參議員推動禁止聯邦合約使用 DeepSeek 和其他 AI 技術,因安全風險考量
為保護敏感的聯邦數據免受敵對國家,特別是中華人民共和國(PRC)可能構成的威脅,美國參議員 Jacky Rosen 和 Bill Cassidy 提出了一項法案,目標是中國共產黨(CCP)擁有的 DeepSeek 和其他被認為具有敵意的 AI 技術。
參議員們對 DeepSeek 可能造成的國家安全風險表示了重大擔憂。他們引用中國法律,該法律強制要求 DeepSeek 與中國政府及其情報機構分享其收集的數據,作為他們擔憂的主要原因。美國的一些州和盟國已經採取措施阻止 DeepSeek 在政府設備上使用,這突顯了圍繞該 AI 平台的關鍵安全問題。
《保護免受外國敵對人工智能侵害法案》
這項名為《保護免受外國敵對人工智能侵害法案》的兩黨立法提案,旨在阻止聯邦承包商使用 DeepSeek 來履行與聯邦機構簽訂的合約。該法案將這項禁令擴大到任何由 High-Flyer 開發的後續應用程式,防止其在聯邦政府合約中使用。
報告要求和國會監督
此外,該法案要求美國商務部長與美國國防部長合作,向國會提交一份綜合報告。這份報告將深入探討來自敵對國家(包括中國、北韓、伊朗和俄羅斯)的 AI 平台所造成的國家安全和經濟間諜威脅。
內華達州民主黨參議員 Rosen 強調,保護美國數據和政府系統免受來自外國敵人的網路威脅至關重要。她表示,這項兩黨立法將有效地阻止聯邦承包商在使用與中共有關聯的 AI 平台 DeepSeek 執行政府工作時進行使用。Rosen 承諾繼續跨黨派合作,加強國家安全並保護美國人的數據。
路易斯安那州共和黨參議員 Cassidy 強調,AI 具有雙重性質,既是一種可以為增強醫療和教育等有益目的而使用的強大工具。然而,他警告說,如果掌握在錯誤的人手中,AI 可能會被武器化。Cassidy 警告說,將敏感數據輸入像 DeepSeek 這樣的系統可能會為中國提供另一種武器。
詳細的報告要求
擬議的立法規定,在該法案頒布後的一年內,商務部長應與國防部長協商,必須向參議院和眾議院的關鍵委員會提交一份詳細的報告。這些委員會包括軍事委員會、商業、科學和運輸委員會以及能源和商業委員會。該報告必須闡述位於或附屬於受關注國家的 AI 平台(包括大型語言模型和生成式 AI)對國家安全構成的威脅。
綜合報告的組成部分
該法案授權將幾個關鍵組成部分納入綜合報告中。這包括對審查法律和外國政府的能力(特別是那些可能存取或影響 AI 應用程式)進行的徹底分析。
AI 在宣傳和虛假訊息中的作用
該報告還必須評估 AI 平台目前如何被使用,或可能被使用,以促進國家贊助的宣傳。這在尋求破壞民主制度和傳播虛假訊息的敵對國家中尤其重要。透過了解 AI 如何以這種方式被武器化,決策者可以制定策略來有效地應對這些威脅。
出口管制規避
該報告的另一個基本方面涉及評估敵對國家規避美國對圖形處理單元(GPU)出口管制對國家安全的影響。GPU 對於開發先進的 AI 模型至關重要,任何非法獲取它們的企圖都會對美國國家安全利益構成重大威脅。因此,該報告需要識別和解決出口管制系統的漏洞,以防止敵對國家獲得這些關鍵技術。
隱私和數據安全威脅
該報告要求審查與輸入或透過 AI 應用提交的美國數據相關的隱私和數據安全威脅。該分析必須解決關鍵問題,包括數據的儲存方式和位置,無論是在本地伺服器還是雲端基礎架構中。它還必須調查外國政府或政治實體(特別是中共)是否可以存取或利用這些數據,以及美國來源的數據在多大程度上促進了外國 AI 技術的發展。
