Yapay zeka sistemleri ve modellerinin güvenliğini ve emniyetini test eden araştırmacılar için net bir olumlu sonuç olarak, ABD Kongre Kütüphanesi, hızlı enjeksiyon ve hız sınırlarının aşılması gibi belirli türdeki saldırgan faaliyetlerin Dijital Binyıl Telif Hakkı Yasası’nı (DMCA) ihlal etmediğine karar verdi. , geçmişte yazılım şirketleri tarafından istenmeyen güvenlik araştırmalarını engellemek için kullanılan bir yasa.
Ancak Kongre Kütüphanesi, muafiyetin güvenlik araştırmacılarına güvenli bir sığınak sağlamak için yeterli olmayacağını öne sürerek, yasanın adil kullanım hükümleri kapsamında güvenlik araştırmacıları için bir muafiyet oluşturmayı reddetti.
Kitle kaynaklı sızma testi hizmeti BugCrowd’un kurucusu ve danışmanı Casey Ellis, genel olarak, dijital telif hakkıyla ilgili yasal çerçevede üç yılda bir yapılan güncellemenin, neye izin verildiğine ilişkin daha net yönergelerin olması gibi güvenlik araştırmacılarının lehine çalıştığını söylüyor.
“Bu tür konulara açıklık getirmek ve güvenlik araştırmacılarının mümkün olduğunca olumlu ve net bir ortamda çalışmasını sağlamak, teknoloji ne olursa olsun sürdürülmesi gereken önemli bir şey” diyor. “Aksi takdirde, mülkün sahibi olan kişilerin [large language models]veya bunları dağıtan kişiler, temel olarak güvenlik araştırmasının yapılıp yapılmayacağını kontrol etme gücüne sahip olan kişilerdir ve bu, kullanıcı için kötü bir güvenlik sonucuna yol açar.”
Güvenlik araştırmacıları, meşru araştırmalar yürüttükleri için kovuşturmalara ve davalara karşı giderek zor kazanılmış korumalar elde ediyor. Örneğin 2022’de ABD Adalet Bakanlığı şunu belirtti: savcıları güvenlik araştırmacılarını suçlamayacak zarar vermemeleri ve araştırmayı iyi niyetle sürdürmeleri halinde Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasası’nı (CFAA) ihlal etmekle suçlanacaklardır. Araştırmacılara dava açan şirketler düzenli olarak utandırılıyor ve Güvenlik Yasal Araştırma Fonu ve Bilgisayar Korsanlığı Politikası Konseyi Büyük şirketlerin baskısına maruz kalan güvenlik araştırmacılarına ek kaynaklar ve savunmalar sağlayın.
Siber Güvenlik Politikası ve Hukuk Merkezi, sitesindeki bir gönderide şunları söyledi: ABD Telif Hakkı Bürosu’nun açıklamaları Güvenlik araştırmacıları için “kısmi bir kazanç”; daha fazla netlik sağlıyor ancak güvenli bir liman değil. Telif Hakkı Bürosu, Kongre Kütüphanesi’nin yetki alanı altında düzenlenmiştir.
“Yapay zeka araştırmalarına yönelik yasal korumadaki boşluk, Telif Hakkı Bürosu ve Adalet Bakanlığı gibi kolluk kuvvetleri ve düzenleyici kurumlar tarafından doğrulandı, ancak iyi niyetli yapay zeka araştırmaları açık bir yasal güvenli limandan yoksun olmaya devam ediyor.” grup belirtti. “Diğer yapay zeka güvenilirliği araştırma teknikleri, DMCA Bölüm 1201’in yanı sıra Bilgisayar Sahtekarlığı ve Kötüye Kullanım Yasası gibi diğer bilgisayar korsanlığı karşıtı yasalar kapsamındaki sorumluluk riskini hâlâ taşıyabilir.”
Cesur Yeni Hukuk Dünyası
Büyük verilere dayalı üretken yapay zeka sistemlerinin ve algoritmalarının hızla benimsenmesi, bilgi teknolojisi sektöründe büyük bir değişime yol açtı. Birçok büyük dil modelinin (LLM) telif hakkıyla korunan bilgilerin toplu olarak alınmasına dayandığı göz önüne alındığında, yapay zeka sistemlerine yönelik yasal çerçeve zayıf bir temelle başladı.
