ארצות הברית, בריטניה ו-16 מדינות נוספות רוצות לשמור על אבטחת הפיתוח של מערכות בינה מלאכותית, אך מסגרת שהונפקה על ידי הקבוצה מציעה המלצות שכל ישר, וחסרות נקודות פעולה מוצקות.
הוצג ביום ראשון על ידי הסוכנות האמריקאית לאבטחת סייבר ותשתיות ומרכז אבטחת הסייבר הלאומי של בריטניה, "ההנחיות לפיתוח מערכות בינה מלאכותית מאובטחות הוא מסמך המייעץ בפיתוח מערכות בינה מלאכותית.
הכוונה היא לעזור למפתחי מערכות המשתמשות ב-AI כדי "לקבל החלטות מושכלות בנושא אבטחת סייבר בכל שלב בתהליך הפיתוח".מסביר CISA. הם גם מספקים המלצות ש"מדגישות את החשיבות של הקפדה על עקרונות Secure by Design".
ההנחיות נוצרו בשיתוף עם 22 סוכנויות אבטחה נוספות ברחבי העולם, כמו גם תרומות מחברות שונות המעורבות בנוף ה-AI. הרשימה כוללת את אמזון, גוגל, יבמ, מיקרוסופט, OpenAI ו-Plantir, אך אפל אינה מוזכרת בתודות, למרותהיסטוריה של העבודהבשטח.
"אנחנו נמצאים בנקודת פיתול בפיתוח של בינה מלאכותית, שעשויה להיות הטכנולוגיה המשמעותית ביותר של זמננו. אבטחת סייבר היא המפתח לבניית מערכות בינה מלאכותית שהן בטוחות, מאובטחות ומהימנות", לדברי השר לביטחון פנים אלחנדרו. נ' מאיורקס. "על ידי שילוב עקרונות מאובטח לפי עיצוב, קווים מנחים אלה מייצגים הסכם היסטורי שהמפתחים חייבים להשקיע בו, תוך הגנה על הלקוחות בכל שלב בתכנון ופיתוח המערכת."
Mayorkas המשיך והוסיף "באמצעות פעולה גלובלית כמו הנחיות אלו, אנו יכולים להוביל את העולם בניצול היתרונות תוך התייחסות לנזקים הפוטנציאליים של הטכנולוגיה החלוצית הזו".
"אנחנו יודעים שבינה מלאכותית מתפתחת בקצב פנומנלי ויש צורך בפעולה בינלאומית מרוכזת, בין ממשלות ותעשייה, כדי לעמוד בקצב", אמרה מנכ"לית NCSC, לינדי קמרון. "הנחיות אלו מסמנות צעד משמעותי בעיצוב הבנה גלובלית ומשותף באמת של סיכוני הסייבר ואסטרטגיות הפחתת הבינה המלאכותית על מנת להבטיח שהאבטחה אינה בגדר המשך לפיתוח אלא דרישה מרכזית לאורך כל הדרך.
ההנחיות
מונח בקובץ PDF בן 20 עמודים המארח אתאתר NCSC, ההנחיות מחולקות לארבעה תחומי דאגה.
עבור עיצוב מאובטח, ההנחיות מכסות הבנת סיכונים ומידול איומים, יחד עם דיון נוסף על פשרות לתכנון מערכת ומודל. Secure Development עוסקת באבטחת שרשרת האספקה, תיעוד וניהול נכסים וחובות טכניים.
פריסה מאובטחת נכנסת לתחום של הגנה על תשתיות ומודלים מפני פשרות, איום או אובדן ותהליכי ניהול אירועים. לבסוף, תפעול ותחזוקה מאובטחים מטפל בפעולות שלאחר הפריסה, כגון רישום, ניטור, עדכון ושיתוף מידע.
גרנדיוזי ולא יעיל
ההקדמה של הנחיות מסוכנויות אבטחה על נושא עם כפתורים חמים כמו AI נשמעת חשובה. הרעיון חשוב, אבל המסמך אפילו לא מהווה בסיס טוב.
כל אלה הם הנחיות, לא כללים שיש לציית להם. חברות המפתחות מערכות בינה מלאכותיות משלהן יכולות לקרוא את המסמך, אך אין להן מחויבות ליישם כל דבר ממנו בפועל.
אין עונשים על אי ציות למה שמתואר, ואין הכנסת חוקים. המסמך הוא רק רשימת משאלות של דברים שממשלות רוצות שיצרני בינה מלאכותית יחשבו עליהם באמת.
כמו במקרה של מסגרות כאלה שמציעות הדרכה, אין ערובה שמישהו אכן יקבל את ההמלצות בכלל. וגם, לא ברור מתי או אם תגיע חקיקה שתחייב את מה שכתוב במסמך.
עם זאת, החברות שעובדות על AI כבר כמעט בוודאות לוקחות בחשבון חששות אבטחה בעת פיתוח המוצרים שלהן. לאור החשיבות הפוטנציאלית של AI בעתיד, והסיכוי שייעשה בו שימוש לרעה או תקיפה, מפתחים רבים כבר מוסיפים אמצעי אבטחה.
המסגרת הבין-סוכנויות החדשה בהחלט מציעה הדרכה בשכל הישר ליצרני בינה מלאכותית, אבל מידע שסביר להניח שמפתחים יתעלמו ממנו על ידי מפתחים שכבר מודעים היטב לצורך באבטחה.
