論文の概要: Internal Vulnerabilities, External Threats: A Grounded Framework for Enterprise Open Source Risk Governance
- arxiv url: http://arxiv.org/abs/2510.25882v2
- Date: Fri, 31 Oct 2025 01:43:14 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-11-03 13:41:53.43977
- Title: Internal Vulnerabilities, External Threats: A Grounded Framework for Enterprise Open Source Risk Governance
- Title(参考訳): 社内の脆弱性と外部の脅威 - エンタープライズオープンソースリスクガバナンスのための基盤となるフレームワーク
- Authors: Wenhao Yang, Minghui Zhou, Daniel Izquierdo Cortázar, Yehui Wang,
- Abstract要約: 従来のリスク管理は、技術的なツールに焦点を絞ったものだった。
目的 ->脅威 ->脆弱性 ->緩和 (OTVM)
これは単なる技術的チェックリストを超越する全体論的決定モデルを提供する。
- 参考スコア(独自算出の注目度): 11.431576667955268
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Enterprise engagement with open source has evolved from tactical adoption to strategic deep integration, exposing them to a complex risk landscape far beyond mere code. However, traditional risk management, narrowly focused on technical tools, is structurally inadequate for systemic threats like upstream "silent fixes", community conflicts, or sudden license changes, creating a dangerous governance blind spot. To address this governance vacuum and enable the necessary shift from tactical risk management to holistic risk governance, we conducted a grounded theory study with 15 practitioners to develop a holistic risk governance framework. Our study formalizes an analytical framework built on a foundational risk principle: an uncontrollable External Threat (e.g., a sudden license change in a key dependency) only becomes a critical risk when it exploits a controllable Internal Vulnerability (e.g., an undefined risk appetite for single-vendor projects), which then amplifies the impact. The framework operationalizes this principle through a clear logical chain: "Objectives -> Threats -> Vulnerabilities -> Mitigation" (OTVM). This provides a holistic decision model that transcends mere technical checklists. Based on this logic, our contributions are: (1) a "Strategic Objectives Matrix" to clarify goals; (2) a systematic dual taxonomy of External Threats (Ex-Tech, Ex-Comm, Ex-Eco) and Internal Vulnerabilities (In-Strat, In-Ops, In-Tech); and (3) an actionable mitigation framework mapping capability-building to these vulnerabilities. The framework's analytical utility was validated by three industry experts through retrospective case studies on real-world incidents. This work provides a novel diagnostic lens and a systematic path for enterprises to shift from reactive "firefighting" to proactively building an organizational "immune system".
- Abstract(参考訳): オープンソースとのエンゲージメントは、戦術的な採用から戦略的な深い統合へと進化し、単なるコードを超えた複雑なリスク環境に公開しています。
しかし、技術的なツールに焦点を絞った従来のリスク管理は、上流の“サイレントフィックス”やコミュニティの対立、あるいは突然のライセンス変更といったシステム上の脅威に対して構造的に不適切であり、危険なガバナンスの盲点を生み出します。
このガバナンスの掃除に対処し、戦術的リスク管理から全体論的リスクガバナンスへ必要な移行を可能にするため、我々は15人の実践者とともに総合的リスクガバナンスフレームワークを開発するための基礎研究を行った。
制御不能な外部脅威(例えば、キー依存における突然のライセンス変更)は、制御不能な内部脆弱性(例えば、単一ベンダプロジェクトに対する未定義のリスク欲求)を利用する場合にのみ重大なリスクとなり、影響を増幅する。
このフレームワークは、明確な論理的連鎖を通じて、この原則を運用する: "Objectives -> Threats -> Vulnerabilities -> Mitigation" (OTVM)。
これは単なる技術的チェックリストを超越する総合的な決定モデルを提供する。
2)外部脅威(Ex-Tech, Ex-Comm, Ex-Eco)と内部脆弱性(In-Strat, In-Ops, In-Tech)の系統的な二重分類,(3)これらの脆弱性にマッピングする実行可能な緩和フレームワーク。
このフレームワークの分析ユーティリティは、現実世界のインシデントに関するケーススタディを通じて、3つの業界の専門家によって検証された。
この研究は、新たな診断レンズと、企業がリアクティブな"ファイアファイアファイアウォール"から、積極的に組織的な"免疫システム"を構築するための体系的なパスを提供する。
関連論文リスト
