Protección del futuro de la inteligencia artificial y el aprendizaje automático en Microsoft

  • Artículo

Por Andrew Marshall, Raul Rojas, Jay Stokes y Donald Brinkman

Un agradecimiento especial a Mark Cartwright y Graham Calladine

Resumen ejecutivo

La inteligencia artificial (IA) y el aprendizaje automático (ML) ya tienen un gran impacto en cómo trabajan, socializan y viven sus vidas. A medida que aumenta el consumo de productos y servicios creados en torno a la inteligencia artificial y el aprendizaje automático, se deben emprender acciones especializadas para proteger no solo a los clientes y sus datos, sino también para proteger la inteligencia artificial y sus algoritmos de abuso, trolling y extracción. En este documento se comparten algunas de las lecciones sobre seguridad que Microsoft ha aprendido de diseñar productos y ofrecer servicios en línea basados en inteligencia artificial. Aunque es difícil predecir cómo se desarrolla esta área, hemos concluido que hay problemas accionables para abordar ahora. Además, descubrimos que hay problemas estratégicos para los que el sector tecnológico debe prepararse a fin de garantizar la protección a largo plazo de los clientes y la seguridad de sus datos.

Este documento no trata sobre los ataques basados en ia ni siquiera la inteligencia artificial que aprovechan los adversarios humanos. En su lugar, nos centramos en los problemas que los asociados de Microsoft y del sector deben abordar para proteger los productos y servicios basados en ia frente a ataques altamente sofisticados, creativos y malintencionados, ya sean llevados a cabo por trolls individuales o paquetes de lobos completos.

Este documento se centra completamente en los problemas de ingeniería de seguridad exclusivos del espacio de inteligencia artificial y aprendizaje automático, pero debido a la naturaleza expansiva del dominio de InfoSec, se entiende que los problemas y los hallazgos que se describen aquí se superponen a un grado con los dominios de privacidad y ética. Dado que el presente documento destaca los desafíos de importancia estratégica para el sector tecnológico, el público de destino de este documento son los líderes de todo el sector de ingeniería de seguridad.

Nuestras primeras conclusiones sugieren lo siguiente:

  • Para mitigar los tipos de problemas de seguridad que se describen en este documento, se necesitan apartados específicos para la inteligencia artificial y el aprendizaje automático en relación con las prácticas de seguridad existentes.

  • En gran medida, los modelos de Machine Learning no pueden distinguir entre entradas malintencionadas y datos anómalos inofensivos. Un origen significativo de datos de entrenamiento se deriva de conjuntos de datos públicos no protegibles, no modernos, abiertos a 3contribuciones de rd-party. Los atacantes no necesitan poner en peligro los conjuntos de datos cuando son libres de contribuir a ellos. Con el tiempo, los datos malintencionados de confianza baja se convierten en datos de confianza de elevada confianza, si la estructura o el formato de los datos permanecen correctos.

  • Dado el gran número de capas de clasificadores o neuronas ocultos que se pueden usar en un modelo de aprendizaje profundo, se coloca demasiada confianza en la salida de los procesos y algoritmos de toma de decisiones de IA/ML sin una comprensión crítica de cómo se han alcanzado estas decisiones. Esta ofuscación crea una imposibilidad de "mostrar su trabajo" y dificulta defender de manera probada las conclusiones de inteligencia artificial o aprendizaje automático cuando se ponen en duda.

  • La inteligencia artificial y el aprendizaje automático se usan cada vez más para asistir en procesos de toma de decisiones de alto valor en medicina y otros sectores donde la decisión equivocada puede dar lugar a lesiones graves o fallecimientos. La falta de funcionalidades de informes forenses en inteligencia artificial y aprendizaje automático impide que estas conclusiones de alto valor se puedan defender tanto en un tribunal de justicia como en el tribunal de la opinión pública.

