What is agentic AI and why does it pose new governance challenges?

Agentic AI refers to artificial intelligence systems that operate non-deterministically, meaning they don't follow fixed, predictable patterns. Instead, they adapt, reason, and act independently, selecting different tools and approaches as they work. This contrasts sharply with traditional, static software systems where inputs reliably lead to predictable outputs. This non-deterministic nature challenges traditional governance frameworks, which were designed for predictable deployments, by creating complexities in security, compliance, and observability. Agentic AI can lead to inconsistent security postures and compliance gaps because its actions, even if malicious, might occur within legitimately granted permissions, making detection difficult for standard tools.

What is AI Risk Intelligence (AIRI) and who developed it?

AI Risk Intelligence (AIRI) is an enterprise-grade automated governance solution developed by the AWS Generative AI Innovation Center. It is designed to address the unique governance challenges posed by agentic AI systems. AIRI automates the assessment of security, operations, and governance controls, consolidating them into a single, continuous viewpoint across the entire agentic lifecycle. Its development is guided by the robust AWS Responsible AI Best Practices Framework, aiming to help organizations deploy trusted AI systems by integrating responsible AI considerations from design through post-production.

How does AIRI address 'Tool Misuse and Exploitation' in agentic systems?

AIRI addresses 'Tool Misuse and Exploitation,' an OWASP Top 10 risk for agentic applications, by providing continuous, automated governance that evaluates an agent's actions against its intended scope. Unlike traditional data loss prevention or network monitoring tools that might miss anomalies within authorized permissions, AIRI integrates security directly into how agents operate. It reasons over evidence to determine if an agent's use of its tools, such as email or calendar access, aligns with established governance standards, even if the actions are technically within granted permissions. This allows for early detection of potentially malicious or unintended tool misuse that could lead to data exfiltration or other breaches.

What governance frameworks can AIRI operationalize?

AIRI is framework-agnostic, meaning it can operationalize a wide array of governance standards rather than being limited to a specific set of rules. It transforms frameworks such as the NIST AI Risk Management Framework, ISO standards, and OWASP guidelines from static reference documents into automated, continuous evaluations. This adaptability allows AIRI to calibrate against an organization's specific governance standards, including internal transparency policies and industry-specific compliance requirements, making it applicable across diverse agent architectures, industries, and risk profiles without needing re-engineering for each new context.

How does AIRI utilize 'semantic entropy' in its evaluation process?

AIRI utilizes 'semantic entropy' as a technique to strengthen the reliability of its automated governance judgments. After performing an evaluation of a control, AIRI repeats the assessment multiple times. Semantic entropy then measures the consistency of the conclusions drawn across these repeated runs. If the outputs or judgments vary significantly, it signals that the underlying evidence might be ambiguous or insufficient for a definitive automated determination. In such cases, AIRI intelligently triggers a human review, preventing potentially unreliable automated judgments and ensuring that complex or unclear situations receive necessary human oversight and expertise.

What are the key benefits of implementing AIRI for enterprise AI deployments?

Implementing AIRI provides several key benefits for enterprise AI deployments. It moves organizations from reactive, manual governance to proactive, automated, and continuous oversight of agentic systems. Benefits include achieving a consistent security posture across complex agentic workflows, closing compliance gaps through continuous evaluation against various standards (NIST, ISO, OWASP), and enhancing visibility into agent behavior and risks for business stakeholders. By automating the assessment of security, operations, and governance controls, AIRI allows organizations to scale their AI ambitions confidently, reduce manual audit efforts, and build trust in their AI systems by embedding responsible AI principles throughout the entire lifecycle.

