Les avocats affirment que la loi américaine sur la cybersécurité est trop ambiguë pour protéger les chercheurs en sécurité de l’IA.

Chapeau noir Les lois existantes aux États-Unis visant à lutter contre ceux qui enfreignent illégalement les systèmes informatiques ne prennent pas en compte les modèles linguistiques modernes de grande taille (LLMs) et peuvent exposer les chercheurs à des poursuites pour des tests de sécurité qui devraient être autorisés, expliquent trois universitaires de Harvard. La loi sur la fraude et l’abus informatique (CFAA) ne s’applique même pas vraiment aux attaques par injection directe telles qu’elles sont écrites et interprétées par la jurisprudence, ont expliqué les membres du centre Berkman Klein de Harvard pour Internet et la société, Ram Shankar Siva Kumar, Kendra Albert et Jonathon Penney, à la conférence Black Hat cette semaine. Ce que cela signifie, selon Albert, avocate et instructrice à la clinique de droit cybernétique de la Harvard Law School, c’est qu’il est difficile de dire où l’injection directe et d’autres exploitations des LLMs franchissent le seuil de l’illégalité. « Ram, John et moi prenions un café en septembre dernier, et [eux deux] parlaient de savoir si l’injection directe enfreint la CFAA », a déclaré Albert à The Register. Albert n’est pas sûre que l’injection directe enfreigne la CFAA, mais plus le trio approfondissait le sujet, plus il découvrait d’incertitudes. « Il y a un ensemble de choses que nous sommes assez sûrs enfreignent la CFAA, c’est-à-dire des cas où vous n’êtes pas autorisé à accéder au modèle d’apprentissage automatique du tout », a déclaré Albert. « Ce qui devient intéressant, c’est quand quelqu’un a la permission d’accéder à un système IA génératif ou à un LLM, mais fait des choses avec que les personnes qui l’ont créé ne voudraient pas. »

Share the Post: