En un resultado positivo para los investigadores que prueban la seguridad de los sistemas y modelos de IA, la Biblioteca del Congreso de Estados Unidos dictaminó que ciertos tipos de actividades ofensivas (como la inyección rápida y la evasión de los límites de velocidad) no violan la Ley de Derechos de Autor del Milenio Digital (DMCA), una ley utilizada en el pasado por las empresas de software para rechazar las investigaciones de seguridad no deseadas.
Sin embargo, la Biblioteca del Congreso se negó a crear una exención para los investigadores de seguridad bajo las disposiciones de uso justo de la ley, argumentando que una exención no sería suficiente para brindarles un refugio seguro.
En general, la actualización trienal del marco legal en torno a los derechos de autor digitales favorece a los investigadores de seguridad, como también lo hace el contar con pautas más claras sobre lo que está permitido, dice Casey Ellis, fundador y asesor del servicio de pruebas de penetración colaborativas BugCrowd.
“Es importante aclarar este tipo de cuestiones y asegurarse de que los investigadores de seguridad trabajen en un entorno lo más favorable y transparente posible, independientemente de la tecnología”, afirma. “De lo contrario, acabarás en una posición en la que los propietarios de los [grandes modelos de lenguaje], o los que los implementan, son los que acaban teniendo todo el poder para controlar básicamente si se lleva a cabo o no la investigación de seguridad en primer lugar, y eso se traduce en un mal resultado de seguridad para el usuario”.
Los investigadores de seguridad han obtenido cada vez más protecciones, ganadas con mucho esfuerzo, contra el enjuiciamiento y las demandas por realizar investigaciones legítimas. En 2022, por ejemplo, el Departamento de Justicia de EE. UU. declaró que Sus fiscales no acusarían a los investigadores de seguridad de violar la Ley de Abuso y Fraude Informático (CFAA) si no causaron daño y realizaron la investigación de buena fe. Las empresas que demandan a los investigadores son regularmente humilladas y grupos como El Fondo de Investigación Jurídica de Seguridad y el Consejo de Política de Piratería Proporcionar recursos y defensas adicionales a los investigadores de seguridad presionados por las grandes empresas.
En una publicación en su sitio, el Centro de Política y Derecho de Ciberseguridad llamó a la Aclaraciones de la Oficina de Derechos de Autor de Estados Unidos “Una victoria parcial” para los investigadores de seguridad: ofrece más claridad, pero no una protección legal. La Oficina de Derechos de Autor está organizada bajo la supervisión de la Biblioteca del Congreso.
“La brecha en la protección legal para la investigación en IA fue confirmada por las agencias de aplicación de la ley y reguladoras como la Oficina de Derechos de Autor y el Departamento de Justicia, pero la investigación en IA de buena fe sigue careciendo de un puerto seguro legal claro”. El grupo declaró“Otras técnicas de investigación de confiabilidad de la IA aún pueden correr el riesgo de ser objeto de responsabilidad en virtud de la Sección 1201 de la DMCA, así como otras leyes contra la piratería informática, como la Ley de Abuso y Fraude Informático”.
Un nuevo y valiente mundo legal
La rápida adopción de sistemas de inteligencia artificial generativa y algoritmos basados en big data se ha convertido en un importante factor disruptivo en el sector de la tecnología de la información. Dado que muchos modelos de lenguaje de gran tamaño (LLM) se basan en la ingesta masiva de información protegida por derechos de autor, el marco legal para los sistemas de inteligencia artificial comenzó con una base débil.
Para los investigadores, la experiencia pasada proporciona ejemplos escalofriantes de lo que podría salir mal, dice Ellis de BugCrowd.
“Dado que se trata de un espacio tan nuevo, y algunos de los límites son mucho más difusos que en la TI tradicional, la falta de claridad básicamente siempre se convierte en un efecto paralizante”, afirma. “Para las personas que son conscientes de esto, y muchos investigadores de seguridad son bastante conscientes de asegurarse de no infringir la ley mientras hacen su trabajo, esto ha dado lugar a un montón de preguntas que surgen de la comunidad”.
El Centro de Políticas y Leyes de Ciberseguridad y el Consejo de Políticas de Hacking propusieron que los equipos rojos y las pruebas de penetración con el fin de probar la seguridad y protección de la IA estuvieran exentos de la DMCA, pero el Bibliotecario del Congreso recomendó denegar la exención propuesta.
La Oficina de Derechos de Autor “reconoce la importancia de la investigación sobre la confiabilidad de la IA como una cuestión de política y señala que el Congreso y otras agencias pueden estar mejor posicionados para actuar sobre este tema emergente”. La entrada del Registro indicaba, y agregó que “los efectos adversos identificados por los proponentes surgen del control de terceros de las plataformas en línea en lugar del funcionamiento de la sección 1201, por lo que una exención no mejoraría sus preocupaciones”.
No hay vuelta atrás
Con las grandes empresas invirtiendo enormes sumas de dinero en el entrenamiento de los próximos modelos de IA, los investigadores de seguridad podrían encontrarse en la mira de algunos con mucho dinero. Afortunadamente, la comunidad de seguridad ha establecido prácticas bastante bien definidas para gestionar las vulnerabilidades, afirma Ellis de BugCrowd.
“La idea de que la investigación en materia de seguridad es algo positivo es algo que ahora es bastante común… de modo que el primer instinto de quienes implementan una nueva tecnología no es el de provocar un gran revuelo como en el pasado”, afirma. “Las cartas de cese y desistimiento y [otras comunicaciones] se han enviado y recibido de forma mucho más silenciosa y el volumen ha sido bastante bajo”.
En muchos sentidos, los evaluadores de penetración y los equipos rojos se centran en los problemas equivocados. El mayor desafío en este momento es superar la exageración y la desinformación sobre las capacidades y la seguridad de la IA, afirma Gary McGraw, fundador del Instituto Berryville de Aprendizaje Automático (BIML) y especialista en seguridad de software. El objetivo de los equipos rojos es encontrar problemas, no ser un enfoque proactivo en materia de seguridad, afirma.
“Tal como están diseñados hoy, los sistemas de ML tienen fallas que pueden ser expuestas mediante hackers, pero no pueden ser reparadas mediante hackers”, afirma.
Las empresas deberían centrarse en encontrar formas de producir LLM que no fallen en la presentación de hechos —es decir, que no “alucinen”— o que sean vulnerables a una inyección rápida, dice McGraw.
“No vamos a utilizar equipos rojos ni pruebas de penetración para lograr la confiabilidad de la IA: la verdadera forma de asegurar el aprendizaje automático es a nivel de diseño, con un fuerte enfoque en los datos de entrenamiento, la representación y la evaluación”, afirma. “Las pruebas de penetración tienen un gran atractivo sexual, pero una efectividad limitada”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cyber-risk/library-congress-ai-legal-guidance-researchers