Tekoälyn hallinto: Riskitiedustelu agenttijärjestelmille

title: "Tekoälyn hallinto: Riskitiedustelu agenttijärjestelmille" slug: "can-your-governance-keep-pace-with-your-ai-ambitions-ai-risk-intelligence-in-the-agentic-era" date: "2026-04-01" lang: "fi" source: "https://aws.amazon.com/blogs/machine-learning/can-your-governance-keep-pace-with-with-your-ai-ambitions-ai-risk-intelligence-in-the-agentic-era/" category: "Yritystekoäly" keywords:

tekoälyn hallinto
agenttitekoäly
tekoälyn riskiäly
AWS
yritystekoäly
tekoälyn turvallisuus
vastuullinen tekoäly
tekoälyn vaatimustenmukaisuus
riskienhallinta
automatisoitu hallinto
generatiivinen tekoäly
tekoälyn turvallisuus meta_description: "Tutustu, miten AWS:n AI Risk Intelligence (AIRI) mullistaa agenttijärjestelmien tekoälyn hallintaa varmistaen turvallisuuden ja vaatimustenmukaisuuden ei-deterministisellä tekoälyaikaudella." image: "/images/articles/can-your-governance-keep-pace-with-your-ai-ambitions-ai-risk-intelligence-in-the-agentic-era.png" image_alt: "Tekoälyn riskiälyn hallintapaneeli, joka näyttää kattavan yleiskuvan agenttijärjestelmän tilasta." quality_score: 94 content_score: 93 seo_score: 95 companies:
AWS schema_type: "NewsArticle" reading_time: 5 faq:
question: "Mikä on agenttitekoäly ja miksi se asettaa uusia hallinnollisia haasteita?" answer: "Agenttitekoäly tarkoittaa tekoälyjärjestelmiä, jotka toimivat ei-deterministisesti, eli ne eivät noudata kiinteitä, ennustettavia malleja. Sen sijaan ne mukautuvat, päättelevät ja toimivat itsenäisesti valiten erilaisia työkaluja ja lähestymistapoja työskennellessään. Tämä on jyrkässä ristiriidassa perinteisten, staattisten ohjelmistojärjestelmien kanssa, joissa syötteet johtavat luotettavasti ennustettaviin tuloksiin. Tämä ei-deterministinen luonne haastaa perinteiset hallintakehykset, jotka on suunniteltu ennustettavia käyttöönottoja varten, luomalla monimutkaisuutta turvallisuuteen, vaatimustenmukaisuuteen ja havaittavuuteen. Agenttitekoäly voi johtaa epäjohdonmukaisiin turvallisuusasentoihin ja vaatimustenmukaisuusaukkoihin, koska sen toimet, vaikka ne olisivat haitallisia, saattavat tapahtua laillisesti myönnettyjen oikeuksien puitteissa, mikä tekee havaitsemisesta vaikeaa tavallisilla työkaluilla."
question: "Mikä on tekoälyn riskiäly (AIRI) ja kuka sen kehitti?" answer: "Tekoälyn riskiäly (AIRI) on yritystason automatisoitu hallintaratkaisu, jonka AWS Generative AI Innovation Center on kehittänyt. Se on suunniteltu vastaamaan agenttitekoälyjärjestelmien asettamiin ainutlaatuisiin hallinnollisiin haasteisiin. AIRI automatisoi turvallisuus-, toiminta- ja hallintatoimien arvioinnin, yhdistäen ne yhdeksi, jatkuvaksi näkymäksi koko agentin elinkaaren ajan. Sen kehitystä ohjaa vankka AWS:n vastuullisen tekoälyn parhaiden käytäntöjen kehys, jonka tavoitteena on auttaa organisaatioita ottamaan käyttöön luotettavia tekoälyjärjestelmiä integroimalla vastuullisen tekoälyn näkökohdat suunnittelusta jälkituotantoon."
