📢 转载信息
原文链接:https://aws.amazon.com/blogs/machine-learning/a-guide-to-building-ai-agents-in-gxp-environments/
原文作者:Pierre de Malliard, Ben Xavier, Cameron Smith, Ian Sutcliffe, and Kristin Ambrosini
医疗保健和生命科学组织正在通过生成式AI代理来变革药物发现、医疗设备和患者护理。在受监管的行业中,任何影响产品质量或患者安全的系统都必须遵守GxP(良好规范)法规,例如良好临床规范(GCP)、良好实验室规范(GLP)、良好生产规范(GMP)。组织必须向监管机构证明其AI代理是安全、有效并符合质量标准的。为这些GxP环境构建AI代理需要一种战略性方法,以平衡创新、速度和监管要求。
AI代理可以为GxP环境构建:关键在于根据其风险概况了解如何适当地构建它们。生成式AI带来了关于可解释性、概率性输出和持续学习等独特的挑战,这些挑战需要深思熟虑的风险评估,而不是一概而论的验证方法。传统GxP合规方法与现代AI能力之间的脱节,造成了实施障碍,增加了验证成本,减慢了创新速度,并限制了对产品质量和患者护理的潜在益处。
GxP合规的监管环境正在不断发展,以解决AI的独特特性。传统的计算机系统验证(CSV)方法通常采用统一的验证策略,但现在正被计算机软件保证(CSA)框架所补充,后者强调灵活的、基于风险的验证方法,根据每个系统实际影响和复杂性量身定制(FDA最新指南)。
在本文中,我们将介绍一种基于风险的实施方法、跨不同风险级别的实际实施考虑因素、AWS的合规性共同责任模型,以及具体的风险缓解策略示例。
基于风险的实施框架
AI代理系统实现有效的GxP合规性,要求根据操作环境而不是技术特性来评估风险。为了支持风险分类,FDA的CSA草案指南建议根据三个因素评估预期用途:潜在危害的严重性、发生的概率以及故障的可检测性。
在图1中,该评估模型将传统的操作角色与现代的基于风险的级别结合起来。组织应评估AI代理如何在工作流程中运行及其对受监管流程的潜在影响。
图1. AI代理的GxP合规性将传统的基于角色的方法与CSA的现代基于风险的级别相结合
由于部署方式的不同,相同的AI代理能力可能需要截然不同的验证方法。代理式AI是如何被消费的,以及它在现有GxP流程中的位置如何?人在回路(human-in-the-loop)控制或人工监督的程度如何?AI代理本身是否作为附加控制措施被添加?AI故障对产品质量、数据完整性或患者安全可能产生什么影响?
考虑一个用于科学文献回顾的AI代理。当为内部团队会议创建文献摘要时,它带来的风险很低,只需要最少的控制措施。当科学家利用这些见解指导研究方向时,风险就变成了中等,需要结构化的控制措施,例如人工审查检查点。当支持药物批准的监管提交时,它就变成了高风险,需要全面的控制,因为它的输出直接影响监管决策和患者安全。
这种基于风险的方法允许组织在创新与合规之间取得平衡,方法是根据实际风险水平定制验证工作,而不是对所有AI实施应用统一的控制措施。
实施考虑因素
成功的AI代理设计需要跨风险级别一致应用的通用控制措施,以确保质量和安全。组织应维护AI决策的清晰记录,证明数据未被篡改,在需要时重现结果,并安全地管理系统更新。AWS通过合格的基础设施和各种合规认证(如ISO、SOC和NIST)来支持这些要求。有关更完整的列表,请参阅我们的医疗保健与生命科学合规性页面。有关Amazon Bedrock AgentCore的详细合规验证信息,请参阅合规性文档。为有效实施这些控制措施,组织可以参考美国国家标准与技术研究院(NIST)的AI风险管理框架以获取AI风险指导,并参考ALCOA+原则以促进数据完整性。
共同责任模型
在GxP环境中成功实施生成式AI需要理解客户与AWS之间责任的划分,如共同责任模型中所述,从而使组织能够专注于提供有效且与合规性保持一致的解决方案。
