Сенаторы США Джеки Розен и Билл Кэссиди представили законопроект, направленный на защиту конфиденциальных федеральных данных от потенциальных угроз со стороны враждебных стран, в частности Китайской Народной Республики (КНР). Законопроект нацелен на принадлежащую Коммунистической партии Китая (КПК) компанию DeepSeek и другие AI технологии, которые считаются враждебными.
Сенаторы выразили серьезную обеспокоенность по поводу потенциальных рисков для национальной безопасности, связанных с DeepSeek. Они ссылаются на китайские законы, которые обязывают DeepSeek делиться собранными данными с китайским правительством и его разведывательными службами, в качестве основной причины для опасений. Несколько штатов США и союзных стран уже приняли меры для блокировки DeepSeek на правительственных устройствах, что подчеркивает критические проблемы безопасности, связанные с AI платформой.
Закон о защите от иностранного враждебного искусственного интеллекта
Предлагаемый двухпартийный закон под названием «Закон о защите от иностранного враждебного искусственного интеллекта» направлен на то, чтобы не допустить использования DeepSeek федеральными подрядчиками для выполнения контрактов с федеральными агентствами. Законопроект распространяет этот запрет на любое последующее приложение, разработанное High-Flyer, предотвращая его использование в федеральных правительственных контрактах.
Требования к отчетности и парламентский контроль
Кроме того, законопроект требует от министра торговли США, в сотрудничестве с министром обороны США, предоставить Конгрессу всеобъемлющий отчет. В этом отчете будут рассмотрены угрозы национальной безопасности и экономическому шпионажу, исходящие от AI платформ, происходящих из враждебных стран, включая Китай, Северную Корею, Иран и Россию.
Сенатор Розен, демократ от штата Невада, подчеркнула важность защиты американских данных и государственных систем от киберугроз, исходящих от иностранных противников. Она заявила, что двухпартийный закон эффективно предотвратит использование федеральными подрядчиками DeepSeek, AI платформы, связанной с КПК, при выполнении правительственной работы. Розен пообещала продолжить работу с представителями разных партий для укрепления национальной безопасности и защиты данных американцев.
Сенатор Кэссиди, республиканец от штата Луизиана, подчеркнул двойственную природу AI как мощного инструмента, который можно использовать в полезных целях, таких как совершенствование медицины и образования. Однако он предостерег от того, что в плохих руках AI может быть превращен в оружие. Кэссиди предупредил, что передача конфиденциальных данных в такие системы, как DeepSeek, может предоставить Китаю еще одно оружие.
Подробные требования к отчетности
В предлагаемом законе предусмотрено, что в течение одного года с момента вступления закона в силу министр торговли, после консультаций с министром обороны, должен представить подробный отчет ключевым комитетам в Сенате и Палате представителей. В эти комитеты входят Комитет по вооруженным силам, Комитет по торговле, науке и транспорту и Комитет по энергетике и торговле. В отчете должны быть рассмотрены угрозы национальной безопасности, исходящие от платформ искусственного интеллекта, включая большие языковые модели и генеративный AI, которые базируются в странах, вызывающих обеспокоенность, или связаны с ними.
Комплексные компоненты отчета
Законопроект требует включения в комплексный отчет нескольких важных компонентов. К ним относится тщательный анализ законов о цензуре и возможностей иностранных правительств, особенно тех, которые могут иметь доступ к AI приложениям или оказывать на них влияние.
Роль AI в пропаганде и дезинформации
В отчете также должна быть дана оценка того, как AI платформы в настоящее время используются или могут быть использованы для продвижения спонсируемой государством пропаганды. Это особенно актуально в контексте враждебных стран, стремящихся подорвать демократические институты и распространять дезинформацию. Понимая, как AI может быть использован в качестве оружия в этой сфере, политики могут разрабатывать стратегии для эффективного противодействия этим угрозам.
Обход экспортного контроля
Другой важный аспект отчета связан с оценкой последствий для национальной безопасности попыток враждебных стран обойти экспортный контроль США в отношении графических процессоров (GPU). GPU имеют решающее значение для разработки передовых AI моделей, и любая попытка незаконно приобрести их представляет собой серьезную угрозу для интересов национальной безопасности США. Поэтому в отчете необходимо выявить и устранить уязвимости в системе экспортного контроля, чтобы не допустить получения враждебными странами доступа к этим важным технологиям.
Угрозы конфиденциальности и безопасности данных
В отчете требуется рассмотреть угрозы конфиденциальности и безопасности данных, связанные с данными США, которые вводятся или передаются через AI приложения. В анализе должны быть рассмотрены важные вопросы, в том числе то, как и где хранятся данные, на локальных серверах или в облачной инфраструктуре. Необходимо также выяснить, могут ли эти данные быть доступны или использованы иностранными правительствами или политическими организациями, особенно КПК, и в какой степени данные из США способствуют развитию иностранных AI технологий.
