De Europese AI-wet die onlangs in werking is getreden, biedt waardevolle ethische richtlijnen, maar er blijven zorgen over security. Dat constateert Shaked Reiner, principal security researcher bij CyberArk Labs, een onderzoeksteam dat beveiligingslekken opzoekt, internetrisico’s monitort en nieuwe regelgeving toetst.
Reiner is enthousiast over de discussie die is gevoerd voorafgaand aan de wet, maar hij is ook terughoudend over het effect ervan. ‘Hoewel de nieuwe wet betrouwbare en veilige AI-praktijken zal aanmoedigen, dwingt zij deze technisch niet af en elimineert zij ook niet alle beveiligingsrisico’s die de technologie met zich meebrengt.’
Vertrouwen
De expert vreest dat leveranciers zich niet altijd aan de wet zullen houden, en criminelen al helemaal niet. ‘AI-gebruikers kunnen helaas niet alleen vertrouwen op regelgevende kaders voor bescherming tegen cyberaanvallen. Ze moeten niet al te zeer vertrouwen op de AI-systemen die ze gebruiken.’
Nooit geheime informatie delen
In het beleid van OpenAI bijvoorbeeld staat dat ChatGPT bijna alle mogelijke informatie van gebruikers verzamelt om diensten te helpen onderhouden en verbeteren door bestaande modellen te verfijnen. Reiner: ‘Maar door de complexe aard van ChatGPT en ons beperkte begrip van hoe en waarom large language models (LLM’s) in het algemeen werken zoals ze doen, is het bijna onmogelijk om te identificeren hoe een bepaald stukje informatie wordt gebruikt.’
Die ondoorzichtigheid betekent dat gebruikers OpenAI niet echt kunnen vertrouwen met hun privégegevens, stelt hij. ‘LLM’s zijn zeer vatbaar voor manipulatie, dus gebruikers moeten uiterst voorzichtig blijven en nooit geheime informatie zoals wachtwoorden, financiële informatie of persoonlijke identificatiegegevens delen.’