數據儲存的位置至關重要,因為它直接影響可以對其行使的控制和安全級別。本地伺服器提供更直接的控制,但需要大量投資於基礎設施和專業知識。另一方面,雲端基礎架構提供可擴展性和可存取性,但依賴於雲端供應商實施的安全措施。
經濟間諜的風險
該報告必須評估這種存取所構成的經濟間諜風險,包括對知識產權、商業機密、專有資訊和其他敏感或機密數據的威脅。
經濟間諜涉及外國實體竊取有價值的商業資訊以獲取競爭優勢。這可以包括商業機密、專利和其他使公司在市場上獲得戰略優勢的機密數據。透過透過 AI 應用程式存取美國數據,敵對國家可能會竊取這些資訊並破壞美國企業的競爭力。
對政府資訊的威脅
最後,該報告應評估此類存取對聯邦政府資訊構成的潛在危險,包括影響政策決策或與政府計畫相關的數據。政府資訊的安全對於民主社會的運作至關重要。如果敵對國家可以存取或操縱這些數據,他們可能會影響政策決策或擾亂政府計畫。
先前的行動和正在進行的審查
唐納·川普總統的政府透過國家安全委員會發起了與 DeepSeek 相關的國家安全威脅的審查,反映了跨多個政府的擔憂。眾議院已採取措施禁止國會辦公室在工作設備上安裝或下載 DeepSeek,進一步強調了與該平台相關的安全風險。
政府機構的行動
國防資訊系統局和海軍已向其人員發布類似的備忘錄,限制在政府設備上使用 DeepSeek。這些政府機構的行動表明,人們普遍承認 DeepSeek 可能構成的威脅,並共同努力減輕這些風險。
州級限制
德克薩斯州、紐約州和維吉尼亞州已經頒布了立法,對州政府僱員和承包商施加類似的限制,這表明各州之間越來越趨向於解決與來自敵對國家的 AI 平台相關的安全問題。預計其他州也會效仿,進一步鞏固保護敏感數據免受潛在威脅的努力。
工業網路安全中的 AI
根據 Takepoint Research 於 10 月發布的數據顯示,不斷發展的網路安全形勢表明,AI 在工業網路安全中的優勢已超過其對 80% 受訪者的風險。在威脅偵測(64%)、網路監控(52%)和漏洞管理(48%)方面,AI 特別有效,突顯了其在改善 OT(運營技術)環境中防禦能力方面日益重要的作用。該調查指出,過度依賴 AI、AI 系統操縱和假陰性是工業資產所有者的主要擔憂。
AI 在威脅偵測方面的有效性源於其分析大量數據和識別可能表明惡意活動的模式的能力。基於 AI 的系統可以即時偵測異常和可疑行為,為安全團隊提供潛在威脅的早期警告。
網路監控是 AI 擅長的另一個領域。透過持續監控網路流量,AI 系統可以偵測未經授權的存取嘗試和其他安全漏洞。AI 還可以識別網路配置中的漏洞並提出糾正措施。
漏洞管理涉及識別和解決系統和應用程式中的弱點,然後攻擊者才能利用它們。AI 可以自動化漏洞掃描過程,並根據漏洞的嚴重性確定修復工作的優先順序。
對過度依賴和操縱的擔憂
雖然 AI 在工業網路安全方面具有顯著優勢,但也存在需要注意的潛在風險。其中一個主要擔憂是過度依賴 AI。安全團隊不應過度依賴 AI 系統,而應保持其專業知識和情境意識。
另一個擔憂是 AI 系統操縱。對手可能會嘗試操縱 AI 系統以逃避偵測或導致它們做出不正確的決策。因此,必須實施強有力的安全措施來保護 AI 系統免受篡改。
假陰性(AI 系統未能偵測到實際威脅)也是一個擔憂。安全團隊應定期評估 AI 系統的效能並調整其配置,以最大程度地降低假陰性的風險。