Storbritannias tilnærming til AI-sikkerhet mangler troverdighet, advarer rapporten
I løpet av de siste ukene har den britiske regjeringen forsøkt å dyrke et bilde av seg selv som en internasjonal pådriver og shaker i det begynnende feltet av AI-sikkerhet – og la ned en prangende kunngjøring om et kommende toppmøte om emnet i forrige måned, sammen med et løfte om å bruke £ 100 millioner på en grunnleggende arbeidsgruppe som skal utføre “banebrytende” AI-sikkerhetsforskning, slik den sier det.
Likevel har den samme regjeringen, ledet av Storbritannias statsminister og Silicon Valley-superfan Rishi Sunak, unngått behovet for å vedta ny nasjonal lovgivning for å regulere bruken av kunstig intelligens – en holdning til sitt eget policydokument om temaet «pro-innovasjon».
Det er også midt i å vedta en dereguleringsreform av det nasjonale databeskyttelsesrammeverket som risikerer å virke mot AI-sikkerhet.
Sistnevnte er en av flere konklusjoner fra det uavhengige forskningsfokuserte Ada Lovelace Institute, en del av Nuffield Foundation veldedige trust, i en ny rapport som undersøker Storbritannias tilnærming til å regulere AI som gir diplomatisk lyd, men til tider ganske vanskelig. lesing for statsråder.
Rapporten inneholder hele 18 anbefalinger for å utjevne regjeringens politikk/troverdighet på dette området – det vil si hvis Storbritannia ønsker å bli tatt på alvor på temaet.
Instituttet tar til orde for en “dyr” definisjon av AI-sikkerhet – “som gjenspeiler det store utvalget av skader som oppstår når AI-systemer blir mer kapable og integrert i samfunnet.” Så rapporten er opptatt av hvordan man kan regulere skader som “AI-systemer kan forårsake i dag.” Kall dem virkelige AI-skader. (Ikke med sci-fi-inspirerte teoretiske mulige fremtidige risikoer, som har blitt oppblåst av visse høyprofilerte skikkelser i teknologibransjen i det siste, tilsynelatende i et forsøk på å oppmerksomhetshakke politikere.)
Foreløpig er det rettferdig å si at Sunaks regjerings tilnærming til regulering av (virkelig) AI-sikkerhet har vært motstridende – tung på prangende, bransjeledet PR som hevder at den ønsker å forkjempe sikkerhet, men lett på politiske forslag for å sette materielle regler for å beskytte seg mot smørebord av risikoer og skader vi vet kan komme fra dårlig bedømte automatiseringsapplikasjoner.
Her er Ada Lovelace Institute som slipper den primære sannhetsbomben:
Den britiske regjeringen har lagt frem sin ambisjon om å gjøre Storbritannia til en «AI-supermakt», utnytte utviklingen og spredningen av AI-teknologier til fordel for Storbritannias samfunn og økonomi, og arrangere et globalt toppmøte høsten 2023. Denne ambisjonen vil bare realiseres med effektiv innenlandsk regulering, som vil gi plattformen for Storbritannias fremtidige AI-økonomi.
Rapportens vaskeriliste med anbefalinger fortsetter for å gjøre det klart at instituttet ser mye rom for forbedring av Storbritannias nåværende tilnærming til AI.
Tidligere i år publiserte regjeringen sin foretrukne tilnærming til å regulere AI innenlands – og sa at de ikke så behovet for ny lovgivning eller tilsynsorganer på dette stadiet. I stedet tilbød hvitboken et sett med fleksible prinsipper som regjeringen foreslo at eksisterende, sektorspesifikke (og/eller tverrgående) regulatorer skulle “tolke og anvende på AI innenfor deres ansvarsområde.” Bare uten nye juridiske fullmakter eller ekstra finansiering for også å føre tilsyn med ny bruk av AI.
De fem prinsippene som er nedfelt i stortingsmeldingen er sikkerhet, sikkerhet og robusthet; passende åpenhet og forklarbarhet; rettferdighet; ansvarlighet og styring; og stridbarhet og oppreisning. Alle disse høres bra ut på papiret – men papir alene kommer tydeligvis ikke til å kutte det når det gjelder regulering av AI-sikkerhet.
