Man mano che le tecnologie AI si diffondono, diventano anche bersaglio dei criminali informatici. Le agenzie di sicurezza informatica del Regno Unito e degli Stati Uniti hanno sviluppato nuove linee guida su come rendere l'IA più sicura.
L'obiettivo dichiarato di le linee guida è quello di consentire alle aziende di IA di "costruire sistemi di IA che funzionino come previsto, siano disponibili quando necessario e lavorino senza rivelare dati sensibili a parti non autorizzate".
In pratica, come assicurarsi che la vostra IA non possa essere dirottata o consegnare i dati privati degli utenti.
Le linee guida elencano i principi di progettazione che dovrebbero guidare lo sviluppo di prodotti di IA durante l'intero ciclo di vita. Le quattro aree chiave affrontate sono in sintesi:
- Design sicuro
Valutare il rischio e modellare le minacce durante la fase di progettazione. - Sviluppo sicuro
Gestite la catena di fornitura, la documentazione e le risorse digitali in modo sicuro durante la realizzazione del prodotto. Se prendete scorciatoie non sicure, assicuratevi di tornare indietro e correggerle. - Distribuzione sicura
Quando date agli utenti l'accesso al vostro prodotto, assicuratevi che non possano accedere a parti sensibili tramite l'API o altri mezzi. Distribuite il prodotto solo dopo un rigoroso red teaming e test. - Funzionamento e manutenzione sicuri
Monitorate il vostro prodotto, distribuite gli aggiornamenti con attenzione e non nascondete quando le cose vanno male.
Le linee guida sono poco dettagliate dal punto di vista tecnico, ma sono un buon inizio. Oltre al Regno Unito e agli Stati Uniti, altri 16 Paesi hanno approvato le linee guida.
L'elenco completo dei firmatari è il seguente:
Australia, Canada, Cile, Estonia, Francia, Germania, Israele, Italia, Giappone, Nuova Zelanda, Nigeria, Norvegia, Polonia, Repubblica di Corea, Singapore, Regno Unito, Stati Uniti d'America.
Dall'elenco mancano in particolare la Cina e la Russia, probabilmente le fonti più significative di attacchi informatici sui Paesi occidentali.
Le linee guida non sono vincolanti, quindi i Paesi che hanno approvato il documento in realtà stanno solo dicendo: "Pensiamo che questi siano dei buoni principi di progettazione dell'IA a cui attenersi". Inoltre, nonostante il Regno Unito sia all'avanguardia in questi sforzi, ha dichiarato che non applicherà alcuna nuova legislazione sullo sviluppo dell'IA nel prossimo futuro.
È nell'interesse dei Paesi rendere i loro prodotti di IA il più sicuri possibile, ma resta da vedere se sia possibile o meno. Le vulnerabilità zero-day nei software e nei sistemi commerciali sembrano essere un evento quotidiano.
Con rapporti regolari su jailbreak exploit dei sistemi di intelligenza artificiale, è ragionevole aspettarsi che questi nuovi modelli possano essere adeguatamente protetti dagli attacchi informatici?
I pericoli immaginati, o previsti, dell'IA sono una potenziale minaccia futura. I criminali informatici, che senza dubbio stanno attualmente sondando le vulnerabilità dell'IA, sono un pericolo più chiaro e presente.