question: "Miten AIRI puuttuu 'työkalujen väärinkäyttöön ja hyödyntämiseen' agenttijärjestelmissä?" answer: "AIRI puuttuu 'työkalujen väärinkäyttöön ja hyödyntämiseen', joka on OWASP Top 10 -riski agenttisovelluksille, tarjoamalla jatkuvan, automatisoidun hallinnon, joka arvioi agentin toimet sen aiottua laajuutta vasten. Toisin kuin perinteiset tietovuotojen estämisen tai verkonvalvonnan työkalut, jotka saattavat jättää huomaamatta poikkeamia valtuutettujen oikeuksien sisällä, AIRI integroi turvallisuuden suoraan siihen, miten agentit toimivat. Se päättelee todisteiden perusteella, vastaako agentin työkalujen, kuten sähköpostin tai kalenterin käyttö, vakiintuneita hallintostandardeja, vaikka toimet olisivatkin teknisesti myönnettyjen oikeuksien puitteissa. Tämä mahdollistaa mahdollisesti haitallisen tai tahattoman työkalun väärinkäytön varhaisen havaitsemisen, mikä voi johtaa tietojen vuotamiseen tai muihin tietoturvaloukkauksiin."
question: "Mitä hallintakehyksiä AIRI voi operationalisoida?" answer: "AIRI on kehysagnostinen, mikä tarkoittaa, että se voi operationalisoida laajan valikoiman hallintostandardeja sen sijaan, että se rajoittuisi tiettyyn sääntöjoukkoon. Se muuntaa kehykset, kuten NIST AI Risk Management Framework, ISO-standardit ja OWASP-ohjeet staattisista viiteasiakirjoista automatisoiduiksi, jatkuviksi arvioinneiksi. Tämä mukautuvuus antaa AIRI:lle mahdollisuuden kalibroida organisaation omien hallintostandardien, mukaan lukien sisäisten avoimuuspolitiikkojen ja toimialakohtaisten vaatimustenmukaisuusvaatimusten, mukaiseksi, mikä tekee siitä sovellettavan erilaisissa agenttiarkkitehtuureissa, toimialoilla ja riskiprofiileissa ilman, että sitä tarvitsee uudelleensuunnitella jokaista uutta kontekstia varten."
question: "Miten AIRI hyödyntää 'semanttista entropiaa' arviointiprosessissaan?" answer: "AIRI hyödyntää 'semanttista entropiaa' tekniikkana automatisoitujen hallintapäätöstensä luotettavuuden vahvistamiseksi. Suoritettuaan kontrollin arvioinnin AIRI toistaa arvioinnin useita kertoja. Semanttinen entropia mittaa sitten näiden toistettujen ajojen johtopäätösten johdonmukaisuutta. Jos tulokset tai päätökset vaihtelevat merkittävästi eri ajojen välillä, se kertoo, että todisteet saattavat olla epäselviä tai riittämättömiä lopulliselle automatisoidulle määritykselle. Tällaisissa tapauksissa AIRI laukaisee älykkäästi ihmisen suorittaman tarkistuksen, estäen mahdollisesti epäluotettavat automaattiset päätökset ja varmistaen vankan hallintoprosessin. Tämä innovatiivinen lähestymistapa kuromaa tehokkaasti umpeen abstraktien kehysvaatimusten ja konkreettisen agenttikäyttäytymisen välisen kuilun muuttaen hallinnollisen tarkoituksen jäsennellyksi, toistettavaksi ja skaalautuvaksi arvioinniksi monimutkaisissa agenttijärjestelmissä."
question: "Mitkä ovat AIRI:n käyttöönoton tärkeimmät edut yritysten tekoälykäyttöönotoissa?" answer: "AIRI:n käyttöönotto tarjoaa useita keskeisiä etuja yritysten tekoälykäyttöönotoille. Se siirtää organisaatioita reaktiivisesta, manuaalisesta hallinnosta ennakoivaan, automatisoituun ja jatkuvaan agenttijärjestelmien valvontaan. Etuja ovat johdonmukaisen turvallisuusasennon saavuttaminen monimutkaisissa agenttityönkuluissa, vaatimustenmukaisuusaukkojen sulkeminen jatkuvalla arvioinnilla eri standardeja (NIST, ISO, OWASP) vasten sekä näkyvyyden parantaminen agenttien käyttäytymiseen ja riskeihin liiketoiminnan sidosryhmille. Automatisoimalla turvallisuus-, toiminta- ja hallintatoimien arvioinnin AIRI antaa organisaatioille mahdollisuuden skaalata tekoälytavoitteitaan luottavaisin mielin, vähentää manuaalisia auditointiponnisteluja ja rakentaa luottamusta tekoälyjärjestelmiinsä upottamalla vastuullisen tekoälyn periaatteet koko elinkaaren ajan."