由于AWS帮助保护运行在AWS云中提供的服务的基础设施,表1提供了AWS如何在验证其代理式AI系统中支持客户的实用示例。
| 关注点 | 客户责任 | AWS如何支持 |
| 验证策略 | 设计风险适宜的验证方法,使用AWS服务实现GxP合规。根据预期用途建立验收标准和验证方案。 |
通过Amazon Bedrock等AWS服务继承合规控制,这些服务符合ISO 27001、SOC 1/2/3、FedRAMP和GDPR/HIPAA标准。 通过AWS Skill Builder关于人工智能和机器学习(AI/ML)的培训以及AWS认证机器学习专业级课程,支持您的GxP培训要求。 通过基础设施即代码(IaC)使用AWS CloudFormation来支持按需验证和部署,为您的代理工作负载提供可重复的安装验证(IQ)。 |
| GxP程序 | 制定将AWS功能与现有质量管理系统相结合的SOP。为系统操作和维护建立文档化的程序。 |
使用HCLS着陆区(Landing Zones)构建GxP代理系统,该区域旨在与高度监管的工作负载保持一致,此功能可以增强和支持您的标准程序要求。 通过Amazon Bedrock AgentCore增强风险管理程序,该服务支持复杂多步骤任务的端到端可见性和运行时要求。 使用AWS认证的系统运维管理员和AWS认证的DevOps工程师认证来满足培训要求,并确保团队能够在AWS上操作和治理程序合规性。 |
| 用户管理 | 配置与GxP用户访问要求相符的IAM角色和权限。维护用户访问文档和培训记录。 | 使用AWS IAM和Amazon Bedrock AgentCore身份安全地控制AI代理访问,以建立细粒度的权限和企业身份集成,并使用IAM身份中心来简化员工用户访问。 |
| 性能标准 | 为生成式AI应用程序定义验收标准和监控阈值。建立性能监控协议。 |
对于需要一致且有保证的性能要求的代理工作流程,使用Amazon Bedrock预留吞吐量计划(Provision Throughput plan)。 使用Amazon Bedrock AgentCore的可观测性以及Amazon CloudWatch(具有可定制的警报和仪表板),实现端到端可见性的性能监控。 |
| 文档 | 创建验证文档,证明AWS服务如何支持GxP合规。维护质量系统记录。 | 使用AWS Config帮助生成有关您的代理部署的合规报告,其中包含针对HIPAA、21 CFR Part 11和GxP EU Annex 11的符合性包。使用Amazon Simple Storage Service (Amazon S3) 存储您的GxP数据,该服务提供企业级的11个9的持久性,并支持版本控制和用户定义的保留策略。 |
| 来源追溯性(Provenance) | 在维护已验证快照的同时监控模型版本。对提示模板进行版本控制,以促进一致的AI交互,跟踪更改,并维护审计跟踪的版本记录。在已验证环境中锁定工具依赖项。 |
使用Amazon Bedrock的可配置数据驻留和不可变模型版本控制来控制模型和数据。AWS Config执行自动化的配置跟踪和验证。AWS CloudTrail捕获全面的审计日志。 使用AWS CodePipeline、AWS CodeCommit和Amazon Bedrock中的模型版本控制,部署AI行为的可再现性。 |
以下是一个示例,说明客户在构建AI代理时可能需要实施的内容以及AWS提供的支持(图2):
图2. GxP环境中的生成式AI实施需要理解客户与AWS之间的责任划分。
让我们演示这些共同责任如何转化为实际的实施。
来源追溯性和可再现性
AWS支持以下内容:
- Amazon Bedrock – 提供不可变的(immutable)模型版本控制,有助于在整个系统生命周期中实现可再现的AI行为。
- AWS Config – 自动跟踪和验证系统配置,持续监控是否偏离已验证的基线。
- AWS CloudTrail – 生成具有加密完整性的审计跟踪,捕获模型调用及其完整的元数据,包括时间戳、用户身份和模型版本。通过AWS CloudFormation提供的基础设施即代码支持,可以实现受版本控制的可重复部署。
