A medida que las tecnologías de IA se generalizan, también se convierten en objetivo de los ciberdelincuentes. Las agencias de ciberseguridad del Reino Unido y Estados Unidos han elaborado nuevas directrices para aumentar la seguridad de la IA.
El objetivo declarado de las directrices es permitir a las empresas de IA "construir sistemas de IA que funcionen según lo previsto, estén disponibles cuando se necesiten y funcionen sin revelar datos sensibles a partes no autorizadas."
Básicamente, cómo asegurarse de que su IA no puede ser secuestrada ni entregar datos privados de los usuarios.
Las directrices enumeran los principios de diseño que deben guiar el desarrollo de productos de IA a lo largo de todo el ciclo de vida de desarrollo. En resumen, se abordan las cuatro áreas clave:
- Diseño seguro
Evaluar los riesgos y elaborar modelos de amenazas durante la fase de diseño. - Desarrollo seguro
Gestione su cadena de suministro, documentación y activos digitales de forma segura mientras construye su producto. Si tomas atajos inseguros, asegúrate de volver atrás y corregirlos. - Despliegue seguro
Cuando dé acceso a los usuarios a su producto, asegúrese de que no puedan acceder a partes sensibles a través de la API u otros medios. Impleméntalo solo después de someterlo a pruebas rigurosas. - Funcionamiento y mantenimiento seguros
Supervise su producto, lance las actualizaciones con cuidado y no mantenga en secreto cuando las cosas vayan mal.
Las directrices son poco detalladas desde el punto de vista técnico, pero constituyen un buen comienzo. Además del Reino Unido y Estados Unidos, otros 16 países han suscrito las directrices.
La lista completa de firmantes es la siguiente
Alemania, Australia, Canadá, Chile, Chequia, Estados Unidos de América, Estonia, Francia, Israel, Italia, Japón, Nigeria, Noruega, Nueva Zelanda, Polonia, Reino Unido, República de Corea, Singapur.
China y Rusia, probablemente las fuentes más importantes de importaciones, están notablemente ausentes de la lista. ciberataques en los países occidentales.
Las directrices no son vinculantes, por lo que los países que han suscrito el documento se limitan a decir: "Creemos que estos son unos buenos principios de diseño de la IA a los que hay que atenerse". Además, a pesar de que el Reino Unido está a la vanguardia de estos esfuerzos, ha dicho que no aplicará ninguna nueva legislación sobre el desarrollo de la IA en un futuro próximo.
A los países les interesa que sus productos de IA sean lo más seguros posible, pero aún está por ver si es posible o no. Las vulnerabilidades de día cero en software y sistemas comerciales parecen cosa de todos los días.
Con informes periódicos sobre jailbreaking exploits de los sistemas de IA, ¿es razonable esperar que estos nuevos modelos puedan protegerse adecuadamente de los ciberataques?
Los peligros imaginados, o previstos, de la IA son una amenaza potencial futura. Los ciberdelincuentes, que sin duda están sondeando actualmente las vulnerabilidades de la IA, son un peligro más claro y presente.