AAISM Series ตอนที่ 26 : D3 - เลือกโมเดล + ตั้งค่า + AI Change Management (ทำไม rollback ยากกว่าระบบเดิม)

Series: AAISM — AI Security Management สำหรับเจ้าของกิจการ (มุม Deployer/ผู้บริหาร)

ตอนที่ 26 / Domain 3 — AI Technologies & Controls (โดเมนใหญ่สุด — เทคนิคสุด)

(สารบัญเต็มจะตามมาครับ — ตอนนี้ขอเล่าไล่เป็นตอนๆ ไปก่อน)

ครับ มาถึงตอนที่ 3 ของ Domain 3 แล้ว.

ถ้าจำได้ Domain 2 ทั้งบท เราอยู่ในโหมด “มองและตัดสินใจ” คือมองว่าพนักงาน AI คนนี้เสี่ยงตรงไหน แล้วตัดสินใจว่าจะรับมือยังไง. พอเข้า Domain 3 เราเปลี่ยนโหมดเป็น “ลงมือคุมงานจริงในแต่ละวัน” เหมือนเราตกลงรับพนักงานเทพคนนี้เข้าทำงานแล้ว ทีนี้ก็ถึงเวลาบริหารเขาจริงๆ: จะตั้งกฎทำงานเขายังไง จะปรับนิสัยเขาตรงไหน จะเปลี่ยนตัวเขาเมื่อไหร่ และถ้าเขาทำพลาดหนักๆ จะแก้ยังไง.

สองตอนก่อนหน้าใน Domain 3 เราคุยเรื่อง “รู้จัก AI ที่ต้องคุม” (type ของ AI → control ที่เหมาะ) กับ “วางสถาปัตยกรรม AI ให้ปลอดภัย” (Secure-by-Design, DevSecOps สำหรับ AI). ตอนนี้เราลงลึกไปอีกขั้น — สู่ “ปุ่มจริงๆ ที่ผู้บริหารต้องรู้ว่ามันมีอยู่”:

Configuration Management — การคุม “ค่าตั้ง” ของ AI ทำไมมันต่างจากซอฟต์แวร์ปกติ
AI Model Selection — เราปรับ “นิสัย” โมเดลได้ยังไง (เช่น temperature) และการ “เปลี่ยนตัว” โมเดลมันอันตรายตรงไหน
Regulatory & Societal Impact — ทำไมกฎหมายและกระแสสังคมต้องเป็น “ปัจจัยถาวร” ในการตัดสินใจ
AI Change Management — 12 องค์ประกอบของแผนเปลี่ยนแปลง + ทำไม “emergency fix” และ “rollback” ของ AI มันยากกว่าระบบเดิมหลายเท่า

ผมขอบอกไว้ก่อนเลยครับ Domain 3 เป็นบทที่ “เทคนิคที่สุด” ในซีรีส์นี้. แต่ผมจะไม่พาคุณไปเป็น data scientist (ไม่สอนสร้างโมเดล) และไม่พาไปเป็น auditor (ไม่สอนตรวจ checklist). มุมที่ผมยึดตลอด Domain 3 คือ ผู้บริหารต้องเข้าใจ “พอ” เพื่อเลือก control ให้ถูก และจัดสรรทรัพยากรให้ถูก ไม่ใช่เข้าใจเพื่อลงไปทำเอง. แค่รู้ว่ามี “ปุ่ม temperature” อยู่ ก็พอที่จะถามทีมได้ว่า “ใครตั้งปุ่มนี้ ตั้งไว้เท่าไหร่ ใครคุมว่ามันจะไม่ถูกแอบเปลี่ยน” แค่นี้ก็เปลี่ยนเกมการคุมความเสี่ยงไปแล้ว

เริ่มที่เรื่องแรกครับ — Configuration Management

1. Configuration Management — “ค่าตั้ง” ของ AI ที่เปลี่ยนเงียบๆ แล้วผลลัพธ์เพี้ยน#

ลองนึกภาพพนักงานเทพคนนี้อีกครั้งครับ. สมมติคุณจ้างเชฟฝีมือดีคนหนึ่งเข้ามาทำอาหารในร้าน. คุณตกลงกับเขาไว้ว่า “สูตรต้มยำของร้านเราใส่พริก 5 เม็ด เปรี้ยว 3 ช้อน” — นี่คือ “ค่าตั้ง” (configuration) ของเขา. ตราบใดที่เขาทำตามค่านี้ ลูกค้าก็ได้รสชาติเดิมทุกจาน.

ปัญหาจะเกิดตอนที่ วันดีคืนดีมีคนแอบไปเปลี่ยนค่า. อาจเป็นเชฟเองที่ “ลองของ” เพิ่มพริกเป็น 8 เม็ด หรืออาจเป็นวัตถุดิบที่ส่งมาเปลี่ยนยี่ห้อ (พริกพันธุ์ใหม่เผ็ดกว่าเดิม). ผลก็คือ รสชาติเพี้ยนโดยที่ไม่มีใครสั่งให้เพี้ยน และกว่าจะรู้ตัวก็ลูกค้าบ่นกันหมดแล้ว.

นี่แหละครับหัวใจของ Configuration Management (การจัดการค่าตั้ง) สำหรับ AI. แนวคิดพื้นฐานมันเหมือนซอฟต์แวร์ปกติ — คือ “ติดตามค่าตั้งที่สำคัญ แล้วรักษาให้มันคงที่” แต่กับ AI มันมีลูกเล่นเพิ่มที่ซอฟต์แวร์ธรรมดาไม่มี และตรงนี้แหละที่ผู้บริหารต้องเข้าใจ

1.1 AI มี “ค่าตั้งหลังบ้าน” ที่ปรับได้แม้หลัง deploy ไปแล้ว#

ในซอฟต์แวร์ปกติ พอเราเขียนเสร็จ ทดสอบเสร็จ ปล่อยขึ้น production — พฤติกรรมมันก็ “นิ่ง” ค่อนข้างแน่นอน ป้อน input เดิมได้ output เดิมเสมอ.

แต่ AI ไม่ใช่. คู่มือ AAISM ชี้ว่า AI มี “configurable postproduction parameters” คือมี “ค่าที่ปรับได้แม้หลังขึ้นใช้งานจริงไปแล้ว” และค่าพวกนี้แหละที่ต้องถูก “ติดตามและเฝ้าดู” ว่ามันเบี่ยงเบนไปจากมาตรฐานที่ตั้งไว้ไหม. คำว่า “postproduction” สำคัญมากนะครับ เพราะมันหมายความว่า ต่อให้คุณ “ล็อก” ทุกอย่างไว้ดีตอน deploy พฤติกรรมก็ยังเปลี่ยนได้ทีหลัง ถ้ามีคนไปแตะค่าตั้งพวกนี้

1.2 จุดที่ AI ต่างจากซอฟต์แวร์ — ความ “ไวต่อข้อมูล”#

ประเด็นที่สองที่คู่มือเน้นหนัก — AI ไวต่อการเปลี่ยนแปลงของข้อมูลมาก (very sensitive to data changes). และตรงนี้มี control เฉพาะที่ฟังดูเทคนิคแต่ผู้บริหารควรรู้ว่ามันมีอยู่:

ต้องรักษา “วิธีเตรียมข้อมูล” (data preprocessing) ให้เหมือนกันระหว่างตอนเทรนกับตอนใช้งานจริง. แปลเป็นภาษาคนก็คือ ตอนที่เราสอนพนักงานคนนี้ เราป้อนข้อมูลให้เขาแบบจัดรูปแบบไว้แบบหนึ่ง (เช่น วันที่เขียนเป็น ปี-เดือน-วัน, เงินเป็นบาทไม่ใช่สตางค์). พอเอาเขามาทำงานจริง ถ้าเราดันป้อนข้อมูลที่ “จัดรูปแบบคนละแบบ” (วันที่เขียนเป็น วัน/เดือน/ปี แทน) เขาก็จะงงและทำงานเพี้ยน ทั้งที่ตัวเขาไม่ได้เปลี่ยน. ความไม่ตรงกันแบบนี้ในวงการเขาเรียกว่า “training-serving skew” (ตอนเทรนกับตอนใช้ไม่ตรงกัน)

อีกตัวที่คู่มือระบุชัดคือ tokenization framework ต้องเป็นตัวเดียวกันทั้งตอนเทรนและตอนใช้งานจริง. Tokenization (การตัดคำ/ตัดข้อมูลเป็นชิ้นๆ — token คือ “ชิ้นย่อยที่สุด” ที่โมเดลเข้าใจ เช่น คำหรือส่วนของคำ) คือ “วิธีที่ AI หั่นข้อความออกเป็นคำๆ ก่อนทำความเข้าใจ”. ถ้าตอนเทรนหั่นแบบหนึ่ง ตอนใช้งานหั่นอีกแบบ ก็เหมือนสอนเด็กอ่านหนังสือด้วยตัวอักษรแบบหนึ่ง แล้วเอาตัวอักษรอีกแบบมาให้อ่าน. มันจะอ่านได้ แต่ความหมายเพี้ยน

ผมขอสรุปความต่างระหว่าง config ของซอฟต์แวร์ปกติกับ AI เป็นตารางของผมเอง เพื่อให้ผู้บริหารเห็นภาพว่า “ทำไมต้องดูแลเพิ่ม”:

ประเด็น	ซอฟต์แวร์ปกติ	AI
ค่าตั้งที่ต้องคุม	ตัวแปร config ที่ผู้ใช้ตั้งได้ (ชัดเจน เห็นง่าย)	ค่าพารามิเตอร์หลังบ้านที่ปรับได้แม้หลัง deploy (เช่น temperature) — เห็นยากกว่า
พฤติกรรมหลัง deploy	นิ่ง — input เดิมได้ output เดิม	เปลี่ยนได้ตลอด ถ้าใครแตะค่าตั้งหรือข้อมูลเปลี่ยน
ความไวต่อข้อมูล	ค่อนข้างทน — เปลี่ยน format ข้อมูลนิดหน่อยมักไม่พัง	ไวมาก — รูปแบบข้อมูล input เปลี่ยนนิดเดียวก็เพี้ยน
สิ่งที่ต้อง “ล็อกให้ตรงกัน”	เวอร์ชันโค้ด, dependency	วิธีเตรียมข้อมูล (preprocessing) + tokenization ต้องตรงกันระหว่างตอนเทรน-ตอนใช้

ลองนึกภาพสมมติให้เป็นรูปธรรมครับ. บริษัทประกันแห่งหนึ่งใช้ AI ช่วยประเมินความเสี่ยงผู้สมัครทำประกัน — ตอนเทรน ทีมป้อน “อายุ” เป็นตัวเลขปี และ “รายได้” เป็นหน่วยบาทต่อปี. ระบบทำงานแม่นยำดีมากหลายเดือน. จนวันหนึ่งทีม IT อัปเดตระบบต้นทางที่ส่งข้อมูลเข้า AI แล้วเผลอเปลี่ยน “รายได้” จากบาทต่อปีเป็น “บาทต่อเดือน” โดยไม่มีใครบอก AI. ผลคือ AI เห็นตัวเลขรายได้ที่ “เล็กลง 12 เท่า” แล้วประเมินว่าลูกค้าทุกคน “จนลงกะทันหัน” จึงปฏิเสธหรือตั้งเบี้ยสูงเกินจริงไปทั้งเดือน ทั้งที่โมเดลไม่ได้เปลี่ยนแม้แต่บรรทัดเดียว. ปัญหาไม่ได้อยู่ที่ AI โง่ลง แต่อยู่ที่ “วิธีเตรียมข้อมูลตอนใช้งาน” ไม่ตรงกับ “ตอนเทรน” ซึ่งคือหน้าที่ของ configuration management ที่จะจับให้ได้ก่อนลูกค้าเจ็บ

1.3 “ค่าตั้งของ AI” ที่ผู้บริหารควรรู้ว่ามันมีอยู่ในบัญชี#

ผู้บริหารไม่ต้องไปไล่ตั้งค่าเอง — แต่ควรรู้ว่า “บัญชีค่าตั้ง” (configuration items) ของ AI ที่ดี ต้องครอบคลุมอะไรบ้าง เพื่อจะถามทีมได้ว่า “เราคุมครบไหม”. ผมขอเรียบเรียงเป็นตารางของผมเอง โดยจัดกลุ่มสิ่งที่คู่มือชี้ว่าต้องคุม:

กลุ่มค่าตั้ง	ตัวอย่างสิ่งที่ต้องบันทึก/ล็อก	ถ้าหลุดการคุม จะเกิดอะไร
พารามิเตอร์หลัง deploy	temperature, ขีดจำกัดความยาวคำตอบ, ค่าตั้งความปลอดภัยอื่นๆ	นิสัย AI เปลี่ยน — ครีเอทีฟเกินไป/มั่วขึ้น โดยไม่มีใครสั่ง
วิธีเตรียมข้อมูล (preprocessing)	หน่วย, รูปแบบวันที่, การ normalize ตัวเลข	training-serving skew — ผลเพี้ยนเงียบๆ ไม่มี error
tokenization framework	เครื่องมือ/วิธีตัดคำที่ใช้ ต้องเป็นตัวเดียวกับตอนเทรน	AI “อ่าน” input ผิดวิธี ความหมายเพี้ยน
เวอร์ชันโมเดล	รุ่นที่ใช้อยู่จริง + ที่ตรงไหน + ใครอนุมัติ	ไม่รู้ว่าตอนนี้ใช้ตัวไหน เวลาเกิดเหตุ rollback ไม่ถูกตัว

ประเด็นที่ผมอยากให้สังเกตคือ สามแถวบนนี้ (พารามิเตอร์, preprocessing, tokenization) คือสิ่งที่ “ซอฟต์แวร์ปกติแทบไม่มีหรือไม่ไวขนาดนี้”. นี่แหละคือเหตุผลที่คู่มือบอกว่า configuration management ของ AI “หน้าตาต่างจากของเดิมมาก” ไม่ใช่เพราะแนวคิดเปลี่ยน แต่เพราะ “ของที่ต้องคุม” มันเพิ่มขึ้นและไวขึ้น

มุมผู้บริหาร: อย่าคิดว่า “AI ขึ้นใช้งานแล้ว = นิ่งแล้ว เหมือนซอฟต์แวร์”. คำถามที่ผู้บริหารต้องถามทีมคือ “เรามีบัญชีรายการไหมว่า AI ตัวนี้มีค่าตั้งหลังบ้านอะไรบ้าง ใครมีสิทธิ์แตะ และถ้ามันถูกเปลี่ยน เราจะรู้ทันทีไหม?” และอีกข้อที่สำคัญพอกัน — “ใครคอยเฝ้าว่า ‘รูปแบบข้อมูลที่ป้อน AI วันนี้’ ยังตรงกับ ‘ตอนที่เราเทรนมันมา’ อยู่ไหม?” เพราะภัยที่อันตรายที่สุดของ config คือมัน “เพี้ยนเงียบๆ ไม่มี error เด้ง” — ระบบยังรันได้ปกติ แค่ผลลัพธ์ผิด ซึ่งกว่าจะจับได้คือเสียหายไปแล้ว

2. AI Model Selection — “ตั้งนิสัย” และ “เปลี่ยนตัว” พนักงาน AI#

มาถึงเรื่องที่ผมว่าสนุกและสำคัญที่สุดของตอนนี้ครับ — การเลือกและปรับโมเดล. เพราะตรงนี้คือจุดที่ “ปุ่มควบคุม” ที่ผู้บริหารควรรู้ว่ามีอยู่ มันชัดเจนที่สุด

หัวใจของ AI คือ “โมเดล” (model) — ตัวที่ทำหน้าที่หาความสัมพันธ์ ทำนาย หรือสร้างเนื้อหา. คู่มือชี้ว่าพฤติกรรมของโมเดลถูก “ปรับแต่ง” ได้ 2 ระดับ — และทั้งสองระดับนี้เป็นเรื่องที่ผู้บริหารต้องเข้าใจว่ามัน “เปลี่ยนผลลัพธ์ได้แรงแค่ไหน”

2.1 ระดับที่ 1 — ปรับ “นิสัย” ด้วยพารามิเตอร์ (เช่น temperature)#

โมเดลตัวเดิม ไม่ต้องเทรนใหม่ ก็ปรับพฤติกรรมได้ — ผ่านการตั้งค่าพารามิเตอร์ตอนใช้งาน (inference). ตัวอย่างที่คู่มือยกมาตรงๆ คือค่าที่ชื่อ temperature (อุณหภูมิ)