Storbritannias plan om å la eksisterende regulatorer finne ut hva de skal gjøre med AI med bare noen brede prinsipper å sikte etter og ingen ny ressurs står i kontrast til EUs, hvor lovgivere er opptatt med å hamre ut en avtale om et risikobasert rammeverk som blokkens leder foreslo tilbake i 2021.
Storbritannias strenge budsjetttilnærming med å legge eksisterende, overarbeidede regulatorer med nye ansvarsområder for å se AI-utviklingen på lappen uten noen krefter til å håndheve resultater på dårlige skuespillere, ser mildt sagt ikke særlig troverdig ut når det gjelder AI-sikkerhet.
Det virker ikke engang en sammenhengende strategi hvis du ønsker å være pro-innovasjon, heller – siden det vil kreve at AI-utviklere vurderer et helt lappeteppe av sektorspesifikk og tverrgående lovgivning, utarbeidet lenge før den siste AI-boomen. Utviklere kan også finne seg selv underlagt tilsyn av en rekke forskjellige reguleringsorganer (uansett hvor svak deres oppmerksomhet kan være, gitt mangelen på ressurser og juridisk ildkraft for å håndheve de nevnte prinsippene). Så egentlig ser det ut som en oppskrift på usikkerhet om hvilke eksisterende regler som kan gjelde for AI-apper. (Og mest sannsynlig et lappeteppe av reguleringsfortolkninger, avhengig av sektor, brukssaker og tilsynsorganer som er involvert, osv. Ergo, forvirring og kostnader, ikke klarhet.)
Selv om eksisterende britiske regulatorer raskt produserer veiledning om hvordan de vil nærme seg AI – som noen allerede er eller jobber med – vil det fortsatt være mange hull, som Ada Lovelace Institutes rapport også påpeker – siden dekningshull er et trekk ved Storbritannias eksisterende reguleringslandskap. Så forslaget om å strekke denne tilnærmingen ytterligere innebærer at regulatorisk inkonsekvens blir bakt inn og til og med forsterket ettersom bruken av AI skalerer/eksploderer på tvers av alle sektorer.
Her er instituttet igjen:
Store deler av den britiske økonomien er for tiden uregulert eller bare delvis regulert. Det er uklart hvem som vil være ansvarlig for å implementere AI-prinsipper i disse sammenhengene, som inkluderer: sensitiv praksis som rekruttering og ansettelse, som ikke overvåkes fullstendig av regulatorer, selv innenfor regulerte sektorer; offentlige tjenester som utdanning og politi, som overvåkes og håndheves av et ujevnt nettverk av regulatorer; aktiviteter utført av sentrale myndigheter, som ofte ikke er direkte regulert, for eksempel ytelsesadministrasjon eller avsløring av skattesvindel; uregulerte deler av privat sektor, som detaljhandel.
“AI blir distribuert og brukt i alle sektorer, men Storbritannias diffuse juridiske og regulatoriske nettverk for AI har for tiden betydelige hull. Det er behov for klarere rettigheter og nye institusjoner for å sikre at sikkerhetstiltak strekker seg over hele økonomien», antydes det også.
En annen voksende selvmotsigelse for regjeringens påståtte “AI-lederskap”-posisjon er at dens bud på at landet skal bli et globalt AI-sikkerhetsnav blir direkte undergravd av in-train innsats for å vanne ned innenlandsk beskyttelse for folks data – for eksempel ved å senke beskyttelsen når de er underlagt automatiserte avgjørelser med betydelig og/eller juridisk innvirkning – via lovforslaget om databeskyttelse og digital informasjon (nr. 2).
Mens regjeringen så langt har unngått de mest hodestøtende Brexiteer-forslagene for å rippe opp EU-avledet databeskyttelsesregelbok – for eksempel sletting av hele artikkel 22 (som omhandler beskyttelse for automatiserte avgjørelser) fra Storbritannias generelle databeskyttelsesforordning — Det er likevel i gang med en plan for å redusere beskyttelsesnivået som borgere nyter godt av under gjeldende databeskyttelseslovgivning på ulike måter, til tross for den nye ambisjonen om å gjøre Storbritannia til et globalt sikkerhetsknutepunkt for AI.
