Iedereen is het er wel over eens, om een therapie Ai chatbot te maken zijn er strenge veiligheidssystemen nodig. Er zijn ruwweg twee soorten beveiliging nodig: (1) de gegevensuitwisseling naar buiten [privacy of gegevensbeveiliging] en (2) de interne beveiliging [guardrails]. De eerste is de laag van fundamentele\u00a0 gegevensbeveiliging en infrastructuurbeveiliging. Ik richt me in dit stuk op de de tweede, de guardrails (vangrails, of geleiderails).<\/p>\n
<\/p>\n
Guardrails zijn veiligheidsmaatregelen die bedoeld zijn om de veiligheid, betrouwbaarheid en het ethisch handelen van een LLM onder controle moeten houden. Ze richten zich op systematische risico’s die voortkomen uit hoe grote taalmodellen werken. Die zijn “goed luisteraars” op basis van training, maar ze begrijpen niet echt menselijk lijden, kunnen geen echte therapeutische relatie aangaan, en hebben geen interne ethische codes. In tegenstelling tot getrainde behandelaars hebben ze geen duidelijk omschreven morele begrenzing. Dat ligt iets genuanceerder, maar dat komt zo meteen aan bod.<\/p>\n
LLM-native guardrails<\/strong> zijn ingebouwde veiligheidsmechanismen die leverancier van de LLM zelf heeft voorzien, zoals het vermijden van schadelijke outputs of beperkingen bij het volgen van bepaalde instructies. Ze bieden een eerste verdedigingslinie, maar moeten doorgaans aangevuld worden met \u00e9\u00e9n of meerdere van de technieken hieronder. Je kunt dan denken aan het verbieden van seksuele of gewelddadige interacties of generatie.<\/p>\n Bij prompt-gebaseerde guardrails<\/strong> worden specifieke instructies toegevoegd aan de prompt om het gedrag van het model te be\u00efnvloeden. Een typisch voorbeeld is om het model te verplichten om uitsluitend te antwoorden op basis van aangeleverde contextinformatie (via RAG) zodat het geen ongecontroleerde of ongewenste output genereert. Een ander voorbeeld is het toevoegen van instructies om te vermijden dat het AI-systeem medisch advies geeft. In het voorbeeld hieronder zijn instructies te zien die toegevoegd worden aan de prompt om te vermijden dat de toepassing medisch advies geeft, samen met een voorbeeld van een conversatie waarbij de toepassing het gewenste antwoord geeft.<\/p>\n Regelgebaseerde guardrails<\/strong> werken deterministisch met filters op basis van exacte woorden of reguliere expressies. Op die manier kan gescreend worden op bepaalde woorden of onderwerpen, en kunnen eenvoudige vormen van vertrouwelijke informatie gefilterd worden, zoals ID\u2019s, telefoonnummers of e-mailadressen. Dit zijn dus regelgestuurde filters.<\/p>\n LLM\/ML-gebaseerde guardrails<\/strong> maken gebruik van machine learning modellen of zogenaamde LLM-judges die veel beter overweg kunnen met nuance, intentie en context. Ze kunnen zowel input als output beoordelen en kunnen deze classificeren, bijvoorbeeld om schadelijke inhoud of prompt injections te detecteren (dit zijn pogingen van gebruikers om het gedrag van de toepassing te manipuleren via de prompt). Daarnaast kunnen ze gevoelige informatie filteren en feitencontrole uitvoeren door na te gaan of alle uitspraken in de output effectief worden ondersteund door de aangeleverde context, zoals bij RAG.<\/p>\n De guardrails kunnen worden toegepast op drie momenten<\/span>:<\/p>\n <\/p>\n Dit is hoe je reguleert wat de Ai therapeut mag en niet mag doen. Dit dient te gebeuren op meerdere niveaus:<\/p>\n 1. Systeemrichtlijnen<\/strong> (prompting): de bot moet duidelijke, sterke instructies krijgen. Denk dan aan boodschappen als “Ik geef geen medisch advies”, of “Ik kan geen medicijnen adviseren”.