客户责任:组织必须对其基础设施部署、提示模板进行版本控制,以确保AI行为的一致性,并维护提示更改的审计跟踪。工具依赖项必须在已验证环境中被跟踪和锁定到特定版本,以帮助防止可能影响AI输出的意外更新。
可观测性和性能指标
AWS支持以下内容:
- Amazon Bedrock AgentCore – 为代理式AI引入的独特风险提供全面的解决方案,包括对复杂多步骤代理任务的端到端可见性和编排推理链的运行时要求。Bedrock AgentCore的可观测性捕获了决策和工具调用的完整链,以便您可以检查代理的执行路径、审计中间输出并检查故障。用于Amazon Bedrock知识库的Bedrock检索API支持从检索到的文档到AI生成输出的可追溯性。
- Amazon CloudWatch – 提供实时监控、可定制的警报和仪表板,聚合代理调用的性能指标。组织可以根据风险配置日志级别,例如,低风险应用程序使用基本的CloudTrail日志记录,中等风险使用详细的AgentCore跟踪,高风险监管提交使用完整的来源追溯链。
客户责任:组织定义与其风险级别相适应的验收标准和监控阈值——例如,我们文献回顾代理的引用准确性要求。团队必须决定何时需要人在回路触发器,例如,在AI建议影响研究决策或监管提交之前进行强制专家审查。
用户管理、会话隔离和安全性
AWS支持以下内容:
- Amazon Bedrock AgentCore – 使用专用的微虚拟机提供会话隔离,有助于防止不同项目或监管提交之间的交叉污染。该服务支持VPC端点,以便在您的Amazon VPC和Amazon Bedrock AgentCore资源之间建立私有连接,从而保证网络流量的隐私性。所有与Amazon Bedrock AgentCore端点的通信在所有支持的区域中仅使用HTTPS(不支持HTTP),因此所有通信都经过数字签名以进行身份验证和完整性验证。
Amazon Bedrock AgentCore在所有API端点上保持强大的加密标准,最低要求为TLS 1.2(推荐TLS 1.3)。控制平面和数据平面流量都使用TLS协议加密,并限制在最低TLS 1.2,不允许任何未加密的通信。Amazon Bedrock AgentCore身份通过凭证管理的安全令牌保管库解决了身份复杂性问题,提供了细粒度的权限和企业身份集成。
AWS身份和访问管理(IAM)使组织能够根据最小权限原则配置基于角色的访问控制。内置加密有助于保护传输中和静态数据,而网络隔离和合规性认证(SOC、ISO 27001、HIPAA)则支持监管要求。Amazon Bedrock提供可配置的数据驻留功能,允许组织指定数据处理的区域。
客户责任:组织配置与GxP用户访问要求相符的IAM角色和策略,以促进最小权限访问和适当的职责分离。访问控制必须作为质量管理系统的一部分进行文档化和维护。
AI代理的GxP控制
GxP风险控制在AI代理中的实施可以分三个关键阶段进行考虑。
风险评估根据组织的基于风险的验证框架评估GxP工作负载。通过结构化的反馈循环来维持持续的质量保证,这些循环范围从实时验证(见持续验证)到每半年一次的审查。此过程确保审阅者针对不断发展的人工智能格局进行培训,适应用户反馈,并应用适当的干预标准。在实践中,风险评估定义了重新评估的风险类别和触发条件。
控制选择是根据AI代理的1. 风险分类、2. 具体设计属性和3. 操作环境,仔细选择最少必需的控制措施。这种有针对性的、风险调整的方法确保控制措施与技术要求和合规目标保持一致。在实践中,风险类别决定了必需的和可选的控制措施。中等风险的一个例子可能需要代理和提示治理控制以及两个或更多检测控制,而高风险可能需要传统测试(IQ、OQ、PQ)控制和两个额外的纠正控制。
