Skip to content

Verktøy for utvikling av kode med KI assistanse

Bruksområde

Denne sandkassen er for utviklere som ønsker å eksperimentere med kodeassistenter og andre utviklingsverktøy som benytter KI. Sandkassen gir mulighet for utforskning av nye KI utviklingsverktøy innenfor definerte rammer.

Se fullstendig liste over allerede godkjente KI verktøy

Risiko og sårbarhetsanalyse (ROS)

Vi har vurdert to hovedrisikoer knyttet til bruk av KI verktøy i denne sandkassen:

  1. Data på avveie: Risikoen for at sensitiv informasjon eller bedriftsdata kan komme på avveie gjennom bruk av KI verktøy.
  2. KI agenten utfører uønskede handlinger: Risikoen for at KI verktøyet kan utføre handlinger som kan skade systemer, data eller infrastruktur.

Vi har tatt utgangspunkt i at verktøyet ikke har tilgang til andre datakilder enn de som er listet opp under. Vi har lagt til grunn at avtaleverket ikke tillater leverandør å bruke data til annet enn kun å levere tjenesten (ingen trening, lagring eller deling).

Det er gjort en vurdering av at verktøyet kan forårsake tap av data på utvikler-pc, tap av data i Github eller tap av data i AWS. For å unngå dette må bruker av verktøyet implementere tilstrekkelig tiltak til at vi kan ha tillit til at verktøyet ikke forårsaker skade. Det er opp til deg som bruker verktøyet å forsikre deg om at nødvendige sikkerhetstiltak er på plass. Ved utprøving av et nytt verktøy anbefales det å starte smått og bygge tillitt til verktøyet over tid.

Vi har valgt å ikke stille konkrete krav til at verktøyet skal ha begrensede tilganger innenfor de rammene som er gitt i forhold til datakilder og valg av verktøy. Dette er fordi verdien av verktøyet blir mindre dersom det ikke har tilstrekkelig tilganger og vi velger derfor å la det være opp til bruker av verktøyet å vurdere hva som er et fornuftig tilgangsnivå. Vi anbefaler at dersom man skal bruke fullstendig autonome moduser så bør dette gjøres i en kontrollert kontekst.

Personvernsvurdering

I utgangspunktet, er det kun utviklernes brukernavn og epost-adresse som skal behandles av personopplysninger når verktøyet anskaffes. Selve KI-verktøyet skal ikke brukes på personopplysninger. Det er vurdert at det ikke er behov for ytterligere tiltak.

Forutsetninger for bruk

Datakilder

Følgende datakilder som inneholder bedriftsdata er tillat å bruke i denne sandkassen:

  1. Datadog - logging og overvåkingsdata
  2. GitHub - kildekode og metadata
  3. AWS - infrastrukturdata

Obs

GitHub kan inneholde vanlige persondata (brukernavn og epostaddresse). Det er ønskelig at man minimer bruken av vanlige persondata.

I tillegg vil verktøyet kunne bruke offentlig tilgjenglig informasjon fra Internett. Vær forsiktig med kilder du ikke stoler på da dette kan føre til at verktøyet utfører uønskede handlinger.

Krav til leverandør

For at verktøyet skal kunne brukes i denne sandkassen må følgende krav til leverandør være oppfylt:

  1. Leverandøren må være fra et land som Norge har et godt forhold til og som deler norske verdier. Vi anbefaler leverandører fra EU/EØS, UK, USA, Canada, Australia og New Zealand osv. (Se fullstendig liste i verktøy mal)
  2. Leverandøren må gi tydelig garanti for at data ikke deles, lagres eller brukes til å trene modeller. Dette må dokumenteres før verktøyet tas i bruk.

Krav til verktøyet

  1. Handlinger som kan forårsake betydelig ødeleggelse må ha menneskelig godkjenning (f.eks. sletting av data, endring av infrastruktur osv).
  2. Verktøyet bør ha funksjonalitet for å begrense hvilke handlinger som kan utføres (konfigurasjon av tillate handlinger).
  3. Verktøyet skal konfigureres til å ikke behandle hemmeligheter som tokens etc.

Brukeransvar

  1. Brukeren må ha tilstrekkelig kunnskap om verktøyet og dets begrensninger.
  2. Brukeren av verktøyet står ansvarlig for det verktøyet gjør og den koden det genererer.

Dersom du ikke har tilstrekkelig tillit til verktøyet bør du vurdere om det er tiltak du kan gjøre som gjør at risikoen blir mindre. Eksempler på dette kan være å kjøre verktøyet i en container eller med mindre tilganger.

Bruke egne verktøy

Du står fritt til å benytte andre verktøy enn de som allerede er godkjent i denne sandkassen, men du må forsikre deg om og kunne dokumentere at de verktøyene du tar i bruk tilfredstiller kravene som er satt. Dette gjør du ved å lage en ny side under Portefølje som dokumenterer at verktøyet tilfredstiller kravene over. Vi tar i mot PRer med glede!