Senatoren Dringen aan op Verbod op DeepSeek en Andere AI-technologieën in Federale Contracten vanwege Veiligheidsrisico’s
In een poging om gevoelige federale data te beschermen tegen potentiële bedreigingen van vijandige naties, met name de Volksrepubliek China (VRC), hebben de Amerikaanse senatoren Jacky Rosen en Bill Cassidy een wetsvoorstel ingediend dat gericht is op DeepSeek, eigendom van de Chinese Communistische Partij (CCP), en andere AI-technologieën die als vijandig worden beschouwd.
De senatoren hebben aanzienlijke bezorgdheid geuit over de potentiële nationale veiligheidsrisico’s van DeepSeek. Ze noemen de Chinese wetgeving, die voorschrijft dat DeepSeek de verzamelde data deelt met de Chinese regering en haar inlichtingendiensten, als een primaire reden voor hun vrees. Verschillende Amerikaanse staten en geallieerde naties hebben al maatregelen genomen om DeepSeek te blokkeren van overheidsapparaten, wat de kritieke veiligheidsproblemen rondom het AI-platform benadrukt.
De Protection Against Foreign Adversarial Artificial Intelligence Act
De voorgestelde tweeledige wetgeving, getiteld de ‘Protection Against Foreign Adversarial Artificial Intelligence Act’, heeft als doel te voorkomen dat federale contractanten DeepSeek gebruiken om aan contracten met federale agentschappen te voldoen. Het wetsvoorstel breidt dit verbod uit tot elke opvolgerstoepassing die is ontwikkeld door High-Flyer, waardoor het gebruik ervan in federale overheidscontracten wordt voorkomen.
Rapportagevereisten en Toezicht door het Congres
Verder verplicht het wetsvoorstel een uitgebreid rapport aan het Congres van de Amerikaanse minister van Handel, uitgevoerd in samenwerking met de Amerikaanse minister van Defensie. Dit rapport zal ingaan op de bedreigingen voor de nationale veiligheid en economische spionage die voortkomen uit AI-platforms die afkomstig zijn uit vijandige naties, waaronder China, Noord-Korea, Iran en Rusland.
Senator Rosen, een Democratische senator uit Nevada, benadrukte het belang van het beschermen van Amerikaanse data en overheidssystemen tegen cyberbedreigingen die afkomstig zijn van buitenlandse tegenstanders. Ze verklaarde dat de tweeledige wetgeving effectief zou voorkomen dat federale contractanten DeepSeek, een AI-platform dat is gekoppeld aan de CCP, gebruiken bij het uitvoeren van overheidswerk. Rosen beloofde te blijven samenwerken met andere partijen om de nationale veiligheid te versterken en de data van Amerikanen te beschermen.
Senator Cassidy, een Republikeinse senator uit Louisiana, benadrukte de dubbele aard van AI als een krachtig hulpmiddel dat kan worden gebruikt voor nuttige doeleinden, zoals het verbeteren van de geneeskunde en het onderwijs. Hij waarschuwde echter dat AI in de verkeerde handen kan worden gebruikt als wapen. Cassidy waarschuwde dat het invoeren van gevoelige data in systemen zoals DeepSeek China een ander wapen zou kunnen geven.
Gedetailleerde Rapportageverplichtingen
De voorgestelde wetgeving bepaalt dat de minister van Handel, in overleg met de minister van Defensie, binnen één jaar na de inwerkingtreding van de wet een gedetailleerd rapport moet indienen bij belangrijke commissies in zowel de Senaat als het Huis van Afgevaardigden. Deze commissies omvatten de Committee on Armed Services, de Committee on Commerce, Science, and Transportation, en de Committee on Energy and Commerce. Het rapport moet ingaan op de bedreigingen voor de nationale veiligheid die worden gevormd door kunstmatige intelligentieplatforms, waaronder grote taalmodellen en generatieve AI, die zijn gevestigd in of gelieerd aan landen die aanleiding geven tot bezorgdheid.
Uitgebreide Rapportcomponenten
Het wetsvoorstel schrijft voor dat verschillende kritieke componenten worden opgenomen in het uitgebreide rapport. Deze omvatten een grondige analyse van censuurwetten en de mogelijkheden van buitenlandse regeringen, met name die welke toegang hebben tot of invloed kunnen uitoefenen op AI-toepassingen.