Agenttitekoälyn aikakausi: Yritystekoälyn hallinnon muovaaminen uudelleen

Tekoälymaisema kehittyy nopeasti, ja se tuo mukanaan "agenttiaikauden", jossa tekoälyjärjestelmät toimivat ennennäkemättömän autonomisesti. Ennustettavien, binääristen DevOps-aikojen päivät ovat takana; agenttitekoäly on ei-deterministinen, mukautuen ja päätellen itsenäisesti. Tämä paradigman muutos asettaa syvällisen haasteen perinteisille IT-hallintakehyksille, jotka oli suunniteltu staattisia, ennustettavia käyttöönottoja varten. Organisaatiot kamppailevat epäjohdonmukaisten turvallisuusasentojen, vaatimustenmukaisuusaukkojen ja läpinäkymättömien havaittavuusmittareiden kanssa näissä monimutkaisissa monijärjestelmäinteraktioissa. Tämä dynaaminen ympäristö edellyttää uudenlaista lähestymistapaa turvallisuuteen, toimintaan ja hallintoon, joita tarkastellaan agenttijärjestelmän terveyden toisistaan riippuvina ulottuvuuksina. Tästä kriittisestä tarpeesta nousee esiin AI Risk Intelligence (AIRI). AWS Generative AI Innovation Centerin kehittämä ja vankan AWS Responsible AI Best Practices Frameworkin perustalle rakennettu AIRI on yritystason automatisoitu hallintaratkaisu, joka on suunniteltu tuomaan selkeyttä ja hallintaa agenttiaikakauteen.

Agenttitekoälyn ennustamaton luonne ja kaskadoituvat riskit

Agenttitekoälyn ydintuntomerkki on sen ei-deterministinen käyttäytyminen. Toisin kuin perinteiset ohjelmistot, samaan kysymykseen vastaaminen kahdesti voi tuottaa erilaisia vastauksia, sillä agentit valitsevat työkalut ja lähestymistavat itsenäisesti sen sijaan, että ne noudattaisivat jäykkiä työnkulkuja. Tämä joustavuus tarkoittaa, että laatu vaihtelee asteikolla täydellisestä väärennettyyn, eikä se ole yksinkertainen läpäisy/hylkäys. Näin ollen ennustettavat riippuvuudet ja prosessit ovat antaneet tietä itsenäisille järjestelmille, jotka mukautuvat, päättelevät ja toimivat itsenäisesti.

Perinteinen IT-hallinto, joka on rakennettu staattisia käyttöönottoja varten, ei voi tehokkaasti hallita näitä monimutkaisia monijärjestelmäinteraktioita. Tämä luo merkittäviä sokeita pisteitä. Esimerkiksi Open Worldwide Application Security Project (OWASP) tunnistaa "työkalujen väärinkäytön ja hyödyntämisen" yhdeksi agenttisovellusten suurimmista riskeistä. Kuvittele tilanne, jossa yrityksen tekoälyassistentti, jolla on laillisesti määritetyt oikeudet sähköpostiin, kalenteriin ja CRM:ään, vaarantuu. Haittaohjelmien tekijä upottaa piilotettuja ohjeita sähköpostiin. Kun käyttäjä pyytää viatonta yhteenvedon, vaarantunut agentti, toimiessaan myönnettyjen oikeuksiensa puitteissa, etsii arkaluonteisia tietoja ja vuotaa ne kalenterikutsujen kautta, samalla antaen hyväntahtoisen vastauksen, joka peittää tietoturvaloukkauksen. Standardit tietovuotojen estämisen työkalut ja verkonvalvonta epäonnistuvat tässä, koska toimet, vaikka ne ovatkin haitallisia, tapahtuvat valtuutettujen parametrien sisällä, eivätkä ne välttämättä laukaise tiedonsiirtoa tai verkon poikkeamia tavoilla, jotka perinteiset järjestelmät havaitsisivat. Tämä korostaa, miten agenttijärjestelmien turvallisuuspuutteet voivat kaskadoitua useisiin toiminnallisiin ulottuvuuksiin samanaikaisesti, tehden perinteisestä, siiloutuneesta hallinnosta tehottoman. Tällaiset skenaariot korostavat strategioiden, kuten agenttien suunnittelu prompti-injektiota vastaan, tärkeyttä alusta alkaen.