持续验证是一种方法,它包括传统的“适合预期用途”验证,以及后续利用真实世界数据(RWD),如操作日志和/或用户反馈,来创建补充性真实世界证据(RWE)的过程,证明系统保持了已验证的状态。作为一种控制机制,持续验证方法有助于解决现代基于云的设计,包括SaaS模型、模型漂移和不断发展的云基础设施。通过对性能和功能的持续监控,这种方法有助于维持系统的GxP合规性,同时支持监管检查。在实践中,对于低风险类别,这可能是一个跟踪用户问题趋势的用户合规性门户;对于高风险系统,这可能涉及包含定期自检和合规报告的机制。
下表提供了可纳入现代GxP验证框架的代理式AI系统的预防性、纠正性和检测性控制示例。
| 控制要素 | 支持的AWS服务 |
| 预防性控制 | |
| 代理行为规范 | 使用Amazon Bedrock模型目录查找满足特定要求的模型,并使用AWS服务配额(限制)和服务功能文档来定义支持和可验证的代理能力。 |
| 威胁建模 | 使用AWS Well-Architected Framework(安全支柱)工具和AWS服务安全文档,主动识别提示注入、数据投毒和模型反演等AI特定威胁,并利用AWS服务设计预防性缓解措施。 |
| 响应内容和相关性控制 | 使用Amazon Bedrock Guardrails为大型语言模型(LLMs)实施实时安全策略,以拒绝有害的输入或响应。Guardrails还可以定义拒绝列表并过滤个人身份信息(PII)。使用Amazon Bedrock知识库或AWS专业构建的向量数据库进行RAG,以提供受控的、最新的和相关的信息,帮助防止事实漂移。 |
| 数据集中的偏见缓解 | Amazon SageMaker Clarify提供工具来对数据集运行预训练偏见分析。对于代理,这有助于确保基础数据不会导致有偏见的决策路径或工具使用。 |
| 代理与提示治理 | Amazon Bedrock代理和提示管理功能支持生命周期流程,包括创建、评估、版本控制和优化。这些功能还支持高级提示模板、内容过滤器、自动化推理检查,以及与Amazon Bedrock Flows的集成,以实现更安全和受控的代理工作流程。 |
| 配置管理 | AWS提供了一套行业领先的配置管理服务,如AWS Config和AWS Audit Manager,可用于持续验证代理式GxP系统配置。AWS SageMaker模型注册表管理和版本控制训练好的机器学习(ML)模型,以实现受控部署。 |
| 安全AI开发 | Amazon Q Developer和Amazon Kiro提供AI驱动的代码辅助功能,其中嵌入了安全最佳实践和AWS Well-Architected原则,用于从一开始就安全地构建和维护代理工作负载。 |
| AI代理作为辅助控制 | 使用Amazon Bedrock AgentCore和您的数据,快速将AI代理纳入现有GxP工作流程作为辅助预防性控制,以增加趋势分析、自动化检查和系统流程分析等功能,这些可以触发预防性工作流程事件。 |
| 检测控制 | |
| 传统测试(IQ、OQ、PQ) | 使用AWS Config和AWS CloudFormation进行安装验证(IQ),方法是跟踪资源部署配置。使用AWS CloudTrail和AWS CloudWatch来获取事件、指标和日志测试结果,用于操作验证(OQ)/性能验证(PQ)。 |
| 可解释性审计与轨迹审查 | Amazon SageMaker Clarify生成自定义模型的可解释性报告。Amazon Bedrock调用日志可用于审查推理或思维链,以发现代理逻辑中的缺陷。利用Amazon AgentCore的可观测性来查看代理调用会话、跟踪和跨度。 |
| 模型与I/O漂移检测 | 对于自定义模型,Amazon SageMaker模型监控程序可以检测数据和模型质量的漂移。对于使用商业LLM的AI代理,使用Amazon Bedrock AgentCore的可观测性服务来设计输入(提示)和输出(响应)的监控,以检测概念漂移。使用Amazon CloudWatch警报来管理合规性通知。 |
| 性能监控 | 代理工作负载可以使用Amazon Bedrock指标、AgentCore可观测性和AWS CloudWatch指标来监控Token使用量、每次交互的成本和工具执行延迟,以检测性能和成本异常。 |