De Rol van AI in Propaganda en Desinformatie
Het rapport moet ook evalueren op welke manieren AI-platforms momenteel worden gebruikt, of potentieel kunnen worden gebruikt, om door de staat gesponsorde propaganda te bevorderen. Dit is met name relevant in de context van vijandige naties die democratische instellingen willen ondermijnen en desinformatie willen verspreiden. Door te begrijpen hoe AI op deze manier kan worden ingezet als wapen, kunnen beleidsmakers strategieën ontwikkelen om deze bedreigingen effectief tegen te gaan.
Ontwijking van Exportcontrole
Een ander essentieel aspect van het rapport betreft de beoordeling van de implicaties voor de nationale veiligheid van pogingen van vijandige naties om Amerikaanse exportcontroles op grafische verwerkingseenheden (GPU’s) te omzeilen. GPU’s zijn cruciaal voor de ontwikkeling van geavanceerde AI-modellen, en elke poging om ze illegaal te verwerven, vormt een aanzienlijke bedreiging voor de Amerikaanse nationale veiligheidsbelangen. Daarom moet het rapport kwetsbaarheden in het exportcontrolesysteem identificeren en aanpakken om te voorkomen dat vijandige naties toegang krijgen tot deze kritieke technologieën.
Bedreigingen voor Privacy en Databeveiliging
Het rapport moet bedreigingen voor privacy en databeveiliging onderzoeken die verband houden met Amerikaanse data die worden ingevoerd in of verzonden via AI-toepassingen. De analyse moet cruciale zorgen aanpakken, waaronder hoe en waar data worden opgeslagen, hetzij op on-premises servers, hetzij binnen cloudinfrastructuur. Het moet ook onderzoeken of deze data kan worden ingezien of misbruikt door buitenlandse regeringen of politieke entiteiten, met name de CCP, en in hoeverre data uit de VS bijdraagt aan het bevorderen van buitenlandse AI-technologieën.
De locatie van dataopslag is cruciaal omdat deze rechtstreeks van invloed is op het niveau van controle en beveiliging dat erop kan worden uitgeoefend. On-premises servers bieden meer directe controle, maar vereisen aanzienlijke investeringen in infrastructuur en expertise. Cloudinfrastructuur daarentegen biedt schaalbaarheid en toegankelijkheid, maar is afhankelijk van de beveiligingsmaatregelen die zijn geïmplementeerd door de cloudprovider.
Risico op Economische Spionage
Het rapport moet het risico op economische spionage beoordelen dat wordt veroorzaakt door dergelijke toegang, inclusief bedreigingen voor intellectueel eigendom, handelsgeheimen, bedrijfseigen informatie en andere gevoelige of vertrouwelijke data.
Economische spionage omvat de diefstal van waardevolle bedrijfsinformatie door buitenlandse entiteiten om een concurrentievoordeel te behalen. Dit kan handelsgeheimen, patenten en andere vertrouwelijke data omvatten die bedrijven een strategisch voordeel geven op de markt. Door via AI-toepassingen toegang te krijgen tot Amerikaanse data, kunnen vijandige naties deze informatie mogelijk stelen en het concurrentievermogen van Amerikaanse bedrijven ondermijnen.
Bedreigingen voor Overheidsinformatie
Ten slotte moet het rapport het potentiële gevaar beoordelen dat deze toegang vormt voor federale overheidsinformatie, inclusief data die beleidsbeslissingen beïnvloedt of is gekoppeld aan overheidsprogramma’s. De beveiliging van overheidsinformatie is van cruciaal belang voor het functioneren van een democratische samenleving. Als vijandige naties toegang hebben tot of deze data kunnen manipuleren, kunnen ze mogelijk beleidsbeslissingen beïnvloeden of overheidsprogramma’s verstoren.