ขออธิบายภาษาคนนะครับ temperature คือ “ปุ่มปรับความครีเอทีฟ” ของ AI. ตั้งต่ำๆ (เช่นใกล้ 0) = AI ตอบแบบ “เป๊ะ ตรงไปตรงมา ซ้ำเดิมได้” เหมาะกับงานที่ต้องการความแม่นยำ เช่นสรุปตัวเลข ดึงข้อมูลตามจริง. ตั้งสูงๆ = AI ตอบแบบ “ครีเอทีฟ หลากหลาย เดาเก่ง” เหมาะกับงานเขียนโฆษณา ระดมไอเดีย แต่ก็เพิ่มโอกาสที่มันจะ “มั่ว” (hallucinate) ขึ้นด้วย

คู่มือใช้คำว่า “This single factor can dramatically change the variances” คือแค่ค่าตัวเดียวนี้ก็เปลี่ยนความแปรปรวนของคำตอบได้อย่างมหาศาล. เทียบให้เห็นภาพก็คือ ในซอฟต์แวร์ปกติ ค่าพวกนี้ก็เหมือน “ตัวแปรที่ซอฟต์แวร์เปิดให้ผู้ใช้ตั้งได้” นั่นแหละ. ความน่ากลัวคือ ค่าตัวเดียวนี้ ถ้าตั้งผิด context มันอันตรายมาก เช่น เอา AI ไปช่วยตอบคำถามลูกค้าเรื่องเงื่อนไขประกัน แต่ตั้ง temperature ไว้สูง = AI อาจ “แต่งเงื่อนไขที่ไม่มีจริง” ขึ้นมาตอบลูกค้าด้วยความมั่นใจ

ผมขอทำตารางเทียบ “ตั้ง temperature ยังไงให้เข้ากับงาน” — เป็นมุมที่ผู้บริหารใช้ตั้งคำถามกับทีมได้:

ลักษณะงาน	ควรตั้ง temperature	เพราะอะไร	ความเสี่ยงถ้าตั้งผิดทาง
ดึงข้อมูล / สรุปตัวเลข / ตอบกฎระเบียบ	ต่ำ	ต้องการคำตอบเป๊ะ ทำซ้ำได้ ไม่เพี้ยน	ตั้งสูง = AI แต่งข้อมูลที่ไม่มีจริง
เขียนโฆษณา / ระดมไอเดีย / ตั้งชื่อแบรนด์	สูง	ต้องการความหลากหลาย ครีเอทีฟ	ตั้งต่ำ = ได้คำตอบจืด ซ้ำซาก ไม่มีไอเดียใหม่
ตอบคำถามลูกค้าเรื่องเงื่อนไข/สัญญา	ต่ำมาก	ห้ามมั่วเด็ดขาด — กระทบกฎหมาย	ตั้งสูง = AI สร้างเงื่อนไขปลอม → องค์กรอาจต้องรับผิด

มุมผู้บริหาร: ผู้บริหารไม่ต้องรู้ว่า temperature ทำงานทางคณิตศาสตร์ยังไง — แต่ต้องรู้ว่า “มันมีปุ่มแบบนี้อยู่ และค่าตัวเดียวนี้เปลี่ยนได้ทั้งความแม่นและความเสี่ยง”. คำถามที่ต้องถามทีมคือ “AI แต่ละตัวที่เราใช้ ตั้งค่าครีเอทีฟไว้เท่าไหร่ เหมาะกับงานนั้นไหม ใครเป็นคนตั้ง และค่านี้ถูกล็อกไว้ในระบบ config management หรือเปล่า?” เพราะถ้าใครแอบปรับปุ่มนี้สูงขึ้นในระบบที่ตอบลูกค้าเรื่องเงื่อนไขสัญญา — นั่นอาจกลายเป็นความรับผิดทางกฎหมายโดยไม่มีใครรู้ตัว

2.2 ระดับที่ 2 — “เปลี่ยนตัวพนักงาน” ด้วยการสลับโมเดล (swap models)#

ระดับนี้แรงกว่ามาก. คู่มือชี้ว่าพฤติกรรมของระบบ AI เปลี่ยนได้ทั้งหมดด้วยการ “เปลี่ยนตัวโมเดลที่อยู่ข้างใน” (changing the underlying model). บางระบบใช้โมเดลตัวเดียว แต่หลายระบบใช้หลายโมเดลทำงานร่วมกันเพื่อบรรลุเป้าหมายรวม. และพอนักวิจัย AI พัฒนาเวอร์ชันใหม่ออกมาเรื่อยๆ โมเดลก็ถูก “สลับเข้า-สลับออก” ได้

ปัญหาคือ พอสลับโมเดล “output ของระบบเปลี่ยนได้อย่างมหาศาล” (dramatically altered). และนี่คือประโยคที่ผมว่าผู้บริหารต้องจำ เพราะโมเดล AI มัก “ทึบ” (opaque) คือเรามองไม่เห็นว่ามันคิดยังไงข้างใน. โมเดลแต่ละตัวอาจให้ผลต่างกันมากขึ้นกับปัจจัยอย่าง: แหล่งข้อมูลที่ใช้เทรน, วิธีการเทรน, และแม้กระทั่ง “จริยธรรมและแนวปฏิบัติที่ต่างกันของแต่ละผู้พัฒนาโมเดล”

ขอย้ำจุดสุดท้ายนี้ครับ เพราะมันลึกซึ้ง — โมเดลสองตัวที่ “ทำงานเดียวกัน” อาจให้คำตอบที่มีค่านิยม/อคติต่างกัน เพราะคนสร้างมันคนละทีม คนละปรัชญา คนละชุดข้อมูล. เปลี่ยนจากโมเดลค่าย A ไปค่าย B อาจไม่ใช่แค่ “เก่งขึ้น” แต่อาจ “นิสัยเปลี่ยน” ไปด้วย

ลองนึกภาพสมมติครับ. แพลตฟอร์มให้คำปรึกษาสุขภาพออนไลน์แห่งหนึ่งใช้ AI ตอบคำถามเบื้องต้นของผู้ใช้. ทีมเทคนิคเห็นว่ามีโมเดลรุ่นใหม่จากผู้พัฒนาอีกเจ้าที่ “ฉลาดกว่า เร็วกว่า ถูกกว่า” จึงสลับไปใช้ในคืนวันศุกร์เพื่อประหยัดงบ. รุ่นใหม่ฉลาดขึ้นจริง แต่มัน “ระวังตัวน้อยลง” เพราะถูกเทรนมาคนละปรัชญา. แทนที่จะตอบว่า “อาการนี้ควรพบแพทย์” เหมือนโมเดลเดิม มันกลับ “ฟันธงวินิจฉัย” ให้ผู้ใช้เลย ซึ่งเสี่ยงทั้งทางการแพทย์และทางกฎหมายมหาศาล. เปลี่ยนโมเดล ≠ แค่อัปเกรด มันคือการเปลี่ยน “คนทำงาน” ที่มีนิสัยและความระมัดระวังคนละแบบ และต้องผ่านการทดสอบใหม่ทั้งหมดก่อนเอาไปแตะลูกค้าจริง

ผมขอสรุปสองระดับของการปรับโมเดลเป็นตารางของผมเอง:

ระดับการปรับ	เปรียบเหมือน	แรงแค่ไหน	ผู้บริหารต้องคุมอะไร
ปรับพารามิเตอร์ (เช่น temperature)	ปรับ “นิสัย/อารมณ์” ของพนักงานคนเดิม	ปานกลาง-แรง (ค่าเดียวเปลี่ยนผลได้เยอะ)	ใครตั้งค่า ตั้งเท่าไหร่ ล็อกไว้ไหม เหมาะกับ use case ไหม
สลับโมเดล (swap model/เวอร์ชัน)	“เปลี่ยนตัวพนักงาน” ไปคนใหม่ที่นิสัยต่างกัน	แรงมาก (output เปลี่ยนทั้งระบบ)	ต้องผ่าน change management + ทดสอบใหม่ + เทียบผลก่อนเปลี่ยนจริง

มุมผู้บริหาร: กับดักคลาสสิกคือทีมเทคนิคเห็นโมเดลรุ่นใหม่ “ดีกว่า ถูกกว่า” แล้วสลับเงียบๆ เหมือนอัปเดตซอฟต์แวร์ทั่วไป. ผู้บริหารต้องตั้งกฎชัดว่า “การเปลี่ยนโมเดล ถือเป็น ‘การเปลี่ยนแปลงใหญ่’ (major change) ต้องผ่านกระบวนการ change management และต้องทดสอบเทียบผลก่อน-หลังเสมอ ห้ามสลับเงียบ” — เพราะการสลับโมเดลไม่ใช่การ “อัปเกรด” แต่คือการ “เปลี่ยนตัวพนักงานที่มีนิสัยคนละแบบ” ซึ่งกระทบผลลัพธ์ที่ส่งถึงลูกค้าโดยตรง

