À medida que as tecnologias de IA se tornam amplamente implantadas, tornam-se também alvos dos cibercriminosos. As agências de cibersegurança do Reino Unido e dos EUA desenvolveram novas directrizes sobre como tornar a IA mais segura.
O objetivo declarado de as directrizes é permitir que as empresas de IA "criem sistemas de IA que funcionem como pretendido, estejam disponíveis quando necessário e trabalhem sem revelar dados sensíveis a partes não autorizadas".
Basicamente, como garantir que a sua IA não pode ser desviada ou entregar dados privados do utilizador.
As directrizes enumeram os princípios de conceção que devem orientar o desenvolvimento de produtos de IA ao longo do ciclo de vida do desenvolvimento. As quatro áreas-chave abordadas são apresentadas em resumo:
- Conceção segura
Avaliar os riscos e modelar as ameaças durante a fase de conceção. - Desenvolvimento seguro
Faça a gestão da sua cadeia de fornecimento, documentação e activos digitais de uma forma segura enquanto constrói o seu produto. Se tomar atalhos pouco seguros, não se esqueça de voltar atrás e corrigi-los. - Implantação segura
Quando der aos utilizadores acesso ao seu produto, certifique-se de que não podem aceder a partes sensíveis através da API ou de outros meios. Só implantar após uma equipa vermelha e testes rigorosos. - Operação e manutenção seguras
Monitorize o seu produto, lance actualizações cuidadosamente e não guarde segredo quando as coisas correrem mal.
As orientações são pouco pormenorizadas do ponto de vista técnico no que se refere à sua aplicação, mas constituem um bom começo. Para além do Reino Unido e dos EUA, mais 16 países subscreveram as orientações.
A lista completa dos signatários é a seguinte:
Austrália, Canadá, Chile, República Checa, Estónia, França, Alemanha, Israel, Itália, Japão, Nova Zelândia, Nigéria, Noruega, Polónia, República da Coreia, Singapura, Reino Unido, Estados Unidos da América.
A China e a Rússia, provavelmente as fontes mais importantes de ataques cibernéticos nos países ocidentais.
As directrizes não são vinculativas, pelo que os países que aprovaram o documento estão apenas a dizer: "Pensamos que estes são alguns bons princípios de conceção de IA a seguir". Além disso, apesar de o Reino Unido estar na vanguarda destes esforços, afirmou que não irá aplicar qualquer nova legislação sobre o desenvolvimento da IA num futuro próximo.
É do interesse dos países tornar os seus produtos de IA tão seguros quanto possível, mas resta saber se isso é possível ou não. As vulnerabilidades de dia zero em software e sistemas comerciais parecem ser uma ocorrência quotidiana.
Com relatórios regulares sobre desbloqueio explorações dos sistemas de IA, será razoável esperar que estes novos modelos possam ser devidamente protegidos contra ciberataques?
Os perigos imaginados, ou previstos, da IA são uma potencial ameaça futura. Os cibercriminosos, que sem dúvida estão atualmente a sondar as vulnerabilidades da IA, são um perigo mais claro e presente.