«UK GDPR – det juridiske rammeverket for databeskyttelse som for tiden er i kraft i Storbritannia – gir beskyttelse som er avgjørende for å beskytte enkeltpersoner og samfunn mot potensielle AI-skader. Lovforslaget om databeskyttelse og digital informasjon (nr. 2), som ble fremmet i sin nåværende form i mars 2023, endrer disse beskyttelsene betydelig», advarer instituttet, og peker for eksempel på lovforslaget som fjerner et forbud mot mange typer automatiserte beslutninger – og i stedet å kreve at behandlingsansvarlige har “sikkerhetstiltak på plass, for eksempel tiltak for å gjøre det mulig for en enkeltperson å bestride avgjørelsen” – som den hevder er et lavere beskyttelsesnivå i praksis.
“Avhengigheten av regjeringens foreslåtte rammeverk på eksisterende lovgivning og regulatorer gjør det enda viktigere at underliggende regulering som databeskyttelse styrer AI på riktig måte,” fortsetter det. “Juridisk rådgivning på oppdrag fra Ada Lovelace Institute . . . antyder at eksisterende sikkerhetstiltak for automatisert behandling kanskje ikke i praksis gir tilstrekkelig beskyttelse til folk som samhandler med dagligdagse tjenester, som å søke om lån.”
“Tatt samlet risikerer lovforslagets endringer ytterligere å undergrave regjeringens reguleringsforslag for AI,” legger rapporten til.
Instituttets første anbefaling er derfor at regjeringen revurderer elementer av databeskyttelsesreformen som “sannsynligvis vil undergrave sikker utvikling, distribusjon og bruk av AI, for eksempel endringer i rammeverket for ansvarlighet.” Den anbefaler også at regjeringen utvider sin gjennomgang for å se på eksisterende rettigheter og beskyttelser i britisk lov – med sikte på å tette eventuelle andre lovgivningshull og innføre nye rettigheter og beskyttelser for personer som er berørt av AI-informerte beslutninger der det er nødvendig.
Andre anbefalinger i rapporten inkluderer å innføre en lovfestet plikt for regulatorer til å ta hensyn til de nevnte prinsippene, inkludert “streng åpenhet og ansvarlighetsforpliktelser” og gi dem mer finansiering/ressurser for å takle AI-relaterte skader; utforske innføringen av et felles sett med fullmakter for regulatorer, inkludert en forhåndsutviklerfokusert reguleringsevne; og at regjeringen bør se på om det bør etableres et AI-ombud for å støtte personer som er negativt berørt av AI.
Instituttet anbefaler også regjeringen å klargjøre loven rundt kunstig intelligens og ansvar – som er et annet område der EU allerede ligger foran.
Når det gjelder grunnleggende modellsikkerhet – et område som har fått spesiell interesse og oppmerksomhet fra den britiske regjeringen i det siste, takket være den virale buzzen rundt generative AI-verktøy som OpenAIs ChatGPT – mener instituttet også at regjeringen må gå lenger, og anbefaler britiske utviklere av Grunnleggende modeller bør gis obligatoriske rapporteringskrav for å gjøre det lettere for regulatorer å holde seg på toppen av en teknologi som beveger seg veldig raskt.
Det antyder til og med at ledende grunnleggende modellutviklere, som OpenAI, Google DeepMind og Anthropic, bør være pålagt å gi myndighetene varsel når de (eller eventuelle underprosessorer de jobber med) begynner i storskala opplæringskjøringer av nye modeller.
“Dette vil gi regjeringen et tidlig varsel om fremskritt i AI-evner, slik at beslutningstakere og regulatorer kan forberede seg på virkningen av denne utviklingen, i stedet for å bli tatt uvitende,” antyder den, og legger til at rapporteringskrav også bør inkludere informasjon som tilgang til dataene som brukes til å trene modeller; resultater fra interne revisjoner; og forsyningskjededata.
Et annet forslag er at regjeringen investerer i små pilotprosjekter for å styrke sin egen forståelse av trender innen AI FoU.
I en uttalelse om rapportens funn, sa Michael Birtwistle, assisterende direktør ved Ada Lovelace Institute:
Regjeringen anerkjenner med rette at Storbritannia har en unik mulighet til å være verdensledende innen AI-regulering, og statsministeren bør berømmes for sitt globale lederskap på dette spørsmålet. Imidlertid hviler Storbritannias troverdighet på AI-regulering på regjeringens evne til å levere et verdensledende reguleringsregime hjemme. Innsats for internasjonal koordinering er svært velkommen, men den er ikke tilstrekkelig. Regjeringen må styrke sine nasjonale forslag til regulering dersom den ønsker å bli tatt på alvor på AI og nå sine globale ambisjoner.