2.3 แล้วผู้บริหาร “คุม” การปรับและสลับโมเดลได้ยังไง (ไม่ต้องเป็นช่างเอง)#

พอเห็นว่ามีทั้งปุ่มปรับนิสัย (temperature) และการเปลี่ยนตัว (swap) — คำถามที่ตามมาคือ “แล้วผู้บริหารที่ไม่ใช่ data scientist จะคุมเรื่องพวกนี้ได้ยังไง โดยไม่ต้องลงไปทำเอง?” ผมว่าตรงนี้คือหัวใจของ “มุมบริหาร” ใน Domain 3 ทั้งบท — เราไม่จำเป็นต้องรู้วิธีตั้งค่า เราแค่ต้องสั่งให้ “มีกลไกคุม” และคอย “ถามให้ถูกคำถาม”

มีแนวคิด 3 ตัวที่ผู้บริหารควรรู้ว่ามันมีอยู่ และสั่งให้ทีมทำได้ (ไม่ต้องลงมือเอง):

Model registry / model inventory (ทะเบียนโมเดล) — บัญชีกลางที่บันทึกว่า “องค์กรเราใช้โมเดลอะไรบ้าง เวอร์ชันไหน ที่ตรงไหน ตั้งค่าอย่างไร ใครอนุมัติ”. นี่คือ “ทะเบียนพนักงาน AI” ของเรา. ถ้าไม่มีทะเบียนนี้ — เวลาเกิดปัญหา เราจะไม่รู้ด้วยซ้ำว่า “ตัวไหนที่พัง” และ “ตอนนี้ใครใช้ตัวไหนอยู่บ้าง”
Version pinning (ตรึงเวอร์ชัน) — การ “ล็อก” ว่าระบบจะใช้โมเดลเวอร์ชันที่ระบุไว้เป๊ะ ไม่ใช่ “ตัวล่าสุดที่ provider ปล่อยมา”. จุดนี้สำคัญมากกับ AI แบบ AIaaS (AI ที่เช่าใช้ผ่าน cloud) เพราะ provider อาจอัปเดตโมเดลเบื้องหลังโดยที่เราไม่รู้ ทำให้ “พนักงานของเราถูกเปลี่ยนตัวเงียบๆ” โดยที่เราไม่ได้สั่ง. การตรึงเวอร์ชันก็คือการบอก provider ว่า “ฉันจะใช้รุ่นนี้ จนกว่าฉันจะตัดสินใจเปลี่ยนเอง”
A/B หรือ shadow testing (ทดสอบเทียบก่อนเปลี่ยนจริง) — ก่อนสลับไปโมเดลใหม่เต็มตัว ให้รันโมเดลใหม่ “คู่ขนาน” กับตัวเก่าด้วยคำถามชุดเดียวกัน แล้วเทียบว่าผลต่างกันแค่ไหน นิสัยเปลี่ยนไปไหม ก่อนเอาไปแตะลูกค้าจริง

ผมขอเน้นเรื่อง version pinning กับ AIaaS เป็นพิเศษ เพราะมันเป็นกับดักที่เจ้าของกิจการไทยส่วนใหญ่ไม่รู้ตัว. AIaaS (AI as a Service — AI ที่เราเช่าใช้ผ่าน subscription บน cloud ไม่ได้เป็นเจ้าของโมเดลหรือโครงสร้างเอง) สะดวกสุดเพราะ “เสียบใช้ได้เลย” แต่ก็แลกมากับการที่ เรามองไม่เห็นและคุมไม่ได้ว่าข้างในมันเปลี่ยนไปยังไง. provider อาจปรับปรุงโมเดลให้ “ดีขึ้น” ในสายตาเขา แต่สำหรับ use case เฉพาะของเรา มันอาจ “แย่ลง” หรือ “นิสัยเปลี่ยน” โดยที่เราไม่ได้รับแจ้งเลย

ลองนึกภาพสมมติครับ. ร้านค้าออนไลน์แห่งหนึ่งใช้ AIaaS เจ้าหนึ่งช่วยเขียนคำบรรยายสินค้าให้กระชับเป็นโทนสุภาพ. ใช้มาดีหลายเดือน. อยู่ๆ วันหนึ่งคำบรรยายเริ่ม “ยาวขึ้น เวิ่นเว้อขึ้น โทนเปลี่ยน” — ทั้งที่ทีมไม่ได้แตะอะไรเลย. สืบไปสืบมาพบว่า provider อัปเดตโมเดลเบื้องหลังในสัปดาห์นั้นเพื่อ “ให้คำตอบละเอียดขึ้น” (ซึ่งดีสำหรับลูกค้าทั่วไปของเขา แต่ไม่ดีสำหรับ use case “กระชับ” ของเรา). ถ้าร้านนี้ไม่มีการตรึงเวอร์ชันหรือไม่มีคนเฝ้า output — กว่าจะรู้ตัวก็ปล่อยคำบรรยายโทนเพี้ยนออกไปเป็นพันรายการแล้ว

มุมผู้บริหาร: ผู้บริหารไม่ต้องรู้วิธี “ตรึงเวอร์ชัน” ทางเทคนิค — แต่ต้องรู้ว่า “การที่ provider เปลี่ยนโมเดลเบื้องหลังโดยเราไม่รู้ตัว เป็นความเสี่ยงจริง” และต้องถามทีม/ถาม vendor ว่า “เราตรึงเวอร์ชันได้ไหม? ถ้า provider จะเปลี่ยนโมเดล เขาแจ้งเราล่วงหน้าไหม? เรามีทะเบียนไหมว่าตอนนี้ใช้ตัวไหนอยู่บ้าง?”. คำตอบ “ไม่รู้” สำหรับคำถามเหล่านี้ = องค์กรกำลังปล่อยให้พนักงาน AI ถูกเปลี่ยนตัวเงียบๆ โดยไม่มีใครสังเกต

3. Regulatory & Societal Impact — กฎหมายและกระแสสังคม คือ “ปัจจัยถาวร” ไม่ใช่เรื่องไกลตัว#

หัวข้อนี้สั้นในคู่มือ แต่ผมว่ามันสำคัญในเชิงความคิดมาก เพราะมันเปลี่ยน “มุมมอง” ของผู้บริหารต่อ AI

3.1 กฎหมาย — วิ่งตามเทคโนโลยีไม่ทัน และยัง “เคลื่อนตลอด”#

คู่มือพูดตรงๆ ว่า การพัฒนา AI วิ่งเร็วกว่าการออกกฎหมายและมาตรฐานมาควบคุม. กฎระเบียบ “เพิ่งจะเริ่มไล่ตาม” ความก้าวหน้าของ AI และผลกระทบของมันต่อชีวิตคน. สิ่งแวดล้อมด้านกฎหมายยัง “วิวัฒน์ต่อเนื่อง” ทั้งเรื่องความเข้าใจ การใช้งาน และเส้นกั้น (guardrails) ที่กำหนดขึ้นเพื่อความปลอดภัย

และจุดที่ผู้บริหารต้องจำคือ บางอุตสาหกรรมโดนหนักกว่าอุตสาหกรรมอื่น ในเรื่องการใช้ การรับเอามาใช้ และการบังคับใช้กฎเกี่ยวกับ AI. พวกการเงิน สุขภาพ ประกัน การจ้างงาน คืออุตสาหกรรมที่การตัดสินใจของ AI กระทบสิทธิ์คนโดยตรง มักถูกเพ่งเล็งและออกกฎเข้มกว่า

ความหมายเชิงปฏิบัติก็คือ กฎที่ “วันนี้ยังไม่มี” อาจ “พรุ่งนี้มี” และอาจ “ย้อนหลัง” มาบังคับสิ่งที่เราทำไปแล้ว. การออกแบบระบบ AI ที่ “ตายตัวเกินไป” จนปรับให้เข้ากฎใหม่ไม่ได้ จึงเป็นความเสี่ยงในตัวมันเอง (ประเด็นนี้จะกลับมาอีกในหัวข้อ change management ข้างล่าง)

