Een alternatief voor de AI van de grote techbedrijven · Essay 6 van 7

Een controletoren, geen uitkijktoren

Om iets op grote schaal te runnen, moet je in de gaten houden hoe het gaat. De vraag is of de tool die je bouwt om dit te doen een controletoren is of een uitkijktoren.

Samenvatting. Elke platformbeheerder wordt met dezelfde verleiding geconfronteerd. Om een dienst gezond te houden is toezicht nodig: je moet weten wat er misgaat, wat traag is, waar mensen ontevreden zijn. Het instrument dat je bouwt om die zaken te zien, is per definitie een bewakingsinstrument, omdat dezelfde console die de systeemstatus weergeeft, meestal ook kan worden gebruikt om iemands berichten te lezen. Big Tech lost dit op door de beheerder alles te laten zien en dit ‘beheer’ te noemen. Wij hebben het andere soort instrument gebouwd. De beheerderscockpit van The Village rapporteert de status en metadata en kan de inhoud van leden niet lezen, en het keert de gebruikelijke piramide om, zodat hoe hoger je zit, hoe minder je ziet van een individueel lid. Een verkeerstoren houdt het systeem in de gaten om het draaiende te houden. Een wachttoren houdt de mensen in de gaten. Dit essay gaat over dat onderscheid, inclusief het deel dat we nog niet hebben ingeschakeld.

PDF downloaden Presenteer als dia's Briefing-PDF

Belangrijkste punten — tik op een regel om het betreffende gedeelte te lezen

Wanneer toezicht niet langer optioneel isDe tool die je bouwt om een dienst gezond te houden, is standaard een bewakingsinstrument.
  • Als je iets op grote schaal uitvoert, moet je kunnen kijken.
  • De natuurlijke vorm van dat hulpmiddel — de ‘god-view’-console — is de uitkijktoren.
  • Big Tech regelt beheerderstoegang via beleid en logboekregistratie; dat wil zeggen, via beloften.

Toezicht is vanaf een bepaald punt in de levensduur van een platform niet langer optioneel. Gemeenschappen draaien, leden vertrouwen erop, en er gaan dingen mis op alledaagse manieren: een e-mailwachtrij loopt vast, een server wordt oververhit, iemand meldt om twee uur ’s nachts een probleem. Iemand moet kunnen kijken. En op het moment dat je de tool bouwt waarmee ze kunnen kijken, heb je een beslissing genomen over macht, of je dat nu zo bedoelde of niet. De natuurlijke vorm van die tool is de beheerdersconsole, het ‘god-view’, het ene dashboard dat elke tenant ziet. Dat is de vorm van toezicht: één positie van waaruit alles eronder kan worden geobserveerd.

Big Tech bouwt de wachttoren als vanzelfsprekend. De beheerder van een cloudplatform kan de documenten lezen, de berichten openen, de accounts inspecteren. Toegang wordt geregeld door beleid en logboekregistratie in plaats van door architectuur, wat wil zeggen dat het wordt geregeld door beloften. Deze hele serie gaat over waarom een belofte de zwakke vorm van een waarborg is. Onze vraag was dus nooit „hoe kunnen we alles veilig zien”. Het was: „Hoe zien we wat we nodig hebben om het systeem gezond te houden, en niets anders.“

Twee manieren van kijkenEen uitkijktoren kijkt naar de mensen; een controletoren kijkt naar de gezondheid van het systeem.
  • Een luchtverkeersleider houdt vliegtuigen uit elkaar zonder de passagiers te kennen.
  • De cockpit rapporteert de status en de aard van de activiteit — nooit de inhoud ervan.
  • De grens is waar de muur wordt gebouwd, niet een instelling die je moet onthouden.

Een uitkijktoren en een verkeerstoren zijn beide hoge uitkijkpunten, en daar houdt de gelijkenis op. Een uitkijktoren kijkt naar binnen: het is zijn taak om de mensen beneden te observeren, en zijn waarde neemt toe naarmate hij meer van hen ziet. Een verkeerstoren kijkt naar buiten: hij houdt de toestand van het systeem in de gaten, wat er beweegt en wat op het punt staat uit te vallen, zodat hij nooit in de lading hoeft te kijken. Een luchtverkeersleider houdt honderd vliegtuigen uit elkaar zonder te weten of zich iets aan te trekken van wat een passagier doet. Dat is het model dat we hebben overgenomen.

De cockpit rapporteert dus de status van het platform en de omvang van de activiteit, maar de inhoud van die activiteit is voor hem niet zichtbaar. Hij kan een operator melden dat een community deze week drie supportvragen heeft ingediend, dat een mailserver uitvalt, dat de belasting van één tenant stijgt, dat er een bericht is binnengekomen en wat voor soort bericht het is. Hij kan niet laten zien wat een lid aan een ander lid heeft geschreven. De scheiding is daar ingebouwd, zodat de grens niet afhankelijk is van het feit of een beheerder eraan denkt deze te respecteren.

