Gli impegni volontari della Casa Bianca in materia di IA hanno portato a migliori pratiche di red-teaming e filigrane, ma senza alcuna trasparenza o responsabilità significativa.
Un anno fa, il 21 luglio 2023, sette aziende leader nel settore dell’IA – Amazon, Anthropic, Google, Inflection, Meta, Microsoft e OpenAI – si sono impegnate con la Casa Bianca a rispettare una serie di otto impegni volontari su come sviluppare l’IA in modo sicuro e affidabile.
Tra queste, le promesse di migliorare i test e la trasparenza dei sistemi di IA e di condividere le informazioni sui potenziali danni e rischi.
In occasione del primo anniversario degli impegni volontari, MIT Technology Review ha chiesto alle aziende di IA che hanno sottoscritto gli impegni di fornire dettagli sul lavoro svolto finora. Le loro risposte mostrano che il settore tecnologico ha compiuto alcuni progressi apprezzabili, con grandi riserve.
Gli impegni volontari sono arrivati in un momento in cui la mania dell’IA generativa era forse al suo apice, con le aziende che correvano per lanciare i propri modelli e renderli più grandi e migliori di quelli della concorrenza. Allo stesso tempo, abbiamo iniziato ad assistere a sviluppi come le lotte per il copyright e i deepfakes. Una lobby di influenti operatori tecnologici, come Geoffrey Hinton, aveva anche espresso il timore che l’IA potesse rappresentare un rischio esistenziale per l’umanità. Improvvisamente, tutti parlavano dell’urgente necessità di rendere l’IA sicura e le autorità di regolamentazione, ovunque, erano sotto pressione per fare qualcosa al riguardo.
Fino a poco tempo fa, lo sviluppo dell’intelligenza artificiale è stato un far west. Tradizionalmente, gli Stati Uniti sono stati restii a regolamentare i propri giganti tecnologici, affidandosi invece alla loro autoregolamentazione. Gli impegni volontari ne sono un buon esempio: sono state alcune delle prime regole prescrittive per il settore dell’IA negli Stati Uniti, ma rimangono volontarie e non applicabili. La Casa Bianca ha poi emesso un ordine esecutivo che amplia gli impegni e si applica anche ad altre aziende tecnologiche e dipartimenti governativi.
“A distanza di un anno, vediamo alcune buone pratiche nei confronti dei loro prodotti, ma non sono neanche lontanamente al livello necessario in termini di buon governo o di protezione dei diritti in generale”, afferma Merve Hickok, presidente e direttore della ricerca del Center for AI and Digital Policy, che ha esaminato le risposte delle aziende come richiesto da MIT Technology Review. Molte di queste aziende continuano a fare affermazioni infondate sui loro prodotti, come quella di poter sostituire l’intelligenza e le capacità umane, aggiunge Hickok.
Una tendenza emersa dalle risposte delle aziende tecnologiche è che le aziende stanno facendo di più per perseguire soluzioni tecniche come il red-teaming (in cui gli esseri umani sondano i modelli di IA alla ricerca di difetti) e i watermark per i contenuti generati dall’IA.
Ma non è chiaro quali siano gli impegni cambiati e se le aziende avrebbero comunque attuato queste misure, afferma Rishi Bommasani, responsabile della società presso lo Stanford Center for Research on Foundation Models, che ha anche esaminato le risposte per MIT Technology Review.
Un anno è un periodo lungo nell’IA. Da quando sono stati firmati gli impegni volontari, il fondatore di Inflection AI Mustafa Suleyman ha lasciato l’azienda e si è unito a Microsoft per guidare gli sforzi dell’azienda nel campo dell’IA. Inflection ha rifiutato di commentare.
“Siamo grati per i progressi compiuti dalle aziende leader nell’adempimento dei loro impegni volontari, oltre a quelli richiesti dall’ordine esecutivo”, afferma Robyn Patterson, portavoce della Casa Bianca. Ma, aggiunge Patterson, il Presidente continua a chiedere al Congresso di approvare una legislazione bipartisan sull’IA.