แล้วในทางปฏิบัติ ผู้บริหารจะ “ทำให้กฎหมายเป็นปัจจัยถาวร” ได้ยังไงโดยไม่ต้องนั่งอ่านกฎหมายเองทุกวัน? ผมเสนอวิธีคิดง่ายๆ คือมอบหมายให้มีคน (หรือฝ่าย) “คอยตามและทบทวนเป็นรอบ” ไม่ใช่ตามแบบเหตุการณ์. เช่น ทุกไตรมาสมีการทบทวนสั้นๆ ว่า “มีกฎ AI ใหม่ในอุตสาหกรรมเราไหม กระแสสังคมเปลี่ยนไหม แล้วมันกระทบ AI ที่เราใช้อยู่ตรงไหน”. วิธีนี้เปลี่ยนเรื่องที่ดู “ไกลตัว” ให้กลายเป็น “วาระประจำ” ที่จัดการได้ และเชื่อมตรงเข้ากับองค์ประกอบ “Regulatory & societal impact” ในแผน change management (ข้อ 9 ที่จะเห็นข้างล่าง)

3.2 สังคม — กระแสที่ “เปลี่ยนใจได้” และเรื่องการแทนที่แรงงาน#

คู่มือชี้ว่าสังคม “ทั้งโอบรับและปฏิเสธ AI พร้อมกัน” และความเห็นยัง “เปลี่ยนและปรับตัวต่อเนื่อง”. ความกังวลที่ใหญ่ที่สุดคือ การที่ AI จะแทนที่แรงงานคน

แต่คู่มือก็ให้มุมที่บาลานซ์ โดยยกบทเรียนจากประวัติศาสตร์: ทุกครั้งที่มีคลื่นเทคโนโลยีใหม่ มัก “ทำลายงานเก่า แต่สร้างงานใหม่”. ตัวอย่างที่คู่มืออ้างคือยุคคอมพิวเตอร์ส่วนบุคคล มีงานเสมียนหายไป ประมาณ 3.5 ล้านตำแหน่งในสหรัฐฯ ตลอดหลายทศวรรษหลัง PC และอินเทอร์เน็ตเข้ามา แต่กลับสร้างงานในอุตสาหกรรมที่เกี่ยวกับคอมพิวเตอร์ขึ้นมากว่า 19 ล้านตำแหน่ง

🔎 ตัวเลข 3.5 ล้าน / 19 ล้านตำแหน่งนี้ คู่มือ AAISM อ้างจากงานศึกษาหนึ่งเพื่อชี้ “รูปแบบ” ของคลื่นเทคโนโลยี ไม่ใช่การพยากรณ์ว่า AI จะให้ผลแบบเดียวกันเป๊ะ — คู่มือเองก็ระบุว่า “ยังเร็วเกินไปที่จะบอกว่า AI จะให้ผลแบบไหน”. ผมยกมาเพื่อสื่อ “แพทเทิร์น” ที่ว่าเทคโนโลยีมักย้ายงาน มากกว่าจะทำลายงานสุทธิ — ไม่ใช่เพื่อรับประกันอนาคต

ความหมายเชิงปฏิบัติสำหรับผู้บริหาร — เรื่อง “คน” ไม่ใช่แค่เรื่อง HR แต่เป็น ส่วนหนึ่งของแผนนำ AI มาใช้ (เดี๋ยวจะเห็นอีกครั้งในองค์ประกอบ “Skills & Competencies” ของ change management ข้างล่าง)

มุมผู้บริหาร: อย่ามอง “กฎหมาย AI” และ “กระแสสังคมเรื่อง AI” เป็นเรื่องไกลตัวที่ “ค่อยตามทีหลัง”. ทั้งสองอย่างนี้ “เคลื่อนตลอดเวลา” และต้องเป็น ปัจจัยถาวรในการตัดสินใจ — ไม่ใช่เช็คครั้งเดียวตอนเริ่มโปรเจกต์แล้วลืม. คำถามที่ผู้บริหารต้องถามคือ “อุตสาหกรรมเราอยู่ในกลุ่มที่ถูกเพ่งเล็งเรื่อง AI ไหม? ถ้ากฎใหม่ออกพรุ่งนี้ ระบบ AI เราปรับตามได้เร็วแค่ไหน?” และเรื่อง “คน” — “การเอา AI มาใช้ตรงนี้ กระทบทีมเราอย่างไร เราเตรียม reskill เขาหรือยัง?” เพราะโปรเจกต์ AI ที่ทำให้พนักงานรู้สึกว่า “ถูกแทนที่” มักเจอแรงต้านจนล่ม แม้เทคโนโลยีจะพร้อม

4. AI Change Management — ทำไม “การเปลี่ยน AI” ยากกว่าการเปลี่ยนซอฟต์แวร์#

มาถึงหัวใจที่ใหญ่ที่สุดของตอนนี้ครับ. ทุกหัวข้อข้างบน — config, การปรับโมเดล, กฎหมายที่เปลี่ยน — มันมารวมศูนย์ที่คำถามเดียว: “เวลาเราจะเปลี่ยนอะไรสักอย่างกับ AI เราจัดการมันยังไงให้ปลอดภัย?”

คู่มือเปิดด้วยประเด็นสำคัญ คือ การสร้างสถาปัตยกรรม AI ที่ปลอดภัย ต้องอาศัยการประสานงานหลายฝ่ายในองค์กร ไม่ใช่แค่ฝ่าย IT Security. และ change management (การจัดการการเปลี่ยนแปลง) มีบทบาทสำคัญมากในการวางแผนระดับใหญ่ เพราะ AI มี “องค์ประกอบการเปลี่ยนแปลง” ที่อาจ ยังไม่เคยอยู่ในกระบวนการ change ปกติขององค์กรมาก่อน. พอสถาปัตยกรรม AI เปลี่ยน กระบวนการ change management ก็ต้องอัปเดต “สิ่งที่ต้องพิจารณา” ตามด้วย

แปลเป็นภาษาคนก็คือ องค์กรส่วนใหญ่มี “กระบวนการขออนุมัติเปลี่ยนแปลง” สำหรับ IT อยู่แล้ว (ใครจะแก้ระบบต้องยื่นเรื่อง ขออนุมัติ ทดสอบ ค่อยปล่อย). แต่กระบวนการเดิมนั้น “ไม่ครอบคลุม” สิ่งที่ AI เพิ่มเข้ามา เช่น “ข้อมูลเทรนเปลี่ยน” หรือ “โมเดลถูกสลับ”. เราจึงต้องมี AI Change Management Plan ที่ขยายความคิดให้ครอบคลุมของใหม่พวกนี้

4.1 องค์ประกอบ 12 อย่างของแผน AI Change Management#

คู่มือให้องค์ประกอบสำคัญของแผนไว้ 12 ตัว. ผมขอเรียบเรียงใหม่เป็นตารางของผมเอง พร้อมแปลเป็น “คำถามที่ผู้บริหารต้องถาม” ในแต่ละองค์ประกอบ — เพราะนี่คือวิธีที่ผู้บริหารใช้ของพวกนี้จริงๆ (ไม่ใช่ท่องจำชื่อ แต่ใช้เป็นชุดคำถามตรวจสอบ):