Esittelyssä tekoälyn riskiäly (AIRI): Paradigman muutos hallinnossa

AWS kehitti AI Risk Intelligence (AIRI) -ratkaisun kuroakseen umpeen staattisten kontrollien ja dynaamisten agenttikäyttäytymisten välisen kuilun. AIRI määrittelee uudelleen turvallisuuden, toiminnan ja hallinnon toisiinsa liittyvänä "AI Risk Intelligence" -kehyksenä. Se on yritystason automatisoitu hallintaratkaisu, joka automatisoi turvallisuus-, toiminta- ja hallintakontrollien arvioinnin, yhdistäen ne yhdeksi, toimivaksi näkökulmaksi koko agentin elinkaaren ajan. AIRI:n suunnittelu hyödyntää AWS Responsible AI Best Practices Frameworkia, joka opastaa asiakkaita integroimaan vastuullisen tekoälyn näkökohdat koko tekoälyn elinkaaren ajan, mahdollistaen tietoon perustuvia suunnittelupäätöksiä ja nopeuttamalla luotettavien tekoälyjärjestelmien käyttöönottoa. Tämä ratkaisu muuttaa hallinnon perusteellisesti reaktiivisesta, manuaalisesta prosessista ennakoivaksi, automatisoiduksi ja jatkuvaksi.

AIRI:sta tekee erityisen tehokkaan sen kehysagnostinen luonne. Se ei koodaa sääntöjä tiettyjä uhkia varten, vaan kalibroi itsensä monien hallintostandardien, kuten NIST AI Risk Management Frameworkin, ISO-standardien ja OWASP-ohjeiden, mukaisesti. Tämä tarkoittaa, että sama moottori, joka arvioi OWASP-turvallisuuskontrolleja, voi arvioida myös organisaation sisäisiä avoimuuspolitiikkoja tai toimialakohtaisia vaatimustenmukaisuusvaatimuksia. Tämä mukautuvuus varmistaa, että AIRI pysyy relevanttina erilaisissa agenttiarkkitehtuureissa, toimialoilla ja muuttuvissa riskiprofiileissa, perustellen todisteiden perusteella jatkuvan, skaalautuvan auditoijan tavoin. Se muuntaa abstraktit kehysvaatimukset konkreettisiksi, toimiviksi arvioinneiksi, jotka upotetaan koko agentin elinkaaren ajan, suunnittelusta jälkituotantoon.

AIRI käytännössä: Automatisoidun hallinnon operationalisointi

Palataan tekoälyassistenttiesimerkkiimme havainnollistamaan, miten AIRI operationalisoi automatisoidun hallinnon. Kuvittele, että kehitystiimi on luonut Proof of Concept (POC) -version tästä tekoälyassistentista. Ennen tuotantoon käyttöönottoa he käyttävät AIRI:a. Perusarvioinnin tekemiseksi käytetään AIRI:n automatisoitua teknisen dokumentaation tarkistusominaisuutta. Tämä prosessi kerää automaattisesti todisteita kontrollien toteutuksesta arvioiden paitsi turvallisuutta myös kriittisiä operatiivisia laadunvalvontatoimia, kuten läpinäkyvyyttä, hallittavuutta, selitettävyyttä, turvallisuutta ja kestävyyttä. Analyysi kattaa käyttötapauksen suunnittelun, sen taustalla olevan infrastruktuurin ja asiaankuuluvat organisaation politiikat varmistaakseen yhteensopivuuden yrityksen hallinnon ja vaatimustenmukaisuusvaatimusten kanssa.

Tässä on esimerkki kontrollityypeistä, joita AIRI saattaa arvioida tässä vaiheessa:

Kontrollikategoria	Kuvaus	AIRI:n arvioinnin painopiste
Turvallisuus	Tiedon salaus, pääsynhallinta, haavoittuvuuksien hallinta	Tietojen käsittelyn, työkalupääsyn ja mahdollisten hyödyntämisvektoreiden varmistaminen.
Toiminnot	Valvonta, lokitus, poikkeamien hallinta	Järjestelmän havaittavuuden ja reagointikyvyn arviointi.
Läpinäkyvyys	Mallin alkuperä, tietolähteet, päätöksentekoprosessi	Tekoälyn sisäisen toiminnan ja tiedon alkuperän selkeys.
Hallittavuus	Ihmisen valvontamekanismit, interventiokohdat, hätäpysäytys	Ihmisen osallistumisen ja vikaturvallisten protokollien tehokkuus.
Selitettävyys	Agentin toimien perustelut, tulosten tulkittavuus	Kyky ymmärtää, miksi agentti teki tietyn toimen.
Turvallisuus	Harhan havaitseminen, eettiset ohjeet, oikeudenmukaisuusmittarit	Vastuullisen tekoälyn periaatteiden noudattaminen ja haitallisten tuotosten lieventäminen.
Vankkuus	Vastustushyökkäysten kestävyys, virheenkäsittely, luotettavuus	Järjestelmän kyky säilyttää suorituskyky stressin alla ja manipulointia vastaan.
Vaatimustenmukaisuus	Säädösten noudattaminen, toimialastandardit, organisaation käytännöt	Yhteensopivuus lakisääteisten vaatimusten ja sisäisten hallintakehysten kanssa.