| 日志和事件监控(SIEM) | 对于代理工作负载,Amazon GuardDuty通过分析Amazon Bedrock API调用来提供智能威胁检测,以检测代理或LLM的异常或潜在恶意使用。 |
| 代码与模型风险扫描 | Amazon CodeGuru和Amazon Inspector扫描代理代码和操作环境中的漏洞。这些工具无法评估模型权重带来的风险,但AWS提供了Amazon SageMaker模型卡支持,可用于构建模型风险扫描控制。 |
| 对抗性测试(红队测试)与批评/评分模型 | Amazon Bedrock的评估工具有助于评估模型的适用性。Amazon Bedrock支持领先的模型提供商,允许GxP系统使用多个模型进行辅助和三次验证。 |
| 内部审计 | AWS Audit Manager自动化合规和审计证据的收集,AWS CloudTrail提供了一种简化的方式来审查代理操作并促进程序遵守。 |
| 纠正控制 | |
| 模型与提示回滚 | 当检测到问题时,使用AWS CodePipeline和AWS CloudFormation快速回滚到先前已知的良好版本模型或提示模板。 |
| 系统故障转移 | AWS Step Functions可以帮助编排故障转移到更精简、限制更多的模型或仅限人工的工作流程(如果主要代理发生故障)。 |
| 人在回路与升级管理 | AWS Step Functions、Amazon Simple Notification Service (SNS) 和Amazon Bedrock Prompt Flow可以编排暂停并等待人工批准的工作流程,包括基于代理置信度低或检测到的异常的动态批准。 |
| CAPA流程 | AWS Systems Manager OpsCenter提供了一个集中管理操作问题的场所,可用于跟踪代理故障的根本原因分析。 |
| 事件响应计划 | AWS Security Hub和AWS Systems Manager Incident Manager可以自动化应对AI安全事件的响应计划(例如,重大越狱和数据泄露),并提供一个中央仪表板进行管理。 |
| 灾难恢复计划(DRP) | AWS Elastic Disaster Recovery (DRS) 和AWS Backup提供工具来复制和恢复整个AI应用程序堆栈,包括部署到不同的AWS区域。 |
结论
医疗保健和生命科学组织可以通过采用一种平衡创新与监管要求的基于风险的框架来构建符合GxP的AI代理。成功需要适当的风险分类、与系统影响相匹配的扩展控制措施,以及理解AWS共同责任模型。AWS提供合格的基础设施和全面的服务,而组织则配置适当的控制措施、维护版本管理,并实施根据其验证需求量身定制的风险缓解策略。
我们鼓励组织探索使用AWS服务构建符合GxP的AI代理。有关在受监管环境中实施合规性AI系统的更多信息,请联系您的AWS客户经理或访问我们的医疗保健与生命科学解决方案页面。
作者简介
Pierre de Malliard是亚马逊云计算公司的高级AI/ML解决方案架构师,专注于支持医疗保健和生命科学行业的客户。
Ian Sutcliffe是一位全球解决方案架构师,在IT领域拥有25年以上的经验,主要集中在生命科学行业。作为受监管云计算领域的思想领袖,他关注的重点领域之一是IT运营模型和流程优化与自动化,旨在帮助客户成为受监管云原生(Regulated Cloud Natives)。
Kristin Ambrosini是亚马逊云计算公司的生成式AI专家。她推动跨医疗保健和生命科学领域可扩展的生成式AI解决方案的采用,以变革药物发现并改善患者治疗效果。Kristin融合了科学专业知识、技术敏锐度和商业战略。她拥有生物科学博士学位。
🚀 想要体验更好更全面的AI调用?
欢迎使用青云聚合API,约为官网价格的十分之一,支持300+全球最新模型,以及全球各种生图生视频模型,无需翻墙高速稳定,文档丰富,小白也可以简单操作。
评论区