Con el rápido desarrollo de la tecnología de inteligencia artificial, especialmente los grandes modelos de lenguaje (LLM), sus problemas de seguridad se han vuelto cada vez más prominentes. Sin embargo, las leyes y regulaciones existentes, especialmente la Ley de Abuso y Fraude Informático (CFAA) de los Estados Unidos, son insuficientes para abordar los riesgos legales en la investigación de seguridad de la IA. Académicos de la Universidad de Harvard señalaron recientemente en la Conferencia Black Hat que la CFAA no logró proteger eficazmente a los investigadores de seguridad de la IA y, en cambio, puede exponerlos a riesgos legales, lo que provocó una atención y un debate generalizados en la industria sobre el marco legal para la investigación de la seguridad de la IA. Este artículo proporcionará un análisis en profundidad de esto.
Hoy en día, con el rápido desarrollo de la tecnología moderna, la inteligencia artificial, especialmente los grandes modelos de lenguaje (LLM), se está convirtiendo gradualmente en el centro de atención. Sin embargo, las leyes de ciberseguridad de Estados Unidos parecen no estar a la altura de este campo que cambia rápidamente. Recientemente, un grupo de académicos de la Universidad de Harvard señaló en la Conferencia Black Hat que la actual Ley de Abuso y Fraude Informático (CFAA) no protege eficazmente a quienes participan en la investigación de seguridad de la IA y, en cambio, puede exponerlos a riesgos legales.
Nota sobre la fuente de la imagen: la imagen es generada por IA y el proveedor de servicios de autorización de imágenes Midjourney
Estos académicos incluyen a Kendra Albert, Ram Shankar Siva Kumar y Jonathon Penney de la Facultad de Derecho de Harvard. Albert mencionó en una entrevista que las leyes existentes no definen claramente comportamientos como los "ataques de inyección de pistas", lo que dificulta que los investigadores juzguen si sus acciones violan la ley. Dijo que si bien algunas acciones, como acceder a modelos sin permiso, son claramente ilegales, también se vuelve borroso si los investigadores que han obtenido acceso a sistemas de inteligencia artificial están utilizando esos modelos de maneras que no pretendían.
En 2021, el caso Van Buren v. Estados Unidos de la Corte Suprema de Estados Unidos cambió la interpretación de la CFAA, estipulando que la ley solo se aplica a quienes tienen acceso no autorizado a la información dentro de una computadora. Este veredicto tiene sentido en los sistemas informáticos tradicionales, pero se queda corto cuando se trata de modelos de lenguaje grandes. Albert señaló que el uso de lenguaje natural para interactuar con la IA complica esta definición legal y, muchas veces, la respuesta de la IA no equivale a recuperar información de la base de datos.
Al mismo tiempo, Sivakumar también mencionó que las discusiones legales sobre la investigación de seguridad de la IA han recibido mucha menos atención que cuestiones como los derechos de autor, y él mismo no está seguro de si estará protegido al realizar ciertas pruebas de ataque. Albert dijo que, dada la incertidumbre de la ley existente, esta cuestión podría aclararse mediante un litigio ante los tribunales en el futuro, pero en la actualidad, muchos investigadores "bien intencionados" se sienten perdidos.
En este entorno legal, Albert aconseja a los investigadores de seguridad que busquen apoyo legal para garantizar que sus acciones no violen la ley. También le preocupa que disposiciones legales vagas puedan asustar a posibles investigadores y permitir que atacantes malintencionados se salgan con la suya, creando mayores riesgos de seguridad.
Destacar:
La Ley de Abuso y Fraude Informático de EE. UU. brinda protección insuficiente a los investigadores de seguridad de IA y puede enfrentar riesgos legales.
Las leyes actuales carecen de definiciones claras para acciones como los ataques de inyección de propinas, lo que dificulta a los investigadores determinar la legalidad.
Los académicos creen que en el futuro podrían ser necesarios procedimientos judiciales para aclarar las disposiciones legales pertinentes y proteger a los investigadores de buena fe.
En definitiva, los dilemas legales en el campo de la investigación de seguridad de la IA requieren atención. En vista de las características de los grandes modelos de lenguaje, es necesario formular leyes y regulaciones más claras y específicas para proteger los derechos e intereses de los investigadores legítimos, promover el desarrollo saludable de la investigación de seguridad de la IA y combatir eficazmente los ataques maliciosos. Sólo así podremos garantizar el desarrollo saludable de la tecnología de inteligencia artificial y beneficiar a toda la humanidad.