiliaji wa matokeo, kuchunguzwa kwa CSAM, kuweka kumbukumbu za maji
• Logi za ukaguzi na ripoti za uwazi zinazozaweza kujaza faili za udhibiti bila ufundi mzuri
• Uelekezaji wa mamlaka ya kimamlaka na udhibiti wa makazi ya data
• Utawala wa msimbo - kadi, tathmini, ripoti za jaribio nyekundu, majibu ya tukio
• Uchunguzi wa muuzaji kwa mtindo wote, zana na mtoa huduma wa data katika stack
• Ufuatiliaji hai kwa uparaji ukali - kutolewa, udanganyifu, kupigwa, uigaji

Hii ni uwekezaji muhimu wa uhandisi. Pia sio negotiable kwa kampuni ya AI yoyote ambayo inaunganisha ulimwengu kwa masoko ya kudhibitiwa.

Mfululizo wa Utiifu Ni Bidhaa

Intuition kwa wajenzi wa AI ni kutibu ufanisi kama mgando — kodi unayolipa kusafirisha bidhaa yako "halisi". Mnamo 2026, reverse hiyo ni sahihi. Mfululizo wa ufanisi unazidi kuwa sehemu ya bidhaa. Wateja wa biashara wanachagua watoaji kwa kasi ya udhibiti. Waratibu wanapoteza ufikiaji wa masoko kwa ushahidi wa ufanisi. Watumiaji wanaamini majukwaa wanayoonyesha kazi yao.

Makampuni ya AI ambayo yatashinda miaka mitano ijayo yatamtibu mfululizo wa udhibiti kama mimi lazimaiti wa miundombinu: kutembelea katika uhandisi, na uvunjaji, na uendeshaji kwa ufanyaji. Kuamuru kuanza na wimbi ni muhimu. Makampuni hayataendelea kwa kuwa ukufa unaovu.

Usafirishaji mwepesi wa Anthropic wa pasipoti na uthibitisho wa picha ya mtu binafsi kwenye Claude sio mwendo wa mabadiliko. Ni onyesho. Kila jukwaa kuu la AI litapangwa katika mahali hapo, kupitia kupitishwa kwa kujitundika au mkazo wa udhibiti. Makampuni aayawe na yanawalimbia wataanza kwanza, na yatatimiza kiwango kamili. Waliokaa nyuma wanazungumza mkaazi kwa nyuma.

Ufuatiliaji hektisha shida kati ya uvumbuzi wa AI. Kupigwa kwa ukiukwaji mkali, miundo isiyoonekana, na kutokuwa na uhakika kwa udhibiti ni imara kabisa. Kujenga safu iliyoandikwa hapo juu ndiyo tasnia inatuhangaikia kuingia kwenye kiwango cha kiundi cha uwezo.

---

Didit inaamini utambulisho, ukaguzi wa AML, na miundombinu ya ufanisi kwa AI-bidhaa asilia. 220+ nchi, aina 14,000 za hati, $0.30 kwa kuthibitisha, hakuna kiwango cha chini. Anza kwa bure au zungumza na timu.