Wat het laat zien, en wat nietDashboards rapporteren aantallen, intenties en de hartslag van het systeem — nooit de woorden van een gebruiker.
  • De stem van leden als volume, waarschuwingen op basis van ernst, correspondentie op basis van soort, systeemstatus.
  • Eén bereikmechanisme bepaalt wat voor wie zichtbaar is.
  • Gehard door adversariale isolatietests — het doorstond 9 van de 9 gevallen.

De cockpit is samengesteld uit een kleine reeks panelen, die elk een soort status of een telling weergeven, nooit inhoud:

  • De stem van de leden: hoeveel feedback er binnenkomt, niet wat iemand in vertrouwen heeft verteld.
  • Operationele waarschuwingen: gesorteerd op ernst.
  • Inkomende correspondentie: het soort zaken dat is binnengekomen, zonder het te openen.
  • Governance: de gezondheid van het raamwerk zelf.
  • Puls: de fysieke toestand van het systeem — servers, database, inferentie, back-ups, wachtrijen.

Lees het bord van boven naar beneden en je weet hoe het platform presteert. Je komt niets te weten waarmee je een persoon zou kunnen bespioneren, omdat die informatie nooit op het bord terechtkomt.

Daaronder bevindt zich het minst glamoureuze deel, dat het echte werk doet: een enkel mechanisme dat voor iedereen die kijkt bepaalt wat er überhaupt voor hen binnen het bereik valt. We hebben het gehard zoals je een slot hardt, door het aan te vallen. Een reeks vijandige isolatietests zette een moderator van de ene gemeenschap tegen de muur van een andere, en een lagere laag tegen de klim naar een hogere. Het hield stand in negen van de negen gevallen. „Gemeenschappen zijn geïsoleerd” is het soort zin dat elk platform zegt. Wat telt is of iemand opzettelijk heeft geprobeerd het te doorbreken en heeft opgeschreven wat er gebeurde.

A high-country lake below snow peaks at dusk, Aotearoa New ZealandHoogte verbreedt het zicht op het systeem, niet dat van de persoon.Aotearoa Nieuw-Zeeland · © My Digital Sovereignty
Hoe hoger je zit, hoe minder je zietNaarmate je hoger komt, wordt het zicht op het systeem breder; het zicht op het individu wordt smaller.
  • Een moderator ziet zijn eigen community; een distributeur ziet alleen de metadata van zijn communities.
  • De platformbeheerder ziet minder van een individu dan de moderator twee niveaus lager.
  • Schaalgrootte is geen vrijbrief om te surveilleren — het ontwerp legt dit in zijn opbouw vast.

De omkering die er het meest toe doet, loopt haaks op hoe toezicht normaal gesproken werkt. In de gebruikelijke piramide nemen autoriteit en zichtbaarheid samen toe: hoe hoger je functie, hoe meer je ziet, totdat iemand aan de top alles ziet. De cockpit van The Village is voor individuen juist andersom opgebouwd. Er zijn drie uitkijkpunten:

  • De eigenaar of moderator van een community ziet zijn eigen community: de mensen waarvoor hij verantwoordelijk is, en de inhoud die zijn rol al toestaat.
  • Een geaccrediteerde distributeur die een reeks gemeenschappen inricht en ondersteunt, ziet die gemeenschappen alleen als metadata en status — hoe het met elke gemeenschap gaat, wat aandacht nodig heeft, de toestand van hun infrastructuur. Nooit de inhoud van leden, nooit binnen een enkele gemeenschap.
  • De platformbeheerder ziet het hele domein als een overkoepelend geheel van status en segmenten, en ziet minder van een individuele persoon dan de moderator twee niveaus lager.

De zichtbaarheid van het systeem wordt groter naarmate je hoger komt; de zichtbaarheid van het individu wordt kleiner. De enige persoon wiens inhoud iedereen kan zien, is degene die het dichtst bij hen staat, in hun eigen gemeenschap, en alleen omdat hun rol die verantwoordelijkheid al met zich meebrengt. Beklim de structuur en je ruilt intimiteit in voor hoogte. Schaalgrootte is geen vrijbrief om te surveilleren.

A weathered bench looking out over rolling farmland, Aotearoa New ZealandEen uitkijkpunt dat alleen toont.Aotearoa Nieuw-Zeeland · © My Digital Sovereignty
Oppervlakken die hun eigen beperkingen opleggenElke plek waar toezicht plaatsvindt, draagt zijn beperking in de hardware, niet alleen in de regels.
  • Het wallboard is per definitie alleen-lezen — apparaatgebonden token, geen actiecontroles.
  • De tablet van de operator vereist een nieuwe authenticatie voordat er actie kan worden ondernomen.
  • Ingelogd zijn is nooit hetzelfde als kunnen handelen.

Toezicht moet ergens fysiek plaatsvinden, en elke plek waar we het plaatsen, kent zijn eigen beperkingen in de hardware, niet alleen in de software. Het staande display, een wandpaneel dat op een scherm aan de muur draait, is alleen-lezen: het draait op een apparaatgebonden token dat automatisch verloopt en heeft helemaal geen bedieningsmogelijkheden. Je kunt er niets mee doen omdat er niets op staat waarmee je iets kunt doen. Waar actie wel mogelijk is, op de beveiligde tablet van de operator die via een privénetwerk wordt bereikt, is eerst een nieuwe versterkte authenticatie nodig. Ingelogd zijn is nooit hetzelfde als kunnen handelen. De beperking is een eigenschap van het oppervlak waar de operator vóór staat.

