¿Cómo navegar por la frontera de la regulación de la IA?

En marzo de 2023, más de 33 000 personas relacionadas con el desarrollo del diseño y el uso de la IA firmaron la carta abierta del Future of Life Institute en la que se pedía que "todos los laboratorios de IA pongan inmediatamente en pausa durante al menos 6 meses el entrenamiento de sistemas de IA más potentes que el GPT-4".

Nunca se esperó que esto ocurriera, pero el objetivo era trasladar a la opinión pública la enorme preocupación que suscita la IA generativa. En julio, la Casa Blanca dio a conocer un marco de compromisos voluntarios para regular la IA, lo que indica que los responsables políticos estadounidenses están prestando atención. Las salvaguardias se basan en los principios de "seguridad y confianza".

Siete destacadas empresas de IA han dado su consentimiento: Amazon, Anthropic, Google, Inflection, Meta, Microsoft y OpenAI. Han acordado: conducir pruebas de seguridad independientes de los sistemas de IA, internas y externas, antes de su publicación; intercambiar mejores prácticas; invertir en ciberseguridad; ponder marca de agua en los contenidos generativos de IA; compartir públicamente las capacidades y limitaciones; e invertir en mitigar los riesgos sociales, como la parcialidad y la desinformación.

Este anuncio envía un mensaje rotundo al mercado de que el desarrollo de la IA no debe dañar el tejido social. Responde a las demandas de grupos de la sociedad civil, destacados expertos en IA y algunas empresas de IA, que insisten en la necesidad de regulación. Revela una orden ejecutiva y legislación venidera sobre la regulación de la IA. Por último, destaca las consultas en curso a nivel internacional, tanto bilaterales con varios países como en la ONU, el G7 y la Asociación Mundial sobre IA liderada por India. Todo ello ha allanado el camino para la consecución de resultados significativos en las cumbres internacionales recientes y venideras, incluida la próxima cumbre del G20 en la India, y la cumbre sobre seguridad de la IA en el Reino Unido en noviembre.

Sin embargo, ¿podemos permitirnos ser complacientes? El anuncio de la Casa Blanca exige un seguimiento inquebrantable. No debe ser una elocuente proclamación de ideales que no consiga impulsar un cambio significativo en el statu quo.

Se trata de salvaguardias voluntarias. No obligan a las empresas a rendir cuentas a todos los efectos, sino que se limitan a pedirles que actúen. Es muy poco lo que se puede hacer si una empresa no aplica estas salvaguardias o lo hace a regañadientes. Además, muchas de las salvaguardias enumeradas en el anuncio se encuentran en documentos publicados por estas empresas. Por ejemplo, Open AI lleva a cabo pruebas de seguridad o lo que se denomina "red teaming" antes de hacer públicos sus modelos.

Estas siete empresas no abarcan todo el panorama de la industria; por ejemplo, faltan Apple e IBM. Para garantizar un enfoque colectivo y eficaz, los mecanismos deben responsabilizar a todos los actores, especialmente a los potencialmente malos, e incentivar un cumplimiento más amplio por parte de la industria.

La adhesión a las salvaguardias voluntarias no aborda de forma exhaustiva los diversos retos que plantean los modelos de IA. Por ejemplo, una de las salvaguardias voluntarias anunciadas por la Casa Blanca es "invertir en salvaguardias de ciberseguridad y contra amenazas internas para proteger las ponderaciones de modelos patentadas y no divulgadas". Las ponderaciones de los modelos son los componentes básicos que determinan la funcionalidad. El acceso a ellos se considera un indicio de poder reconstruir el modelo con computación y datos de umbral.

Sin embargo, ésta es solo una fuente de vulnerabilidad. Los modelos entrenados con datos sesgados o incorrectos, por ejemplo, pueden dar lugar a vulnerabilidades y sistemas que no funcionen correctamente cuando se hacen públicos. Es necesario diseñar y aplicar salvaguardias adicionales para abordar eficazmente estas intrincadas cuestiones.

Instar a las empresas a invertir en confianza y seguridad es ambiguo. La investigación sobre seguridad de la IA en las empresas palidece sustancialmente en comparación con la investigación sobre desarrollo. Por ejemplo, de todos los artículos sobre IA publicados hasta mayo de 2023, apenas un 2% se centra en la seguridad de la IA. Dentro de este limitado corpus de investigación sobre la seguridad de la IA, solo el 11% procede de empresas privadas. En este contexto, es difícil prever que las directrices voluntarias basten por sí solas para alterar este patrón.

Por último, los modelos de IA se están desarrollando y desplegando rápidamente en todo el mundo. La desinformación, la desinformación y el fraude, entre otros perjuicios, perpetuados por modelos de IA no regulados en países extranjeros tienen repercusiones de gran alcance, incluso dentro de Estados Unidos. La mera creación de un paraíso en EE. UU. podría no ser suficiente para protegerse de los daños causados por modelos de IA no regulados de otros países.

Por tanto, se necesitan medidas más exhaustivas y sustanciales dentro de EE. UU. y en colaboración con socios mundiales para abordar los diversos riesgos:

En primer lugar, un acuerdo sobre una norma para probar la seguridad de los modelos de IA antes de su despliegue en cualquier parte del mundo sería un gran comienzo. La cumbre del G20 y la del Reino Unido sobre la seguridad de la IA son foros fundamentales a este respecto.

En segundo lugar, necesitamos que las normas concebidas se hagan cumplir a través de la legislación nacional o la acción ejecutiva que consideren oportunas los distintos países. La Ley de AI europea puede ser un gran modelo en este sentido.

En tercer lugar, necesitamos algo más que una llamada a los principios y la ética para que estos modelos sean seguros. Necesitamos salvaguardas de ingeniería. Las marcas de agua en los contenidos generativos de IA que garanticen la integridad de la información son un buen ejemplo de esta necesidad urgente. Implementar mecanismos de garantía de identidad en las plataformas de medios sociales y servicios de IA, que puedan ayudar a identificar y abordar la presencia de bots de IA, mejorando la confianza y la seguridad de los usuarios, podría ser otra formidable empresa.

Por último, los gobiernos nacionales deben desarrollar estrategias para financiar, incentivar y fomentar la investigación sobre la seguridad de la IA en los sectores público y privado.

La intervención de la Casa Blanca supone una acción inicial significativa. Puede ser el catalizador de un desarrollo y despliegue responsables de la IA dentro y fuera de Estados Unidos, siempre que este anuncio sea un trampolín para impulsar medidas reguladoras más tangibles. Como subraya el anuncio, la aplicación de "obligaciones vinculantes " cuidadosamente seleccionadas sería crucial para garantizar un régimen de IA seguro y fiable.