#	องค์ประกอบ	แก่นของมัน	คำถามที่ผู้บริหารถาม
1	Research emerging technologies (สำรวจเทคโนโลยีใหม่)	จะใช้ AI ในองค์กร ต้องสำรวจก่อนว่ามีเครื่องมือบุคคลที่สามอะไร หรือจะพัฒนาเอง + ให้ “คนที่ได้รับผลกระทบมีเสียง” ตั้งแต่ต้น	”เราดูตัวเลือกในตลาดครบหรือยัง คนที่ต้องใช้จริงได้ออกความเห็นไหม?“
2	Technical requirements for integration (ความต้องการทางเทคนิคในการต่อ)	รู้ชนิด AI + โครงสร้างเทคนิค ทำให้ประเมินความต้องการเชื่อมต่อได้แม่นขึ้น	”การต่อ AI ตัวนี้เข้าระบบเรา ต้องการอะไรเพิ่ม จะงอกความต้องการใหม่อะไรอีก?“
3	Shared responsibility (ความรับผิดชอบร่วม)	ใช้โมเดลบุคคลที่สาม ต้องเข้าใจ secure-by-design ของเขา + ดู shared responsibility matrix ว่าเขารับส่วนไหน เรารับส่วนไหน	”vendor รับผิดชอบอะไร เราต้องทำอะไรเอง ส่วนของเราเป็นศูนย์ไม่ได้ใช่ไหม?“
4	Provenance of the model (ที่มาของโมเดล)	ถ้าใช้โมเดลบุคคลที่สาม ต้องรู้ “ประวัติที่มา” — ตาม ISO 8000-2 รวมถึงการสร้าง อัปเดต ตรวจสอบ และการส่งต่อสิทธิ์ควบคุมข้อมูล	”โมเดลนี้มาจากไหน เทรนด้วยอะไร ใครเคยถือมันมาก่อน?“
5	Data changes (การเปลี่ยนของข้อมูล)	ข้อมูลเปลี่ยนได้โดยไม่ได้มาจากเรา — เช่น ฤดูกาล, รสนิยมผู้ใช้, ข้อมูลคลาสใหม่ + ต้องเฝ้า data drift ในกระบวนการ change	”ถ้าข้อมูลโลกจริงเปลี่ยน (เช่น พฤติกรรมลูกค้า) เรารู้ตัวไหม ใครเฝ้า?“
6	AI models (ตัวโมเดล)	การกำกับดูแล (governance) ตัวโมเดล ต้องอยู่ในโปรแกรม change management ขององค์กร	”การเปลี่ยน/สลับโมเดล ผ่านกระบวนการอนุมัติเดียวกับการเปลี่ยนระบบอื่นไหม?“
7	Business continuity planning (แผนความต่อเนื่องธุรกิจ)	BCP เดิมพิจารณาแค่ระบบทั่วไป — ต้องทบทวนและอัปเดตว่า AI กระทบแผนสำรอง/กู้คืนยังไง	”ถ้า AI ตัวนี้ล่ม ธุรกิจเดินต่อได้ไหม แผนสำรองครอบคลุม AI หรือยัง?“
8	Access control (การควบคุมการเข้าถึง)	ระวัง! ให้คนที่เคย “ถูกจำกัดสิทธิ์ข้อมูล” เข้าถึงโมเดลที่มีข้อมูลอ่อนไหว = อันตราย อาจต้องใช้เครื่องมือใหม่ที่ access control แบบเดิมไม่มี	”ใครเข้าถึง AI ตัวนี้ได้ มันเปิดประตูให้เห็นข้อมูลที่เขาไม่ควรเห็นไหม?“
9	Regulatory & societal impact (กฎหมาย/สังคม)	ต้องเฝ้าระวังภูมิทัศน์กฎหมาย AI + กระแสสังคม ที่เปลี่ยนเร็วอยู่เสมอ แล้วนำมาปรับการพัฒนา/ใช้ AI ตามเวลา	”มีใครคอยติดตามกฎ AI ใหม่ๆ และนำมาทบทวนแผนเราไหม?“
10	Scalability of AI solutions (ขยายขนาดได้)	AI ใช้มากขึ้น ความต้องการด้านความปลอดภัยก็โต — เลือกเครื่องมือที่ “โตไปกับองค์กรได้โดยไม่ต้องรื้อใหญ่” + ใช้ง่าย	”ถ้าเราใช้ AI หนักขึ้น 10 เท่า ตัวนี้รองรับได้ไหม หรือต้องเริ่มใหม่?“
11	Skills & competencies (ทักษะคน)	ต้องวิเคราะห์ผลกระทบต่อแรงงาน — reskill พนักงาน, คิดใหม่ว่างานอะไรทำยังไง, สร้างโอกาสอาชีพใหม่ + ให้เวลาคนปรับตัว	”ทีมเราต้องเรียนรู้อะไรเพิ่ม เราเตรียมเวลาและการสนับสนุนให้เขาแล้วหรือยัง?“
12	Unknown changes (การเปลี่ยนที่ยังไม่รู้)	อย่าออกแบบสถาปัตยกรรม “ตายตัวเกินไป” จนรับเทคโนโลยีใหม่ในอนาคตไม่ได้ — เผื่อช่องไว้	”ถ้าปีหน้ามีเทคโนโลยีดีกว่านี้ เราเปลี่ยนไปได้ไหม หรือจะติดล็อกกับตัวเดิม?”

จุดที่ผมอยากให้สังเกตจากตารางนี้ — มีแค่ 2-3 องค์ประกอบเท่านั้นที่เป็น “เรื่องเทคนิคล้วน” (เช่น technical requirements, provenance). ที่เหลือเป็นเรื่อง คน, กระบวนการ, กฎหมาย, ความต่อเนื่องธุรกิจ ทั้งนั้น — ซึ่งเป็นเรื่องที่ ผู้บริหารเป็นเจ้าของโดยตรง ไม่ใช่ฝ่าย IT. นี่คือเหตุผลที่คู่มือย้ำตั้งแต่ต้นว่า change management ของ AI “ไม่ใช่งานของ IT Security ฝ่ายเดียว”

ผมอยากเน้นองค์ประกอบที่ผู้บริหารมักมองข้ามที่สุด 3 ตัว:

Access control (ข้อ 8) — นี่คือกับดักเงียบ. สมมติเดิมพนักงานฝ่ายขายไม่มีสิทธิ์เห็นข้อมูลเงินเดือนพนักงาน. แต่พอองค์กรเอา AI มาช่วยตอบคำถามทั่วไป แล้ว AI ตัวนั้น “ถูกเทรนด้วยข้อมูลทุกอย่างรวมเงินเดือน” — ทันใดนั้นพนักงานขายแค่ “ถามคำถามถูกคำ” ก็อาจล้วงข้อมูลที่เขาไม่เคยมีสิทธิ์เห็นออกมาได้. AI กลายเป็น “ประตูหลัง” ที่ข้าม access control เดิมไปเฉยๆ
Data changes / drift (ข้อ 5) — ข้อมูลโลกจริงเปลี่ยนเองโดยเราไม่ได้สั่ง (ฤดูกาล เศรษฐกิจ เทรนด์) แล้วทำโมเดลค่อยๆ เพี้ยน. change management ต้องมองว่า “ข้อมูลเปลี่ยน” ก็คือ “การเปลี่ยนแปลง” ที่ต้องเฝ้า ไม่ใช่แค่ “โค้ดเปลี่ยน”
Unknown changes (ข้อ 12) — ที่ผมเชื่อมไว้ตั้งแต่หัวข้อกฎหมายข้างบน. ถ้าเราเซ็นสัญญาผูกขาดกับ AI เจ้าเดียวแบบรื้อยาก พอมีเจ้าใหม่ดีกว่าหรือกฎหมายใหม่บังคับ — เราจะติดล็อก. การเผื่อช่องให้เปลี่ยนได้ คือ control เชิงกลยุทธ์

4.2 Emergency Changes — ทำไม “แก้ด่วน” ของ AI ถึงยากกว่าซอฟต์แวร์มหาศาล#

นี่คือส่วนที่ผมอยากให้เจ้าของกิจการทุกคนเข้าใจให้ลึกที่สุดในตอนนี้ — เพราะมันคือ ความแตกต่างพื้นฐานที่สุดระหว่าง “บริหารซอฟต์แวร์” กับ “บริหาร AI”

คู่มือเทียบให้เห็นภาพชัด:

ซอฟต์แวร์ปกติ: เจอบั๊กหรือช่องโหว่ → นักพัฒนาเขียน “patch” (แผ่นปะ) แก้เฉพาะจุดที่เสีย → ใช้เวลา “ชั่วโมงถึงวัน”
AI: การ “แก้” มักหมายถึง เทรนโมเดลใหม่ → ใช้เวลา “ชั่วโมงถึงสัปดาห์”

เห็นปัญหาไหมครับ สำหรับบั๊กวิกฤตหรือช่องโหว่ความปลอดภัย องค์กรคาดหวังว่าจะแก้ได้ใน “ชั่วโมงถึงวัน”. แต่ AI อาจต้องใช้ “เป็นสัปดาห์” กว่าจะเทรนใหม่เสร็จ. กรอบเวลามันไม่แมตช์กันเลย และนี่ก็คือเหตุผลที่ผมตั้งชื่อตอนนี้ว่า “ทำไม rollback ยากกว่าระบบเดิม”