In assenza di una legislazione federale completa, il meglio che gli Stati Uniti possono fare in questo momento è chiedere alle aziende di rispettare questi impegni volontari, afferma Brandie Nonnecke, direttore del CITRIS Policy Lab della UC Berkeley.
Ma vale la pena ricordare che “si tratta pur sempre di aziende che essenzialmente scrivono l’esame con cui vengono valutate”, afferma Nonnecke. “Quindi dobbiamo pensare con attenzione se si stanno verificando in modo veramente rigoroso”.
Ecco la nostra valutazione dei progressi compiuti dalle aziende di IA nell’ultimo anno.
Impegno 1
Le aziende si impegnano a testare la sicurezza interna ed esterna dei loro sistemi di IA prima del loro rilascio. Questi test, che saranno condotti in parte da esperti indipendenti, proteggono da alcune delle fonti più significative di rischio dell’IA, come la biosicurezza e la cybersicurezza, oltre che dai suoi effetti sociali più ampi.
Tutte le aziende (esclusa Inflection, che ha scelto di non commentare) affermano di condurre esercitazioni di red-teaming per far sì che tester interni ed esterni sondino i loro modelli alla ricerca di difetti e rischi. OpenAI afferma di avere un team di preparazione separato che testa i modelli per la sicurezza informatica, le minacce chimiche, biologiche, radiologiche e nucleari e per le situazioni in cui un modello di intelligenza artificiale sofisticato può fare o convincere una persona a fare cose che potrebbero causare danni. Anthropic e OpenAI affermano inoltre di condurre questi test con esperti esterni prima di lanciare i loro nuovi modelli. Ad esempio, per il lancio dell’ultimo modello di Anthropic, Claude 3.5, l’azienda ha condotto dei test preliminari con gli esperti dell’AI Safety Institute del Regno Unito. Anthropic ha anche permesso a METR, una società di ricerca senza scopo di lucro, di effettuare una “esplorazione iniziale” delle capacità di Claude 3.5 in termini di autonomia. Google afferma di condurre anche un red-teaming interno per testare i limiti del suo modello, Gemini, in relazione a contenuti elettorali, rischi sociali e problemi di sicurezza nazionale. Microsoft afferma di aver collaborato con valutatori terzi di NewsGuard, un’organizzazione che promuove l’integrità giornalistica, per valutare i rischi e mitigare il rischio di deepfake abusivi nello strumento text-to-image di Microsoft. Oltre al red-teaming, Meta ha valutato il suo ultimo modello, Llama 3, per capire le sue prestazioni in una serie di aree di rischio come le armi, i cyberattacchi e lo sfruttamento dei bambini.
Ma quando si tratta di test, non è sufficiente dichiarare che un’azienda sta adottando delle azioni, afferma Bommasani. Ad esempio, Amazon e Anthropic hanno dichiarato di aver collaborato con l’organizzazione no-profit Thorn per combattere i rischi per la sicurezza dei bambini posti dall’IA. Bommasani avrebbe voluto vedere maggiori dettagli su come gli interventi che le aziende stanno attuando riducono effettivamente tali rischi.
“Dovrebbe essere chiaro che non è solo che le aziende stanno facendo delle cose, ma che queste cose stanno avendo l’effetto desiderato”, afferma Bommasani.
RISULTATO: buono. La spinta al red-teaming e alla verifica di un’ampia gamma di rischi è buona e importante. Tuttavia, Hickok avrebbe voluto che i ricercatori indipendenti avessero un accesso più ampio ai modelli delle aziende.
Impegno 2
Le aziende si impegnano a condividere le informazioni tra gli operatori del settore e con i governi, la società civile e il mondo accademico sulla gestione dei rischi legati all’IA. Ciò include le migliori pratiche per la sicurezza, le informazioni sui tentativi di eludere le protezioni e la collaborazione tecnica.
Dopo aver firmato gli impegni, Anthropic, Google, Microsoft e OpenAI hanno fondato il Frontier Model Forum, un’associazione senza scopo di lucro che mira a facilitare le discussioni e le azioni sulla sicurezza e la responsabilità dell’IA. Hanno aderito anche Amazon e Meta.
