Ley de IA de la UE: el borrador de orientación para las IA de uso general muestra los primeros pasos para que las grandes IA cumplan

SparkLabs closes $50M fund to back AI startups

Se ha publicado un primer borrador de un Código de prácticas que se aplicará a los proveedores de modelos de IA de uso general según la Ley de IA de la Unión Europea, junto con una invitación a recibir comentarios (abierta hasta el 28 de noviembre) mientras el proceso de redacción continúa hasta el próximo año. de plazos formales de cumplimiento que entrarán en vigor en los próximos años.

La ley paneuropea, que entró en vigor este verano, regula las aplicaciones de inteligencia artificial en un marco basado en riesgos. Pero también apunta algunas medidas a modelos de IA fundamentales (o de propósito general) más poderosos. Aquí es donde entrará en juego este Código de prácticas.

Entre los que probablemente estén en el marco se encuentran OpenAI, fabricante de los modelos GPT, que sustentan el chatbot de IA ChatGPT, Google con sus GPAI Gemini, Meta con Llama, Anthropic con Claude y otros como el francés Mistral. Se esperará que respeten el Código de prácticas de IA de uso general si quieren asegurarse de cumplir con la Ley de IA y así evitar el riesgo de que se les aplique la ley por incumplimiento.

Para ser claros, el Código pretende proporcionar orientación para cumplir con las obligaciones de la Ley de IA de la UE. Los proveedores de GPAI pueden optar por desviarse de las sugerencias de mejores prácticas si creen que pueden demostrar el cumplimiento mediante otras medidas.

Este primer borrador del Código tiene 36 páginas, pero es probable que se alargue, tal vez considerablemente, ya que los redactores advierten que es ligero en detalles ya que es “un plan de redacción de alto nivel que describe nuestros principios rectores y objetivos para el Código”.

El borrador está plagado de recuadros que plantean “preguntas abiertas” que los grupos de trabajo encargados de producir el Código aún tienen que resolver. La retroalimentación solicitada –de la industria y la sociedad civil– claramente desempeñará un papel clave en la configuración del contenido de submedidas e indicadores clave de desempeño (KPI) específicos que aún no se han incluido.

Pero el documento da una idea de lo que se avecina (en términos de expectativas) para los fabricantes de GPAI, una vez que se apliquen los plazos de cumplimiento pertinentes.

Los requisitos de transparencia para los fabricantes de GPAI entrarán en vigor el 1 de agosto de 2025.

Pero para las GPAI más poderosas (aquellas que la ley define como de “riesgo sistémico”), la expectativa es que deben cumplir con los requisitos de evaluación y mitigación de riesgos 36 meses después de su entrada en vigor (o el 1 de agosto de 2027).

Hay una advertencia adicional: el borrador del Código se elaboró ​​partiendo del supuesto de que sólo habrá “un pequeño número” de fabricantes de GPAI y de GPAI con riesgo sistémico. “Si esa suposición resulta errónea, es posible que sea necesario cambiar significativamente los borradores futuros, por ejemplo, introduciendo un sistema escalonado de medidas más detallado destinado a centrarse principalmente en aquellos modelos que presentan los mayores riesgos sistémicos”, advierten los redactores.

En el frente de la transparencia, el Código establecerá cómo las GPAI deben cumplir con las disposiciones de información, incluso en el área del material protegido por derechos de autor.

Un ejemplo aquí es la “Submedida 5.2”, que actualmente compromete a los signatarios a proporcionar detalles del nombre de todos los rastreadores web utilizados para desarrollar la GPAI y sus características relevantes de robots.txt “incluso en el momento del rastreo”.

Los fabricantes de modelos GPAI continúan enfrentando preguntas sobre cómo adquirieron datos para entrenar sus modelos, con múltiples demandas presentadas por titulares de derechos que alegan que las empresas de IA procesaron ilegalmente información protegida por derechos de autor.

Otro compromiso establecido en el borrador del Código requiere que los proveedores de GPAI tengan un único punto de contacto y manejo de quejas para facilitar que los titulares de derechos comuniquen sus quejas “directa y rápidamente”.

Otras medidas propuestas relacionadas con los derechos de autor cubren la documentación que se espera que proporcionen las GPAI sobre las fuentes de datos utilizadas para “capacitación, prueba y validación y sobre las autorizaciones para acceder y utilizar contenido protegido para el desarrollo de una IA de propósito general”.

Riesgo sistémico

Las GPAI más poderosas también están sujetas a normas de la Ley de IA de la UE que tienen como objetivo mitigar el llamado “riesgo sistémico”. Estos sistemas de IA se definen actualmente como modelos que han sido entrenados utilizando una potencia informática total de más de 10^25 FLOP.

El Código contiene una lista de tipos de riesgos que se espera que los signatarios traten como riesgos sistémicos. Incluyen:

  • Riesgos ofensivos de ciberseguridad (como el descubrimiento de vulnerabilidades).
  • Riesgo químico, biológico, radiológico y nuclear.
  • “Pérdida de control” (aquí significa la incapacidad de controlar una “poderosa IA autónoma de propósito general) y uso automatizado de modelos para I+D de IA.
  • Persuasión y manipulación, incluida la desinformación/desinformación a gran escala que podría plantear riesgos para los procesos democráticos o conducir a una pérdida de confianza en los medios.
  • Discriminación a gran escala.