ลองนึกภาพให้เห็นความตื่นตระหนกครับ. สมมติว่าคืนวันเสาร์ องค์กรพบว่า AI ที่ตอบลูกค้าเริ่ม “หลุดปาก” ข้อมูลอ่อนไหว หรือให้คำแนะนำผิดที่อาจทำให้ลูกค้าเสียหาย. ในโลกซอฟต์แวร์ปกติ ทีมก็เขียน patch ปิดช่องนั้นภายในไม่กี่ชั่วโมงแล้วจบ. แต่กับ AI ถ้าปัญหาฝังอยู่ใน “ตัวโมเดล” คุณ เทรนใหม่ทันคืนนี้ไม่ได้ เพราะมันกินเวลาเป็นวันเป็นสัปดาห์. แล้วระหว่างที่รอเทรน ลูกค้าก็ยังคุยกับ AI ที่มีปัญหาอยู่ทุกวินาที. นี่คือสถานการณ์ฝันร้ายที่ผู้บริหารต้อง “เตรียมทางออกไว้ล่วงหน้า”

คู่มือเสนอ 2 ทางเลือก สำหรับการแก้ด่วน AI — และผมอยากให้ผู้บริหารจำสองทางนี้ให้ขึ้นใจ:

ทางเลือกที่ 1 — Rollback ไปโมเดลเวอร์ชันเก่า

ถ้าวินิจฉัยได้ว่าปัญหา “เพิ่งเกิดหลังจากเปลี่ยนโมเดล” ก็ถอยกลับไปใช้โมเดลตัวเก่าได้. แต่คู่มือใส่เงื่อนไขสำคัญไว้ คือ วิธีนี้ใช้ได้ก็ต่อเมื่อ “ปัญหานั้นไม่ได้มีอยู่ในชุดข้อมูลเทรนของโมเดลเก่าด้วย”. พูดง่ายๆ คือ ถ้าปัญหาเกิดจาก “โมเดลใหม่ทำพัง” → ถอยกลับได้. แต่ถ้าปัญหาเกิดจาก “ข้อมูลที่ใช้เทรนมีปัญหามาตั้งแต่ต้น” (เช่น ข้อมูลถูก poison) → ถอยไปโมเดลเก่าก็ยังเจอปัญหาเดิม เพราะมันก็เทรนจากข้อมูลแถวๆ นั้น

นี่คือจุดที่ทำให้ rollback ของ AI “ไม่ใช่ปุ่มย้อนกลับง่ายๆ” เหมือนกู้คืนไฟล์เวอร์ชันเก่า เพราะคุณต้องวินิจฉัยให้ได้ก่อนว่า “ต้นตอปัญหาอยู่ที่โมเดล หรืออยู่ที่ข้อมูล” ถึงจะรู้ว่า rollback จะช่วยได้จริงไหม

ทางเลือกที่ 2 — Implement input/output validation (สร้าง “ด่านกรอง” รอบๆ โมเดล)

อันนี้ฉลาดและเป็นทางที่ผู้บริหารควรรู้ว่ามีอยู่. ในเมื่อแก้ “ตัวโมเดล” ไม่ทัน เราก็ไปสร้าง “ด่านกรอง” รอบนอกแทน. คือเขียนซอฟต์แวร์เพิ่ม นอกตัวโมเดล เพื่อ:

กรอง input ที่มีปัญหาไม่ให้เข้าถึงโมเดล (เหมือนยามหน้าประตู คัดคนเข้า)
กรอง output ที่ไม่ดีไม่ให้หลุดออกไปถึงลูกค้า (เหมือนตรวจของก่อนส่งออก)

ข้อดีคือทำได้ “ทันเวลา” เพราะเป็นซอฟต์แวร์ปกติที่เขียน-แก้ได้ในชั่วโมงถึงวัน ไม่ต้องรอเทรนโมเดลใหม่. มันคือการ “ปิดแผลชั่วคราว” รอบตัวโมเดล ในขณะที่ค่อยๆ แก้ที่ต้นตอ (เทรนใหม่) ในเบื้องหลัง

ผมขอเทียบสองทางเลือกเป็นตารางของผมเอง:

ทางเลือก	ทำอะไร	เร็วแค่ไหน	ใช้ได้เมื่อ	ข้อจำกัด
Rollback โมเดลเก่า	ถอยกลับไปใช้เวอร์ชันก่อนหน้า	เร็ว (ถ้าเก็บเวอร์ชันเก่าไว้)	ปัญหาเกิดจากการ “เปลี่ยนโมเดล”	ใช้ไม่ได้ถ้าปัญหาฝังอยู่ในข้อมูลเทรน (โมเดลเก่าก็เจอ)
Input/Output validation	สร้างด่านกรองรอบตัวโมเดล	เร็ว (เป็นซอฟต์แวร์ปกติ)	แก้ตัวโมเดลไม่ทัน ต้องปิดแผลก่อน	เป็นการ “ปิดแผลชั่วคราว” ไม่ได้แก้ต้นตอ ต้องเทรนใหม่ตามทีหลัง

และไม่ว่าจะเลือกทางไหน คู่มือย้ำชัดว่า “การเปลี่ยนแปลงฉุกเฉินทุกครั้ง ต้องผ่านการทบทวนและอนุมัติจาก key stakeholders” และกระบวนการนี้ “ต้องเลียนแบบโปรโตคอลการอนุมัติ change management ที่องค์กรมีอยู่แล้ว”. พูดง่ายๆ คือ แม้เป็น “เหตุฉุกเฉิน” ก็ห้าม “ลัดขั้นตอนอนุมัติ”. การแก้ด่วนที่ไม่มีใครอนุมัติ อาจสร้างปัญหาใหม่ที่หนักกว่าเดิม

มุมผู้บริหาร: นี่คือบทเรียนที่ผมว่าสำคัญที่สุดของตอนนี้ — ผู้บริหารต้องเลิกคิดว่า “AI พังก็ patch เอาเหมือนซอฟต์แวร์”. คำถามที่ต้องถามทีม ก่อน ที่จะมีเหตุฉุกเฉินคือ: (1) “เราเก็บโมเดลเวอร์ชันเก่าไว้พร้อม rollback ไหม?” (ถ้าไม่เก็บ = ถอยไม่ได้), (2) “เรามีด่านกรอง input/output รอบโมเดลที่ปรับได้เร็วไหม?” (ถ้าไม่มี = ปิดแผลชั่วคราวไม่ได้), และ (3) “ใครคือ key stakeholder ที่ต้องอนุมัติการแก้ฉุกเฉิน และเขาติดต่อได้ตอนตี 2 วันเสาร์ไหม?”. การเตรียม 3 อย่างนี้ “ตอนยังไม่มีเหตุ” คือความแตกต่างระหว่าง “เสียหาย 1 ชั่วโมง” กับ “เสียหาย 1 สัปดาห์”

ลำดับการตัดสินใจตอนเกิดเหตุฉุกเฉิน (playbook ย่อในมุมผู้บริหาร)#

เพื่อให้เห็นภาพว่า 2 ทางเลือกข้างบนถูกใช้จริงยังไง ผมขอเรียบเรียงเป็น “ลำดับคำถาม” ที่ทีมควรเดินตามเมื่อเกิดเหตุ — ผู้บริหารใช้แผนผังนี้ตรวจสอบว่าทีมคิดครบขั้นไหม (ไม่ใช่ลงไปกดเอง):

1
  พบเหตุ: AI ให้ output อันตราย / หลุดข้อมูล
2
        │
3
        ▼
4
  [ขั้น 1] หยุดเลือดก่อน — เปิดด่านกรอง output
5
        │   (input/output validation ปิดแผลชั่วคราวทันที)
6
        ▼
7
  [ขั้น 2] วินิจฉัยต้นตอ: ปัญหาอยู่ที่ "โมเดล" หรือ "ข้อมูล"?
8
        │
9
        ├── เกิดหลัง "เปลี่ยนโมเดล" ──► Rollback ไปเวอร์ชันเก่า
10
        │                               (เช็คก่อน: ปัญหาไม่ได้อยู่ในข้อมูลเทรนเก่าด้วย)
11
        │
12
        └── ฝังใน "ข้อมูลเทรน" ───────► Rollback ไม่ช่วย
13
                                        ต้องคงด่านกรองไว้ + วางแผนเทรนใหม่ (เป็นสัปดาห์)
14
        │
15
        ▼
16
  [ขั้น 3] ทุกการแก้ — ผ่านการอนุมัติ key stakeholder
17
        │   (เลียนแบบโปรโตคอล change management เดิม ห้ามลัด)
18
        ▼
19
  [ขั้น 4] หลังเหตุสงบ — แก้ที่ต้นตอจริง + อัปเดต change plan