Impegnarsi con organizzazioni non profit finanziate dalle stesse aziende di IA potrebbe non essere nello spirito degli impegni volontari, afferma Bommasani. Ma il Frontier Model Forum potrebbe essere un modo per queste aziende di cooperare tra loro e di trasmettere informazioni sulla sicurezza, cosa che normalmente non potrebbero fare come concorrenti, aggiunge.
“Anche se non saranno trasparenti al pubblico, una cosa che si potrebbe desiderare è che almeno trovino collettivamente delle mitigazioni per ridurre effettivamente il rischio”, dice Bommasani.
Tutti i sette firmatari fanno anche parte dell’Artificial Intelligence Safety Institute Consortium (AISIC), istituito dal National Institute of Standards and Technology (NIST), che sviluppa linee guida e standard per la politica e la valutazione delle prestazioni dell’IA. Si tratta di un grande consorzio composto da un mix di attori del settore pubblico e privato. Anche Google, Microsoft e OpenAI hanno rappresentanti nell’organo consultivo di alto livello sull’intelligenza artificiale delle Nazioni Unite.
Molti laboratori hanno anche evidenziato le loro collaborazioni di ricerca con il mondo accademico. Ad esempio, Google fa parte di MLCommons, dove ha lavorato con gli accademici su un benchmark di sicurezza dell’IA intersettoriale. Google afferma inoltre di contribuire attivamente con strumenti e risorse, come il credito di calcolo, a progetti come il National Science Foundation’s National AI Research Resource pilot, che mira a democratizzare la ricerca sull’IA negli Stati Uniti.
Molte delle aziende hanno anche contribuito alla guida della Partnership on AI, un’altra organizzazione no-profit fondata da Amazon, Facebook, Google, DeepMind, Microsoft e IBM, sulla diffusione dei modelli di fondazione.
RISULTATO: è necessario lavorare ancora. Una maggiore condivisione delle informazioni è un passo positivo, in quanto il settore cerca di rendere collettivamente i sistemi di IA sicuri e affidabili. Tuttavia, non è chiaro quanto dell’impegno pubblicizzato porterà effettivamente a cambiamenti significativi e quanto invece si tratti di un’operazione di facciata.
Impegno 3
Le aziende si impegnano a investire nella cybersecurity e nelle misure di sicurezza contro le minacce interne per proteggere le reti neurali dei modelli proprietari e non ancora rilasciati. Queste codici dei modelli sono la parte più essenziale di un sistema di intelligenza artificiale e le aziende concordano sul fatto che è fondamentale che i modelli vengano rilasciati solo quando previsto e quando si considerano i rischi per la sicurezza.
Molte aziende hanno implementato nuove misure di cybersecurity nell’ultimo anno. Ad esempio, Microsoft ha lanciato la Secure Future Initiative per affrontare la crescente portata degli attacchi informatici. L’azienda afferma che i codici dei suoi modelli sono criptati per mitigare il rischio potenziale di furto dei modelli e che applica forti controlli sull’identità e sull’accesso quando distribuisce modelli proprietari ad alta capacità.
Anche Google ha lanciato una AI Cyber Defense Initiative. A maggio OpenAI ha condiviso sei nuove misure che sta sviluppando per integrare le pratiche di cybersecurity esistenti, come l’estensione della protezione crittografica all’hardware dell’IA. Ha anche un programma di sovvenzioni per la sicurezza informatica, che consente ai ricercatori di accedere ai suoi modelli per costruire difese informatiche.
Amazon ha menzionato di aver adottato misure specifiche contro gli attacchi specifici all’IA generativa, come l’avvelenamento dei dati e l’iniezione di messaggi, in cui qualcuno utilizza messaggi che indirizzano il modello linguistico a ignorare le indicazioni e le barriere di sicurezza precedenti.
Appena un paio di giorni dopo la firma degli impegni, Anthropic ha pubblicato i dettagli delle sue protezioni, che includono pratiche comuni di cybersecurity come il controllo di chi ha accesso ai modelli e agli asset sensibili come i codici dei modelli, e l’ispezione e il controllo della catena di fornitura di terzi. L’azienda collabora anche con valutatori indipendenti per valutare se i controlli che ha progettato soddisfano le sue esigenze di cybersecurity.