- Frontier AI Risk Management Framework in Practice: A Risk Analysis Technical Report v1.5 [61.787178868669265]
この技術レポートは、サイバー犯罪、説得と操作、戦略上の詐欺、制御されていないAIR&D、自己複製の5つの重要な側面について、更新されきめ細かな評価を提示する。
この作業は、現在のAIフロンティアのリスクに対する理解を反映し、これらの課題を軽減するための集団行動を促します。
論文 参考訳(メタデータ) (2026-02-16T04:30:06Z) - Responsible AI: The Good, The Bad, The AI [1.932555230783329]
本稿では,戦略的情報システムのレンズを通して,AIの二重性に関する包括的考察を行う。
我々は,(1)AI導入の戦略的利益,(2)固有のリスクと意図しない結果,(3)組織がこれらの緊張をナビゲートできるガバナンスメカニズムを具体化する,パラドックスベースの責任AIガバナンス(PRAIG)フレームワークを開発する。
この論文は、責任あるAIガバナンスの奨学金を進めるための研究課題で締めくくっている。
論文 参考訳(メタデータ) (2026-01-28T22:33:27Z) - With Great Capabilities Come Great Responsibilities: Introducing the Agentic Risk & Capability Framework for Governing Agentic AI Systems [11.09031447875337]
Agentic Risk & Capability (ARC) Frameworkは、エージェントAIシステムから生じるリスクを特定し、評価し、軽減するための技術ガバナンスフレームワークである。
フレームワークのコアコントリビューションは以下のとおりである。
幅広いエージェントAIシステムを分析するために、新しい能力中心の視点を開発する。
エージェントAIシステム(コンポーネント、設計、能力)に固有の3つの主要なリスクソースを抽出する。
各リスクソース、特定の物質化されたリスク、およびそれに対応する技術的コントロールの間に明確なネクサスを確立する。
論文 参考訳(メタデータ) (2025-12-22T03:51:34Z) - The Role of Risk Modeling in Advanced AI Risk Management [33.357295564462284]
急速に進歩する人工知能(AI)システムは、新しい、不確実で、潜在的に破滅的なリスクをもたらす。
これらのリスクを管理するには、厳格なリスクモデリングの基盤となる成熟したリスク管理インフラストラクチャが必要です。
先進的なAIガバナンスは、同様の二重アプローチを採用するべきであり、検証可能な、確実に安全なAIアーキテクチャが緊急に必要である、と私たちは主張する。
論文 参考訳(メタデータ) (2025-12-09T15:37:33Z) - AI Deception: Risks, Dynamics, and Controls [153.71048309527225]
このプロジェクトは、AI偽装分野の包括的で最新の概要を提供する。
我々は、動物の偽装の研究からシグナル伝達理論に基づく、AI偽装の正式な定義を同定する。
我々は,AI偽装研究の展望を,偽装発生と偽装処理の2つの主要な構成要素からなる偽装サイクルとして整理する。
論文 参考訳(メタデータ) (2025-11-27T16:56:04Z) - RADAR: A Risk-Aware Dynamic Multi-Agent Framework for LLM Safety Evaluation via Role-Specialized Collaboration [81.38705556267917]
大規模言語モデル(LLM)の既存の安全性評価手法は、固有の制約に悩まされている。
リスク概念空間を再構築する理論的枠組みを導入する。
マルチエージェント協調評価フレームワークRADARを提案する。
論文 参考訳(メタデータ) (2025-09-28T09:35:32Z) - Never Compromise to Vulnerabilities: A Comprehensive Survey on AI Governance [211.5823259429128]
本研究は,本質的セキュリティ,デリバティブ・セキュリティ,社会倫理の3つの柱を中心に構築された,技術的・社会的次元を統合した包括的枠組みを提案する。
我々は,(1)防衛が進化する脅威に対して失敗する一般化ギャップ,(2)現実世界のリスクを無視する不適切な評価プロトコル,(3)矛盾する監視につながる断片的な規制,の3つの課題を特定する。
私たちのフレームワークは、研究者、エンジニア、政策立案者に対して、堅牢でセキュアなだけでなく、倫理的に整合性があり、公的な信頼に値するAIシステムを開発するための実用的なガイダンスを提供します。
論文 参考訳(メタデータ) (2025-08-12T09:42:56Z) - To Think or Not to Think: Exploring the Unthinking Vulnerability in Large Reasoning Models [56.19026073319406]
大規模推論モデル (LRM) は、最終的な答えを生成する前に明確な推論トレースを生成することで複雑なタスクを解決するように設計されている。
LRM(Unthinking)と呼ばれる重要な脆弱性を明らかにし、特別なトークンを操作することで思考プロセスを回避できます。
本稿では,この脆弱性を悪意と有益の両方の観点から検討する。
論文 参考訳(メタデータ) (2025-02-16T10:45:56Z) - A Frontier AI Risk Management Framework: Bridging the Gap Between Current AI Practices and Established Risk Management [0.0]
最近の強力なAIシステムの開発は、堅牢なリスク管理フレームワークの必要性を強調している。
本稿では,フロンティアAI開発のための包括的リスク管理フレームワークを提案する。
論文 参考訳(メタデータ) (2025-02-10T16:47:00Z) - Attack Atlas: A Practitioner's Perspective on Challenges and Pitfalls in Red Teaming GenAI [52.138044013005]
生成AI、特に大規模言語モデル(LLM)は、製品アプリケーションにますます統合される。
新たな攻撃面と脆弱性が出現し、自然言語やマルチモーダルシステムにおける敵の脅威に焦点を当てる。
レッドチーム(英語版)はこれらのシステムの弱点を積極的に識別する上で重要となり、ブルーチーム(英語版)はそのような敵の攻撃から保護する。
この研究は、生成AIシステムの保護のための学術的な洞察と実践的なセキュリティ対策のギャップを埋めることを目的としている。
論文 参考訳(メタデータ) (2024-09-23T10:18:10Z) - Risks of AI Scientists: Prioritizing Safeguarding Over Autonomy [65.77763092833348]
この視点は、AI科学者の脆弱性を調べ、その誤用に関連する潜在的なリスクに光を当てる。
我々は、ユーザ意図、特定の科学的領域、およびそれらが外部環境に与える影響を考慮に入れている。
本稿では,人間規制,エージェントアライメント,環境フィードバックの理解を含む三段階的枠組みを提案する。
論文 参考訳(メタデータ) (2024-02-06T18:54:07Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。