จุดสำคัญที่ playbook นี้สื่อก็คือ “หยุดเลือด” (ด่านกรอง) มาก่อน “ผ่าตัด” (เทรนใหม่) เสมอ เพราะการผ่าตัดกินเวลาเป็นสัปดาห์ ระหว่างนั้นเราต้องมีอะไรกั้นความเสียหายไว้ก่อน. และ rollback ก็ไม่ใช่ “ปุ่มมหัศจรรย์” มันช่วยเฉพาะกรณีที่ปัญหามาจากการเปลี่ยนโมเดล ไม่ใช่จากข้อมูลที่เน่ามาตั้งแต่ต้น

4.3 ภาพรวม — “เปลี่ยน AI” ต่างจาก “เปลี่ยนซอฟต์แวร์” ตรงไหน#

ผมขอรวบทั้งตอนนี้เป็นตารางสรุปของผมเอง — เพราะถ้าจำได้แค่ตารางเดียว ผมอยากให้จำตารางนี้:

ประเด็น	ซอฟต์แวร์ปกติ	AI	ผู้บริหารต้องเตรียมอะไร
พฤติกรรมหลัง deploy	นิ่ง	เปลี่ยนได้ตลอด (config/drift/swap)	บัญชีค่าตั้ง + เฝ้า drift
การปรับนิสัย	แก้โค้ด	ปรับพารามิเตอร์ (temperature) ได้ทันที	ล็อกค่า + คุมสิทธิ์ใครปรับได้
การเปลี่ยนเวอร์ชัน	อัปเดต = ดีขึ้น มักไม่เปลี่ยนนิสัย	สลับโมเดล = อาจเปลี่ยน “นิสัย” ทั้งระบบ	บังคับผ่าน change mgmt + ทดสอบเทียบก่อน-หลัง
เวลาแก้ด่วน	ชั่วโมง-วัน (patch)	ชั่วโมง-สัปดาห์ (เทรนใหม่)	เตรียม rollback + ด่านกรอง input/output ล่วงหน้า
rollback	ย้อนเวอร์ชันง่าย	ยาก — ต้องวินิจฉัยก่อนว่าปัญหาอยู่ที่โมเดลหรือข้อมูล	เก็บโมเดลเก่าไว้ + แยกแยะต้นตอให้เป็น

กับดักที่ผู้บริหารชอบติด (Change Management & Model)#

กับดักที่ 1 — “อัปเดตโมเดลใหม่ = อัปเกรด ทำได้เลยเหมือนอัปแอป” ❌ การสลับโมเดลคือเปลี่ยน “นิสัย” ทั้งระบบ ต้องผ่าน change management + ทดสอบเทียบเสมอ
กับดักที่ 2 — “AI พังก็ patch เอาแบบซอฟต์แวร์” ❌ การแก้ AI อาจต้องเทรนใหม่เป็นสัปดาห์ — ต้องเตรียม rollback + ด่านกรองไว้ก่อน
กับดักที่ 3 — “rollback ไปเวอร์ชันเก่าแก้ได้ทุกปัญหา” ❌ ถ้าปัญหาฝังในข้อมูลเทรน โมเดลเก่าก็เจอปัญหาเดิม
กับดักที่ 4 — “change management ของ AI เป็นเรื่องฝ่าย IT” ❌ 12 องค์ประกอบส่วนใหญ่เป็นเรื่องคน/กฎหมาย/ความต่อเนื่องธุรกิจ ที่ผู้บริหารเป็นเจ้าของ
กับดักที่ 5 — “ออกแบบระบบ AI ให้แน่นที่สุด ผูกขาดเจ้าเดียวไปเลย” ❌ ระบบที่ “ตายตัวเกินไป” ปรับตามกฎใหม่/เทคโนโลยีใหม่ไม่ได้ = ความเสี่ยงในตัวเอง (Unknown changes)

สรุปตอนนี้ — เราเรียนอะไรไปบ้าง#

ครับ ตอนที่ 26 นี้เราลงไป “คุมงานจริงในแต่ละวัน” ของพนักงาน AI กันแล้ว. ขอรวบสั้นๆ:

Configuration Management — AI มี “ค่าตั้งหลังบ้าน” ที่ปรับได้แม้หลัง deploy และ “ไวต่อข้อมูล” มาก. หน้าที่ผู้บริหารคือมีบัญชีค่าตั้ง คุมสิทธิ์การแตะ และเฝ้าว่ารูปแบบข้อมูลตอนใช้ยังตรงกับตอนเทรน — เพราะมันเพี้ยนได้เงียบๆ ไม่มี error เด้ง
AI Model Selection — ปรับ “นิสัย” ด้วยพารามิเตอร์ (เช่น temperature = ปุ่มความครีเอทีฟ) และ “เปลี่ยนตัว” ด้วยการสลับโมเดล. การสลับโมเดลไม่ใช่อัปเกรด แต่คือเปลี่ยนคนทำงานที่นิสัยต่างกัน ต้องผ่าน change management
Regulatory & Societal Impact — กฎหมายวิ่งตามไม่ทันและเคลื่อนตลอด, สังคมเปลี่ยนใจได้, เรื่องคนต้องอยู่ในแผน. ทั้งหมดต้องเป็น “ปัจจัยถาวร” ไม่ใช่เช็คครั้งเดียว
AI Change Management — 12 องค์ประกอบ (ส่วนใหญ่เป็นเรื่องคน/กระบวนการ/กฎหมาย ไม่ใช่เทคนิคล้วน) + เหตุฉุกเฉินที่ rollback ยากกว่าซอฟต์แวร์ เพราะเทรนใหม่กินเวลาเป็นสัปดาห์ ต้องเตรียม rollback + ด่านกรอง input/output ไว้ล่วงหน้า

ถ้าจะให้สรุปทั้งตอนเป็นประโยคเดียวสำหรับเจ้าของกิจการ:

“AI ไม่ใช่ซอฟต์แวร์ที่ ‘ติดตั้งเสร็จแล้วนิ่ง’ — มันเป็นพนักงานที่ปรับนิสัยได้ เปลี่ยนตัวได้ และเพี้ยนเองได้. หน้าที่ของผู้บริหารคือรู้ว่า ‘ปุ่มควบคุม’ มีอะไรบ้าง ใครมีสิทธิ์แตะ และเตรียม ‘ทางถอย’ ไว้ก่อนวันที่มันพัง — เพราะการแก้ AI ยากและช้ากว่าการแก้ซอฟต์แวร์มาก.”

เกริ่นตอนหน้า — จาก “ปุ่มควบคุม” สู่ “วงจรชีวิตทั้งเส้น”#

ตอนนี้เราเห็น “ปุ่มควบคุม” รายวันของ AI ไปแล้ว ทั้ง config, การปรับโมเดล, การจัดการเปลี่ยนแปลง. แต่ทั้งหมดนี้มันเป็นแค่ “ภาพถ่ายช่วงหนึ่ง” ของชีวิต AI

ตอนหน้าเราจะถอยออกมามองภาพให้กว้างขึ้น — วงจรชีวิตของ AI ทั้ง 7 เฟส (AI Life Cycle) ตั้งแต่วางแผน-ออกแบบ ไปจนถึงปลดระวาง. มันคือ “แผนที่” ที่ผู้บริหารใช้รู้ว่าในแต่ละช่วงชีวิตของ AI เราต้องวาง control อะไร และความเสี่ยงเปลี่ยนหน้าตาไปยังไงในแต่ละเฟส

แล้วเจอกันตอนหน้าครับ 🙂

อ้างอิงแนวคิด: AAISM — Domain 3: Section 3.2.4 (Configuration Management), Section 3.2.5 (AI Model Selection), Section 3.2.6 (Regulatory and Societal Impact) และ Section 3.2.7 (AI Change Management รวม Emergency Changes). ตัวอย่างทั้งหมดในบทเป็นกรณีสมมติเพื่อประกอบความเข้าใจ — ไม่ใช่เหตุการณ์จริง. ตัวเลขผลกระทบต่อแรงงาน (3.5 ล้าน / 19 ล้านตำแหน่ง) เป็นตัวเลขที่คู่มือ AAISM อ้างจากงานศึกษาเพื่อชี้รูปแบบของคลื่นเทคโนโลยี ไม่ใช่การพยากรณ์ผลของ AI