RISULTATO: buono. Tutte le aziende hanno dichiarato di aver adottato misure supplementari per proteggere i propri modelli, anche se non sembra che ci sia molto consenso sul modo migliore per proteggere i modelli AI.
Impegno 4
Le aziende si impegnano a facilitare la scoperta e la segnalazione da parte di terzi delle vulnerabilità nei loro sistemi di IA. Alcuni problemi possono persistere anche dopo il rilascio di un sistema di IA e un solido meccanismo di segnalazione consente di trovarli e risolverli rapidamente.
Per questo impegno, una delle risposte più popolari è stata l’implementazione di programmi di bug bounty, che premiano le persone che trovano difetti nei sistemi di IA. Anthropic, Google, Microsoft, Meta e OpenAI ne hanno uno per i sistemi di intelligenza artificiale. Anthropic e Amazon hanno anche dichiarato di avere moduli sui loro siti web dove i ricercatori di sicurezza possono inviare segnalazioni di vulnerabilità.
Probabilmente ci vorranno anni per capire come fare bene l’audit di terze parti, dice Brandie Nonnecke. “Non è solo una sfida tecnica. È una sfida socio-tecnica. Ci vogliono anni per capire non solo gli standard tecnici dell’IA, ma anche quelli socio-tecnici, ed è difficile e confusionario”.
La Nonnecke teme che le prime aziende a implementare le revisioni di terzi possano creare dei precedenti poco efficaci su come pensare e affrontare i rischi socio-tecnici dell’IA. Ad esempio, gli audit potrebbero definire, valutare e affrontare alcuni rischi ma trascurarne altri.
RISULTATO: è necessario lavorare di più. I bug bounty sono ottimi, ma non sono abbastanza completi. Le nuove leggi, come l’AI Act dell’UE, imporranno alle aziende tecnologiche di condurre verifiche, e sarebbe stato bello vedere le aziende tecnologiche condividere esempi di successo di tali verifiche.
Impegno 5
Le aziende si impegnano a sviluppare solidi meccanismi tecnici per garantire che gli utenti sappiano quando i contenuti sono generati dall’IA, come ad esempio un sistema di watermarking. Questa azione consente di sviluppare la creatività con l’IA e riduce i pericoli di frode e inganno.
Molte aziende hanno creato filigrane per i contenuti generati dall’intelligenza artificiale. Ad esempio, Google ha lanciato SynthID, uno strumento di watermarking per immagini, audio, testo e video generati da Gemini. Meta ha uno strumento chiamato Stable Signature per le immagini e AudioSeal per il parlato generato dall’intelligenza artificiale. Amazon aggiunge ora un watermark invisibile a tutte le immagini generate dal suo Titan Image Generator. Anche OpenAI utilizza i watermark in Voice Engine, il suo modello vocale personalizzato, e ha costruito un classificatore di immagini per le immagini generate da DALL-E 3. Anthropic è stata l’unica azienda a non aver costruito uno strumento di watermarking, perché i watermark sono usati principalmente nelle immagini, che il modello Claude dell’azienda non supporta.
Tutte le aziende, escluse Inflection, Anthropic e Meta, fanno anche parte della Coalition for Content Provenance and Authenticity (C2PA), una coalizione di settore che inserisce nei metadati di un’immagine informazioni su quando è stato creato il contenuto e se è stato creato o modificato dall’intelligenza artificiale. Microsoft e OpenAI allegano automaticamente i metadati di provenienza C2PA alle immagini generate con DALL-E 3 e ai video generati con Sora. Meta, pur non essendo un membro, ha annunciato di utilizzare lo standard C2PA per identificare le immagini generate dall’intelligenza artificiale sulle sue piattaforme.
Le sei aziende che hanno sottoscritto gli impegni hanno una “naturale preferenza per gli approcci più tecnici per affrontare il rischio”, afferma Bommasani, “e certamente il watermarking in particolare ha questo sapore”.
