En el vertiginoso avance de la tecnología moderna, la inteligencia artificial, especialmente los grandes modelos lingüísticos (LLM), se están convirtiendo en el centro de atención. Sin embargo, las leyes de ciberseguridad de Estados Unidos parecen no estar a la altura de este campo en rápida evolución. Recientemente, un grupo de académicos de la Universidad de Harvard señaló en la conferencia Black Hat que la Ley de Fraude Informático y Abuso (CFAA, por sus siglas en inglés) vigente no protege eficazmente a quienes realizan investigaciones en seguridad de la IA, e incluso podría exponerlos a riesgos legales.

Ley

Nota de la fuente de la imagen: La imagen fue generada por IA, el proveedor de servicios de autorización de imágenes es Midjourney

Estos académicos incluyen a Kendra Albert, Ram Shankar Siva Kumar y Jonathon Penney de la Facultad de Derecho de Harvard. Albert, en una entrevista, mencionó que la legislación actual no define claramente acciones como los "ataques de inyección de prompts", lo que dificulta a los investigadores determinar si sus acciones son ilegales. Afirmó que si bien algunos actos, como el acceso no autorizado a modelos, son claramente ilegales, la legalidad se vuelve difusa si los investigadores ya tienen permiso para usar un sistema de IA pero lo usan de una manera no deseada.

En 2021, el caso "Van Buren contra Estados Unidos" de la Corte Suprema de Estados Unidos cambió la interpretación de la CFAA, estableciendo que la ley solo se aplica a quienes acceden sin autorización a información interna de una computadora. Esta decisión tiene sentido en los sistemas informáticos tradicionales, pero resulta insuficiente cuando se trata de grandes modelos lingüísticos. Albert señala que la forma de interactuar con la IA mediante lenguaje natural complica esta definición legal, ya que la respuesta de la IA a menudo no equivale a recuperar información de una base de datos.

Simultáneamente, Siva Kumar también mencionó que el debate legal sobre la investigación de seguridad de la IA está mucho menos desarrollado que el de los derechos de autor, y él mismo no está seguro de si estaría protegido al realizar ciertas pruebas de ataque. Albert afirma que, dada la incertidumbre legal existente, es probable que el asunto se aclare en los tribunales mediante litigios en el futuro, pero por ahora deja a muchos investigadores "de buena fe" en una situación precaria.

En este contexto legal, Albert recomienda a los investigadores de seguridad que busquen asesoramiento legal para asegurarse de que sus acciones no infringen la ley. También le preocupa que las cláusulas legales ambiguas puedan disuadir a investigadores potenciales, dejando a los atacantes malintencionados impunes y creando mayores riesgos para la seguridad.

Puntos clave:

🛡️ La Ley de Fraude Informático y Abuso de EE. UU. ofrece una protección insuficiente a los investigadores de seguridad de la IA, quienes podrían enfrentar riesgos legales.

💡 La legislación actual carece de una definición clara de acciones como los ataques de inyección de prompts, lo que dificulta a los investigadores determinar su legalidad.

⚖️ Los académicos creen que en el futuro será necesario aclarar las cláusulas legales pertinentes mediante litigios para proteger a los investigadores de buena fe.