A rain squall sweeping over farmland toward the sea, Aotearoa New ZealandWe hebben de poort gebouwd vóór de aandrijving.Aotearoa Nieuw-Zeeland · © My Digital Sovereignty
Wat we bewust niet hebben ingeschakeldWe hebben de poort vóór de aandrijving gebouwd — de actielaag is bewust inactief.
  • De cockpit kan routinematige oplossingen voorstellen; de uitvoerende onderdelen worden achter een uitschakelaar verborgen gehouden.
  • Voorgestelde acties wachten in een wachtrij tot een mens ze goedkeurt.
  • De hele cockpit staat standaard uitgeschakeld — zolang deze niet is ingeschakeld, zijn de routes er niet.

Simpel gezegd: de cockpit bevat ook de basis van een actielayer, een manier om routinematige correcties voor te stellen en uit te voeren, zoals het opnieuw verzenden van een mislukte e-mail of het corrigeren van een verouderd antwoord. We hebben die laag gebouwd om voorstellen te doen, niet om uit te voeren. Een voorgestelde actie komt in een wachtrij terecht totdat een mens deze goedkeurt, en de onderdelen die de actie zouden uitvoeren zijn inactief, vastgehouden achter een vlag die is uitgeschakeld. De hele cockpit bevindt zich achter een schakelaar die standaard is uitgeschakeld; waar deze niet is ingeschakeld, zijn de routes simpelweg niet aanwezig.

We zeggen dit ronduit omdat de serie dit vereist, en omdat de terughoudendheid juist de kern is. We hebben de poort gebouwd vóór de aandrijving. Een toezichtsysteem dat op eigen houtje in verschillende gemeenschappen zou kunnen optreden, voordat de mechanismen die elke actie door mensen goedgekeurd en binnen bepaalde grenzen houden, bewezen waren, zou de wachttoren zijn die we juist niet wilden bouwen. Dus het waarnemen kwam eerst, het voorstellen daarna, en het handelen wacht achter een poort die een mens opent of gesloten laat. Een model kan een oplossing voorstellen; een operator keurt deze goed. Die volgorde is dezelfde grens waar elk essay hier op terugkomt, toegepast op de mensen die het platform beheren in plaats van de mensen die het gebruiken.

Waarom dit het tegenovergestelde is van wat het vervangtToezicht dat de grenzen respecteert die het oplegt, is het enige soort dat een platform zonder bewaking kan gebruiken.
  • De console van Big Tech scheidt toezicht en bewaking alleen door middel van regels.
  • De cockpit houdt het systeem in de gaten, zodat het nooit naar de mensen hoeft te kijken.
  • De uitkijktoren ziet iedereen om het systeem te controleren; de verkeerstoren hoeft dat nooit te doen.

Zet de twee architecturen naast elkaar. De administratieve console van een groot cloudplatform is, in wezen, een uitkijktoren: een verhoogde positie van waaruit, onder voorbehoud van beleid en logboekregistratie, de inhoud eronder kan worden gelezen. Toezicht en bewaking zijn daar hetzelfde instrument, alleen gescheiden door regels over wanneer het moet worden gericht. De cockpit van The Village houdt de gezondheid van het systeem zo nauwlettend in de gaten dat het nooit naar de mensen hoeft te kijken, en het observeren van mensen is geen mogelijkheid die de architectuur biedt.

Dat is dezelfde afweging die de serie beschrijft, gezien vanuit de stoel van de operator. De gemeenschap is eigenaar van haar eigen gegevens, en de operator kan deze niet inzien. De gemeenschap beheert een model dat van haar is, en de beheerder houdt toezicht op het platform, niet op de gesprekken. Toezicht dat de grenzen respecteert die het handhaaft, is het enige soort dat past bij een platform dat is gebouwd op het principe dat de mensen erop niet het product zijn. De wachttoren ziet iedereen om het systeem te controleren. De verkeerstoren houdt het systeem in de gaten, zodat deze nooit iemand hoeft te zien. We hebben de tweede gebouwd en de eerste met opzet niet gebouwd.

The Village is een werkend systeem, geen brochure — bekijk het op mysovereignty.digital, en zie hoe het toezicht is afgebakend voor eigenaren en moderators in de briefing voor de beheerder. De hier beschreven cockpit van de beheerder is gebouwd en wordt in gebruik genomen achter een functieschakelaar; de actielaag is inactief en houdt voorgestelde oplossingen vast ter goedkeuring door mensen, in plaats van ze uit te voeren. De isolatie die elk gezichtspunt binnen zijn eigen bereik houdt, is onder adversariale omstandigheden getest. — John G. Stroh, My Digital Sovereignty Ltd., juni 2026.