“La domanda naturale è: la soluzione tecnica fa progressi significativi e risponde alle preoccupazioni sociali di fondo che motivano la volontà di sapere se il contenuto è generato o meno dalla macchina?”, aggiunge.
RISULTATO: buono. Si tratta di un risultato complessivamente incoraggiante. Sebbene il watermarking rimanga sperimentale e ancora inaffidabile, è comunque positivo vedere una ricerca in merito e un impegno verso lo standard C2PA. È meglio di niente, soprattutto in un anno di elezioni.
Impegno 6
Le aziende si impegnano a comunicare pubblicamente le capacità, i limiti e le aree di utilizzo appropriate e inappropriate dei loro sistemi di IA. Questo rapporto riguarderà sia i rischi per la sicurezza sia i rischi per la società, come gli effetti sull’equità e sui pregiudizi.
Gli impegni della Casa Bianca lasciano molto spazio all’interpretazione. Ad esempio, le aziende possono tecnicamente rispettare questo impegno di rendicontazione pubblica con livelli di trasparenza molto diversi, purché facciano qualcosa in quella direzione generale.
Le soluzioni più comuni offerte dalle aziende tecnologiche sono le cosiddette schede modello. Ogni azienda le chiama con un nome leggermente diverso, ma in sostanza agiscono come una sorta di descrizione del prodotto per i modelli di IA. Possono riguardare qualsiasi cosa, dalle capacità e limitazioni del modello (compreso il modo in cui si misura con i parametri di riferimento in materia di equità e spiegabilità) alla veridicità, alla robustezza, alla governance, alla privacy e alla sicurezza. Anthropic ha dichiarato di testare i modelli anche per i potenziali problemi di sicurezza che potrebbero sorgere in seguito.
Microsoft ha pubblicato un rapporto annuale sulla trasparenza dell’IA responsabile, che fornisce informazioni su come l’azienda costruisce applicazioni che utilizzano l’IA generativa, prende decisioni e supervisiona la distribuzione di tali applicazioni. L’azienda afferma inoltre di fornire informazioni chiare su dove e come l’IA viene utilizzata all’interno dei suoi prodotti.
RISULTATO: è necessario lavorare di più. Secondo Hickok, un’area di miglioramento per le aziende di IA sarebbe una maggiore trasparenza sulle loro strutture di governance e sulle relazioni finanziarie tra le aziende. Avrebbe anche voluto che le aziende fossero più pubbliche sulla provenienza dei dati, sui processi di formazione dei modelli, sugli incidenti di sicurezza e sull’uso dell’energia.
Impegno 7
Le aziende si impegnano a dare priorità alla ricerca sui rischi sociali che i sistemi di IA possono comportare, anche per evitare pregiudizi e discriminazioni dannose e proteggere la privacy. I precedenti dell’IA dimostrano l’insidiosità e la prevalenza di questi pericoli e le aziende si impegnano a sviluppare un’IA in grado di attenuarli.
Le aziende tecnologiche si sono date da fare sul fronte della ricerca sulla sicurezza e hanno integrato le loro scoperte nei prodotti. Amazon ha costruito dei guardrail per Amazon Bedrock in grado di rilevare le allucinazioni e di applicare protezioni per la sicurezza, la privacy e la veridicità. Anthropic afferma di impiegare un team di ricercatori dedicati alla ricerca sui rischi sociali e sulla privacy. Nell’ultimo anno, l’azienda ha condotto ricerche sull’inganno, il jailbreak, le strategie per mitigare la discriminazione e le capacità emergenti, come la capacità dei modelli di manomettere il proprio codice o di impegnarsi nella persuasione. OpenAI afferma di aver addestrato i suoi modelli a non produrre contenuti odiosi e a rifiutarsi di generare output su contenuti odiosi o estremisti. Ha addestrato il suo GPT-4V a rifiutare molte richieste che richiedono di attingere a stereotipi per rispondere. Anche Google DeepMind ha pubblicato una ricerca per valutare le capacità pericolose e ha condotto uno studio sugli usi impropri dell’IA generativa.