Место хранения данных имеет решающее значение, поскольку оно напрямую влияет на уровень контроля и безопасности, которые могут быть обеспечены. Локальные серверы обеспечивают более прямой контроль, но требуют значительных инвестиций в инфраструктуру и экспертные знания. Облачная инфраструктура, с другой стороны, обеспечивает масштабируемость и доступность, но полагается на меры безопасности, реализованные поставщиком облачных услуг.
Риск экономического шпионажа
В отчете должна быть дана оценка риска экономического шпионажа, связанного с таким доступом, включая угрозы интеллектуальной собственности, коммерческой тайне, конфиденциальной информации и другим конфиденциальным данным.
Экономический шпионаж включает кражу ценной деловой информации иностранными организациями для получения конкурентного преимущества. Это может включать коммерческую тайну, патенты и другие конфиденциальные данные, которые дают компаниям стратегическое преимущество на рынке. Получив доступ к данным США через AI приложения, враждебные страны могут потенциально украсть эту информацию и подорвать конкурентоспособность американского бизнеса.
Угрозы для правительственной информации
Наконец, в отчете следует оценить потенциальную опасность, которую этот доступ представляет для федеральной правительственной информации, включая данные, которые влияют на политические решения или связаны с правительственными программами. Безопасность правительственной информации имеет первостепенное значение для функционирования демократического общества. Если враждебные страны могут получить доступ к этим данным или манипулировать ими, они могут повлиять на политические решения или сорвать правительственные программы.
Предыдущие действия и текущие проверки
Администрация президента Дональда Трампа, через Совет национальной безопасности, инициировала проверку угроз национальной безопасности, связанных с DeepSeek, что отражает обеспокоенность, охватывающую несколько администраций. Палата представителей предприняла шаги по запрету офисам Конгресса устанавливать или загружать DeepSeek на рабочие устройства, что еще раз подчеркивает риски безопасности, связанные с платформой.
Действия правительственных учреждений
Агентство информационных систем обороны ВМФ выпустили аналогичные памятки для своего персонала, ограничивающие использование DeepSeek на государственных устройствах. Эти действия различных государственных учреждений свидетельствуют о широком признании потенциальных угроз, исходящих от DeepSeek, и согласованных усилиях по смягчению этих рисков.
Ограничения на уровне штата
Штаты Техас, Нью-Йорк и Вирджиния уже приняли законы, вводящие аналогичные ограничения для государственных служащих и подрядчиков, что свидетельствует о растущей тенденции среди штатов решать проблемы безопасности, связанные с AI платформами из враждебных стран. Ожидается, что другие штаты последуют этому примеру, что еще больше укрепит усилия по защите конфиденциальных данных от потенциальных угроз.
AI в промышленной кибербезопасности
Согласно данным, опубликованным в октябре компанией Takepoint Research, развивающаяся среда кибербезопасности показывает, что преимущества AI в промышленной кибербезопасности перевешивают его риски для 80 процентов респондентов. AI особенно эффективен в обнаружении угроз (64 процента), мониторинге сети (52 процента) и управлении уязвимостями (48 процентов), что подчеркивает его растущую важность в улучшении защиты в средах OT (операционных технологий). Опрос показал, что чрезмерная зависимость от AI, манипуляции с AI системами и ложные отрицательные результаты являются основными проблемами для владельцев промышленных активов.
Эффективность AI в обнаружении угроз обусловлена его способностью анализировать большие объемы данных и выявлять закономерности, которые могут указывать на злонамеренную активность. Системы на основе AI могут обнаруживать аномалии и подозрительное поведение в режиме реального времени, предоставляя командам безопасности ранние предупреждения о потенциальных угрозах.
Мониторинг сети - еще одна область, где AI превосходит все остальные. Постоянно отслеживая сетевой трафик, AI системы могут обнаруживать несанкционированные попытки доступа и другие нарушения безопасности. AI также может выявлять уязвимости в конфигурациях сети и рекомендовать корректирующие действия.
Управление уязвимостями включает выявление и устранение слабых мест в системах и приложениях до того, как они могут быть использованы злоумышленниками. AI может автоматизировать процесс сканирования уязвимостей и приоритизировать усилия по восстановлению на основе серьезности уязвимостей.
Опасения по поводу чрезмерной зависимости и манипуляций
Хотя AI предлагает значительные преимущества в промышленной кибербезопасности, существуют также потенциальные риски, о которых следует знать. Одна из основных проблем - чрезмерная зависимость от AI. Команды безопасности не должны чрезмерно зависеть от AI систем и должны поддерживать свой экспертный опыт и осведомленность о ситуации.
Еще одна проблема - манипуляции с AI системами. Злоумышленники могут попытаться манипулировать AI системами, чтобы избежать обнаружения или заставить их принимать неправильные решения. Поэтому важно внедрить надежные меры безопасности для защиты AI систем от несанкционированного доступа.
Ложные отрицательные результаты, когда AI системы не обнаруживают реальные угрозы, также вызывают беспокойство. Команды безопасности должны регулярно оценивать производительность AI систем и корректировать их конфигурации, чтобы минимизировать риск ложных отрицательных результатов.