Kunkin kontrollin ulottuvuuden osalta AIRI suorittaa päättelykierron. Ensin se poimii erityiset arviointikriteerit sovellettavasta hallintakehyksestä. Seuraavaksi se hakee todisteita suoraan järjestelmän artefakteista – mukaan lukien arkkitehtuuridokumentit, agenttien konfiguraatiot ja organisaation käytännöt. Lopuksi se päättelee kehyksen vaatimusten ja järjestelmän osoittamien todisteiden välisen yhteneväisyyden perusteella ja määrittää kontrollin toteutuksen tehokkuuden. Tämä päättelyyn perustuva lähestymistapa antaa AIRI:lle mahdollisuuden mukautua uusiin agenttisuunnitelmiin, kehittyviin kehyksiin ja nouseviin riskikategorioihin ilman, että sen ydinlogiikkaa tarvitsee uudelleensuunnitella.

Näiden arvioiden luotettavuuden parantamiseksi AIRI hyödyntää tekniikkaa nimeltä semanttinen entropia. Se toistaa jokaisen arvioinnin useita kertoja ja mittaa johtopäätöstensä johdonmukaisuutta. Jos tulokset vaihtelevat merkittävästi eri ajojen välillä, se kertoo, että todisteet saattavat olla epäselviä tai riittämättömiä. Tällaisissa tapauksissa AIRI laukaisee älykkäästi ihmisen suorittaman tarkistuksen, estäen mahdollisesti epäluotettavat automaattiset päätökset ja varmistaen vankan hallintoprosessin. Tämä innovatiivinen lähestymistapa kuromaa tehokkaasti umpeen abstraktien kehysvaatimusten ja konkreettisen agenttikäyttäytymisen välisen kuilun muuttaen hallinnollisen tarkoituksen jäsennellyksi, toistettavaksi ja skaalautuvaksi arvioinniksi monimutkaisissa agenttijärjestelmissä.

Johtopäätös: Agenttitekoälyn tulevaisuuden turvaaminen

Agenttitekoälyn nousu merkitsee perustavanlaatuista muutosta siinä, miten organisaatioiden on lähestyttävä tekoälyn käyttöönottoa ja hallintaa. Ennustettavien, staattisten järjestelmien aikakausi on ohi, ja sen ovat korvanneet dynaamiset, ei-deterministiset agentit, jotka edellyttävät uudenlaista hienostuneisuutta riskienhallinnassa. Perinteiset hallintomallit ovat yksinkertaisesti riittämättömiä pysymään näiden tekoälykehitysten nopeudessa ja monimutkaisuudessa. AWS:n AI Risk Intelligence (AIRI) tarjoaa kriittisen ratkaisun tarjoten automatisoidun, kattavan ja mukautuvan kehyksen agenttijärjestelmien turvaamiseen ja hallintaan. Integroimalla turvallisuuden, toiminnan ja hallinnon yhdeksi, jatkuvaksi näkymäksi AIRI antaa organisaatioille mahdollisuuden tavoitella tekoälypyrkimyksiään luottavaisin mielin samalla kun ne noudattavat vastuullisen tekoälyn periaatteita ja varmistavat vaatimustenmukaisuuden. Kun organisaatiot jatkavat agenttitekoälyn operationalisointia, AIRI:n kaltaiset ratkaisut ovat välttämättömiä mahdollisten riskien muuttamisessa innovaatio- ja kasvumahdollisuuksiksi.