Eerdere Acties en Lopende Onderzoeken
De regering van president Donald Trump startte via de National Security Council een onderzoek naar bedreigingen van de nationale veiligheid in verband met DeepSeek, wat zorgen weerspiegelt die meerdere regeringen overspannen. Het Huis van Afgevaardigden heeft stappen ondernomen om te voorkomen dat congreskantoren DeepSeek op werkapparaten installeren of downloaden, wat de veiligheidsrisico’s die aan het platform zijn verbonden verder onderstreept.
Acties door Overheidsinstanties
De Defense Information Systems Agency en de Navy hebben vergelijkbare memo’s naar hun personeel gestuurd, waarin het gebruik van DeepSeek op overheidsapparaten wordt beperkt. Deze acties van verschillende overheidsinstanties duiden op een wijdverbreide erkenning van de potentiële bedreigingen die door DeepSeek worden gevormd en een gezamenlijke inspanning om deze risico’s te beperken.
Beperkingen op Staatsniveau
Texas, New York en Virginia hebben al wetgeving aangenomen die soortgelijke beperkingen oplegt voor werknemers en contractanten van de staatsregering, wat een groeiende trend signaleert onder staten om de veiligheidsproblemen met betrekking tot AI-platforms van vijandige naties aan te pakken. Verwacht wordt dat andere staten zullen volgen, waardoor de inspanningen om gevoelige data te beschermen tegen potentiële bedreigingen verder worden versterkt.
AI in Industriële Cybersecurity
Volgens data vrijgegeven in oktober door Takepoint Research, onthult het evoluerende cybersecuritylandschap dat de voordelen van AI in industriële cybersecurity opwegen tegen de risico’s voor 80 procent van de respondenten. AI is bijzonder effectief in dreigingsdetectie (64 procent), netwerkmonitoring (52 procent) en kwetsbaarheidsbeheer (48 procent), wat het toenemende belang ervan benadrukt bij het verbeteren van de verdediging binnen OT-omgevingen (operationele technologie). De enquête identificeerde dat overmatige afhankelijkheid van AI, manipulatie van AI-systemen en valse negatieven primaire zorgen zijn voor eigenaren van industriële activa.
De effectiviteit van AI bij dreigingsdetectie vloeit voort uit het vermogen om grote hoeveelheden data te analyseren en patronen te identificeren die kunnen wijzen op kwaadaardige activiteit. AI-aangedreven systemen kunnen anomalieën en verdacht gedrag in realtime detecteren, waardoor beveiligingsteams vroegtijdige waarschuwingen krijgen over potentiële bedreigingen.
Netwerkmonitoring is een ander gebied waar AI uitblinkt. Door continu netwerkverkeer te monitoren, kunnen AI-systemen ongeautoriseerde toegangspogingen en andere beveiligingsinbreuken detecteren. AI kan ook kwetsbaarheden in netwerkconfiguraties identificeren en corrigerende maatregelen aanbevelen.
Kwetsbaarheidsbeheer omvat het identificeren en aanpakken van zwakke punten in systemen en applicaties voordat ze kunnen worden misbruikt door aanvallers. AI kan het kwetsbaarheidsscanningsproces automatiseren en herstelwerkzaamheden prioriteren op basis van de ernst van de kwetsbaarheden.
Zorgen over Overmatige Afhankelijkheid en Manipulatie
Hoewel AI aanzienlijke voordelen biedt in industriële cybersecurity, zijn er ook potentiële risico’s om rekening mee te houden. Een van de belangrijkste zorgen is overmatige afhankelijkheid van AI. Beveiligingsteams mogen niet overdreven afhankelijk worden van AI-systemen en moeten hun expertise en situationeel bewustzijn behouden.
Een andere zorg is manipulatie van AI-systemen. Tegenstanders kunnen proberen AI-systemen te manipuleren om detectie te ontwijken of hen ertoe te brengen onjuiste beslissingen te nemen. Daarom is het essentieel om robuuste beveiligingsmaatregelen te implementeren om AI-systemen te beschermen tegen manipulatie.
Valse negatieven, waarbij AI-systemen er niet in slagen daadwerkelijke bedreigingen te detecteren, zijn ook een zorg. Beveiligingsteams moeten de prestaties van AI-systemen regelmatig evalueren en hun configuraties aanpassen om het risico op valse negatieven te minimaliseren.