Esta versión del Código también sugiere que los creadores de GPAI podrían identificar otros tipos de riesgos sistémicos que tampoco están enumerados explícitamente, como violaciones y vigilancia de la privacidad “a gran escala”, o usos que podrían representar riesgos para la salud pública. Y una de las preguntas abiertas que plantea el documento aquí es qué riesgos deben priorizarse para agregarlos a la taxonomía principal. Otra es cómo la taxonomía de los riesgos sistémicos debería abordar los riesgos deepfake (relacionados con el material de abuso sexual infantil generado por IA y las imágenes íntimas no consensuadas).

El Código también busca brindar orientación sobre la identificación de atributos clave que podrían llevar a que los modelos creen riesgos sistémicos, como “capacidades de modelos peligrosos” (por ejemplo, ciberofensivas o “capacidades de adquisición o proliferación de armas”) y “propensiones de modelos peligrosos” (por ejemplo, ser desalineado con la intención y/o valores humanos; tener tendencia a engañar; confabulación; falta de confiabilidad y seguridad; y resistencia a la modificación de objetivos);

Si bien aún quedan muchos detalles por completar, a medida que continúa el proceso de redacción, los autores del Código escriben que sus medidas, submedidas y KPI deben ser “proporcionadas” con un enfoque particular en “adaptarse al tamaño y la capacidad de un proveedor específico, en particular PYMES y empresas emergentes con menos recursos financieros que aquellos que se encuentran en la frontera del desarrollo de la IA”. También se debe prestar atención a “diferentes estrategias de distribución (por ejemplo, el abastecimiento abierto), cuando corresponda, que reflejen el principio de proporcionalidad y tengan en cuenta tanto los beneficios como los riesgos”, añaden.

Muchas de las preguntas abiertas que plantea el borrador se refieren a cómo se deben aplicar medidas específicas a los modelos de código abierto.

Seguridad y protección en el marco.

Otra medida del código se refiere a un “Marco de seguridad y protección” (SSF). Se espera que los creadores de GPAI detallen sus políticas de gestión de riesgos e identifiquen “continua y exhaustivamente” los riesgos sistémicos que podrían surgir de su GPAI.

Aquí hay una submedida interesante sobre “Previsión de riesgos”. Esto comprometería a los signatarios a incluir en sus “estimaciones de mejor esfuerzo” del SSF cronogramas sobre cuándo esperan desarrollar un modelo que active indicadores de riesgo sistémico, como las capacidades y propensiones del modelo peligroso antes mencionado. Podría significar que, a partir de 2027, veremos desarrolladores de inteligencia artificial de vanguardia estableciendo plazos para determinar cuándo esperan que el desarrollo del modelo cruce ciertos umbrales de riesgo.

En otros lugares, el borrador del Código se centra en las GPAI con riesgo sistémico utilizando “las mejores evaluaciones de su clase” de las capacidades y limitaciones de sus modelos y aplicando “una variedad de metodologías adecuadas” para hacerlo. Los ejemplos enumerados incluyen: conjuntos de preguntas y respuestas, puntos de referencia, equipos rojos y otros métodos de pruebas adversas, estudios de elevación humana, organismos modelo, simulaciones y evaluaciones indirectas para materiales clasificados.

Otra submedida sobre “notificación de riesgos sistémicos sustanciales” comprometería a los signatarios a notificar a la Oficina de AI, un organismo de supervisión y dirección establecido en virtud de la Ley, “si tienen razones sólidas para creer que podría materializarse un riesgo sistémico sustancial”.

El Código también establece medidas sobre la “notificación de incidentes graves”.

“Los firmantes se comprometen a identificar y realizar un seguimiento de los incidentes graves, en la medida en que se originen en sus modelos de IA de propósito general con riesgo sistémico, documentar y reportar, sin demoras indebidas, cualquier información relevante y posibles medidas correctivas a la Oficina de IA y, como en su caso, a las autoridades nacionales competentes”, se lee, aunque una pregunta abierta asociada solicita información sobre “qué implica un incidente grave”. Así que parece que queda más trabajo por hacer para concretar definiciones.

El proyecto de Código incluye más preguntas sobre “posibles medidas correctivas” que podrían tomarse en respuesta a incidentes graves. También pregunta “¿qué procesos de respuesta a incidentes graves son apropiados para proveedores de peso abierto o de código abierto?”, entre otras formulaciones en busca de comentarios.

“Este primer borrador del Código es el resultado de una revisión preliminar de las mejores prácticas existentes por parte de los cuatro grupos de trabajo especializados, aportes de consultas de las partes interesadas de casi 430 presentaciones, respuestas del taller de proveedores, enfoques internacionales (incluido el Código de conducta del G7, el Los compromisos de seguridad de la IA de Frontier, la Declaración de Bletchley y los resultados de los organismos gubernamentales y normativos pertinentes) y, lo más importante, la propia Ley de IA”, concluyen los redactores.

“Resaltamos que este es sólo un primer borrador y en consecuencia las sugerencias en el borrador del Código son provisionales y sujetas a cambios”, añaden. “Por lo tanto, invitamos a sus comentarios constructivos a medida que desarrollamos y actualizamos el contenido del Código y trabajamos hacia una forma final más granular para el 1 de mayo de 2025”.

Leer más
Back to top button