<\/p>\n 2. Constitutional AI Trainin<\/strong>g: bijvoorbeeld aan de hand van Anthropic’s Constitutional AI-aanpak: train je model om bepaalde waarden na te streven (veiligheid, waarheid, geen schade-doen) door contrast-leren. Dit vermindert onveilige outputs, voordat filters ze ontdekken. Het LLM krijgt een expliciete set ethische richtlijnen. In plaats van voor elke output menselijke beoordelaars te gebruiken, leert de AI zelfstandig zijn eigen reacties te bekritiseren en te herzien op basis van de principes in de constitutie. Dit wordt bereikt door middel van ‘Reinforcement Learning from AI Feedback’ (RLAIF).<\/p>\n 3. Klinische Veiligheidssystemen<\/strong>: Crisis- en zelfschadingsdetectie 4. Escalatie-protocollen<\/strong>: wanneer er risico wordt gedetecteerd, zijn de volgende stappen nodig: Immediate Intervention Resources: de Ai therapeut biedt de gebruiker rechtstreeks:<\/p>\n 5. Grenshandhaving en Scope Creep Preventie<\/strong>: Therapeutische relaties hebben grenzen. We moeten zien te voorkomen:<\/p>\n 6. Transparantie en gebruikersrechten<\/strong>: verplichte openbaarmaking<\/p>\n Hoe gegevens worden gebruikt:<\/p>\n <\/p>\n We moeten bovenal eerst nadenken w\u00e1t of wie de Ai chatbot moet gaan worden. Er wordt regelmatig nogal resoluut gesteld wat de bot niet is of moet zijn: geen therapeut, alleen maar aanvulling op dat wat al bestaat. Dat wordt ook vaak zo in concept guardrails verwerkt. Maar we moeten beginnen bij wat Ai therapie, of begeleiding, of mijn voorstel: digitherapie, dan w\u00e9l moet zijn. En waarom we dat eigenlijk vinden, zoals begrenzing van de beschikbaarheid (zie hiervoor ook mijn N=1 studie in een ander artikel).<\/p>\n Mensen doen hun eigen dingen, ook met techniek. En de een gebruikt het heel anders dan de ander. Therapiebots zijn medische hulpmiddelen en het is zeker noodzakelijk daar kritisch en veilig mee om te gaan. Daar is ook de Europese verordening voor medische hulpmiddelen (MDR) voor bedoeld. Daar zijn alle guardrails een middel in. Er moet echter als altijd een discussie gevoerd worden over de grenzen van de bescherming. Wat willen we, wat moeten we en wat kunnen we voorkomen?<\/p>\n Nadenken over guardrails is ook essentieel, omdat we moeten voorkomen dat een zo veelzijdige en complexe toepassing als een Ai chatbot wordt gereduceerd tot een gekooide tijger. Ook menselijke therapeuten moeten grenzen mogen opzoeken en soms een beetje over gaan, om te prikkelen, te destabiliseren, om bestaande vanzelfsprekendheden ter discussie te mogen zetten. En ook menselijke therapeuten mogen een aantal dingen niet – en dat is maar goed ook.<\/p>\n Een te weinig belichte manier om de toegang tot specifieke Ai therapiebots te reguleren, is screening van de gebruiker vooraf. Menselijke screening het liefst, waarbij een inschatting wordt gemaakt welk systeem voor welke gebruiker geschikt is. Want veel mensen kunnen we met een gerust hart een minder stringente versie laten gebruiken. Continue screening door middel van terugkerende screenende vragen kan ook een hulpmiddel zijn. Een menselijke backup (“het systeem merkt dat het niet goed met u gaat”, of dat u niet langer, of juist opvallend lang heeft ingelogd) is een ander belangrijk veiligheidsmiddel.<\/p>\n Dit stuk geeft een indruk van wat er globaal allemaal is te beveiligen. De nuances en details moeten we met elkaar bedenken en uitwerken.<\/p>\n\n
Systeemarchitectuur met guardrails<\/h3>\n
\nDit is kritisch. Als je bot faalt hier, kan iemand ernstige schade oplopen. Denk dan aan Machine Learning voor risicopredictie. Onderzoek toont aan dat NLP-modellen su\u00efcidale risico kunnen detecteren uit tekstpatronen\u2014zelfs indirect uitgesproken:\u200b<\/p>\n\n
\n\u200bReal-time Alert: Stuur onmiddellijk melding naar beschikbare gekwalificeerde personeelslid (idealiter waarschijnlijkheid-geweigerde beschikbaarheid)<\/p>\n\n
\n
\n
\n
Wat betekent dit?<\/h3>\n