BugCrowd’dan Ellis, araştırmacılar için geçmiş deneyimlerin nelerin ters gidebileceğine dair tüyler ürpertici örnekler sağladığını söylüyor.
“Bunun çok yeni bir alan olduğu ve bazı sınırların geleneksel BT’ye göre çok daha belirsiz olduğu gerçeği göz önüne alındığında, netlik eksikliği temelde her zaman tüyler ürpertici bir etkiye dönüşüyor” diyor. “Bu konuda dikkatli olan ve işlerini yaparken kanunları ihlal etmemeye dikkat eden birçok güvenlik araştırmacısı için bu, topluluktan bir sürü sorunun gelmesine neden oldu.”
Siber Güvenlik Politikası ve Hukuk Merkezi ile Bilgisayar Korsanlığı Politikası Konseyi, yapay zeka güvenliğini ve güvenliğini test etmek amacıyla kırmızı ekip oluşturma ve sızma testinin DMCA’dan muaf tutulmasını önerdi, ancak Kongre Kütüphanecisi önerilen muafiyetin reddedilmesini önerdi.
Telif Hakkı Bürosu “bir politika meselesi olarak yapay zeka güvenilirliği araştırmasının önemini kabul ediyor ve Kongre ve diğer kurumların bu ortaya çıkan sorunla ilgili harekete geçmek için en iyi konumda olabileceğini belirtiyor.” Kayıt girişi belirtildi“destekleyenler tarafından belirlenen olumsuz etkilerin, 1201. bölümün işleyişinden ziyade çevrimiçi platformların üçüncü taraf kontrolünden kaynaklandığını, dolayısıyla bir muafiyetin endişelerini gidermeyeceğini” ekledi.
Geri Dönüş Yok
Büyük şirketlerin bir sonraki yapay zeka modellerini eğitmek için büyük meblağlar yatırım yapması nedeniyle, güvenlik araştırmacıları kendilerini oldukça derin bütçelerin hedefinde bulabilirler. BugCrowd’dan Ellis, şans eseri güvenlik topluluğunun güvenlik açıklarını ele almak için oldukça iyi tanımlanmış uygulamalar oluşturduğunu söylüyor.
“Güvenlik araştırmasının iyi bir şey olduğu fikri artık oldukça yaygın… böylece yeni bir teknolojiyi kullanan insanların ilk içgüdüsü, geçmişte yaşadığımız gibi büyük bir patlama yaşamamak oluyor. ” diyor. “Mektupları bırakın ve vazgeçin ve [other communications] bunlar çok daha sessiz bir şekilde ileri geri gitti ve ses seviyesi de oldukça düşük oldu.”
Sızma test uzmanları ve kırmızı takımlar birçok açıdan yanlış sorunlara odaklanıyor. Berryville Makine Öğrenimi Enstitüsü’nün (BIML) kurucusu ve yazılım güvenliği uzmanı Gary McGraw, şu anda en büyük zorluğun yapay zeka yetenekleri ve güvenliği hakkındaki yanıltıcı bilgi ve dezenformasyonun üstesinden gelmek olduğunu söylüyor. Kendisi, kırmızı ekibin güvenlik konusunda proaktif bir yaklaşım değil, sorunları bulmayı hedeflediğini söylüyor.
“Bugün tasarlandığı şekliyle makine öğrenimi sistemlerinde, bilgisayar korsanlığıyla açığa çıkabilecek ancak bilgisayar korsanlığıyla düzeltilemeyen kusurlar var” diyor.
McGraw, şirketlerin gerçekleri sunmakta başarısız olmayan, yani “halüsinasyon” yaratan veya anında enjeksiyona karşı savunmasız olan yüksek lisans (LLM) üretmenin yollarını bulmaya odaklanması gerektiğini söylüyor.
“Yapay zekânın güvenilirliğine giden yolda kırmızı takım veya kalem testi yapmayacağız; ML’yi güvence altına almanın gerçek yolu, eğitim verilerine, temsile ve değerlendirmeye güçlü bir şekilde odaklanarak tasarım düzeyindedir” diyor. “Kalem testinin cinsel çekiciliği yüksek ancak etkisi sınırlı.”