Tutti hanno investito molto denaro in questo settore di ricerca. Ad esempio, Google ha investito milioni di dollari nella creazione di un nuovo AI Safety Fund per promuovere la ricerca in questo campo attraverso il Frontier Model Forum. Microsoft ha dichiarato di aver impegnato 20 milioni di dollari in crediti di calcolo per la ricerca sui rischi sociali attraverso il National AI Research Resource e ha avviato un proprio programma di accelerazione della ricerca sui modelli di IA per gli accademici, chiamato Accelerating Foundation Models Research program. L’azienda ha inoltre assunto 24 ricercatori che si occupano di IA e società.
RISULTATO: Molto buono. Si tratta di un impegno facile da rispettare, dato che i firmatari sono alcuni dei più grandi e ricchi laboratori di ricerca sull’IA del mondo. Sebbene una maggiore ricerca su come rendere sicuri i sistemi di IA sia un passo gradito, i critici sostengono che l’attenzione alla ricerca sulla sicurezza sottragga attenzione e risorse alla ricerca sull’IA che si concentra su danni più immediati, come la discriminazione e i pregiudizi.
Impegno 8
Le aziende si impegnano a sviluppare e implementare sistemi avanzati di IA per aiutare ad affrontare le maggiori sfide della società. Dalla prevenzione del cancro alla mitigazione dei cambiamenti climatici, fino a molte altre cose, l’IA – se gestita correttamente – può contribuire enormemente alla prosperità, all’uguaglianza e alla sicurezza di tutti.
Da quando hanno assunto questo impegno, le aziende tecnologiche hanno affrontato una serie di problemi diversi. Ad esempio, Pfizer ha utilizzato Claude per valutare le tendenze nella ricerca sui trattamenti per il cancro dopo aver raccolto dati e contenuti scientifici rilevanti, mentre Gilead, un’azienda biofarmaceutica americana, ha utilizzato l’IA generativa di Amazon Web Services per effettuare valutazioni di fattibilità sugli studi clinici e analizzare i set di dati.
Google DeepMind ha un’esperienza particolarmente consolidata nello sviluppo di strumenti di intelligenza artificiale che possono aiutare gli scienziati. Ad esempio, AlphaFold 3 è in grado di prevedere la struttura e le interazioni di tutte le molecole della vita. AlphaGeometry può risolvere problemi di geometria a un livello paragonabile a quello dei più brillanti matematici delle scuole superiori. E GraphCast è un modello di intelligenza artificiale in grado di fare previsioni meteorologiche a medio raggio. Nel frattempo, Microsoft ha utilizzato le immagini satellitari e l’intelligenza artificiale per migliorare la risposta agli incendi a Maui e per mappare le popolazioni vulnerabili al clima, aiutando i ricercatori a individuare rischi come quello alimentare, le migrazioni forzate e le malattie.
OpenAI, nel frattempo, ha annunciato partnership e finanziamenti per diversi progetti di ricerca, come quello che studia come i modelli di IA multimodali possano essere utilizzati in modo sicuro dagli educatori e dagli scienziati in laboratorio.
RISULTATO: Molto buono. Alcuni dei lavori sull’uso dell’IA per potenziare le scoperte scientifiche o prevedere gli eventi meteorologici sono davvero entusiasmanti. Le aziende che si occupano di IA non hanno ancora usato l’IA per prevenire il cancro, ma questo è un traguardo piuttosto alto.
Nel complesso, ci sono stati alcuni cambiamenti positivi nel modo in cui l’IA è stata costruita, come le pratiche di red-teaming, i watermark e i nuovi modi in cui l’industria può condividere le migliori pratiche. Tuttavia, si tratta solo di un paio di soluzioni tecniche ordinate al complicato problema socio-tecnico che è il danno da IA, e occorre lavorare ancora molto. A distanza di un anno, è strano vedere che gli impegni parlano di un tipo molto particolare di sicurezza dell’IA che si concentra su rischi ipotetici, come le armi biologiche, e non menzionano affatto la protezione dei consumatori, i deepfake non consensuali, i dati e il copyright e l’impronta ambientale dei modelli di IA. Oggi queste sembrano strane omissioni.