Los objetivos de este documento son resaltar (1) los problemas de ingeniería de seguridad, que son únicos para el espacio de IA/ML, (2) exponen algunos pensamientos iniciales y observaciones sobre amenazas emergentes y (3) comparten pensamientos anticipados sobre posibles correcciones. Algunos de los desafíos que se tratan en este documento son los problemas en los que el sector tiene que avanzar en los próximos dos años, otros son problemas que ya nos hemos visto obligados a abordar en la actualidad. Sin una investigación más profunda sobre las áreas que se tratan en este documento, corremos el riesgo de que la inteligencia artificial futura se convierta en una caja negra a través de nuestra incapacidad de confiar o comprender (y modificar si es necesario) procesos de toma de decisiones de ia en un nivel matemático [7]. Desde una perspectiva de seguridad, esto significa efectivamente la pérdida de control y una salida de los principios rectores de Microsoft sobre inteligencia artificial [3, 7].

Nuevos desafíos de la ingeniería de seguridad

Los vectores de ataque de software tradicionales siguen siendo críticos para abordar, pero no proporcionan cobertura suficiente en el panorama de amenazas de IA/ML. El sector tecnológico debe evitar combatir los problemas de próxima generación con soluciones de última generación, y debe crear nuevos marcos y adoptar nuevos enfoques que aborden las brechas en el diseño y el funcionamiento de los servicios basados en inteligencia artificial y aprendizaje automático:

  1. Como se describe más adelante, las bases seguras del desarrollo y de las operaciones deben incorporar los conceptos de "resistencia" y "discreción" al proteger la inteligencia artificial y los datos bajo su control. Son necesarios apartados específicos para la inteligencia artificial en las áreas de autenticación, separación de tareas, validación de entradas y mitigación de denegación de servicio. Sin inversiones en estas áreas, los servicios de inteligencia artificial y aprendizaje automático siguen luchando contra adversarios de todos los niveles de habilidad.

  2. La inteligencia artificial debe ser capaz de reconocer el sesgo en los demás, sin padecer el sesgo en sus propias interacciones con las personas. Para ello, se requiere una comprensión colectiva y en constante evolución de los sesgos, estereotipos, jergas y otras construcciones culturales. Esta comprensión ayuda a proteger la inteligencia artificial frente a ataques de manipulación de conjuntos de datos e ingeniería social. Un sistema implementado correctamente se vuelve más fuerte a partir de estos ataques y ser capaz de compartir su comprensión ampliada con otras API.

  3. Los algoritmos de Machine Learning deben ser capaces de distinguir datos introducidos malintencionadamente de eventos "Black Swan" benignos [1] rechazando los datos de entrenamiento con impacto negativo en los resultados. De lo contrario, los modelos de aprendizaje siempre son susceptibles a los juegos por parte de atacantes y trolls.

  4. La inteligencia artificial debe tener funcionalidades forenses integradas. Esto permite a las empresas proporcionar a los clientes transparencia y responsabilidad de su inteligencia artificial, lo que garantiza que sus acciones no sean solo verificables, sino también legalmente defensibles. Estas funcionalidades también sirven de forma precoz de "detección de intrusiones en la inteligencia artificial", lo que permite a los ingenieros establecer el punto exacto en el que un clasificador tomó una decisión, qué datos influyeron en ella y si esos datos eran de confianza o no. Las funcionalidades de visualización de datos en esta área avanzan rápidamente y muestran la promesa de ayudar a los ingenieros a identificar y resolver las causas principales de estos problemas complejos [10].

  5. La inteligencia artificial debe reconocer y proteger la información confidencial, incluso si las personas no la reconocen como tal. Las experiencias de usuario enriquecidas en la inteligencia artificial exigen grandes cantidades de datos sin procesar con los cuales entrenar, por lo que se debe planificar el "uso compartido excesivo" por parte de los clientes.

Cada una de estas áreas, incluidas las amenazas y las posibles mitigaciones, se describe en detalle a continuación.

La inteligencia artificial requiere nuevos apartados frente a los modelos tradicionales de diseño seguro y operaciones seguras: la introducción de resistencia y discreción

Los diseñadores de inteligencia artificial necesitan garantizar la confidencialidad, integridad y disponibilidad de datos confidenciales, que el sistema de inteligencia artificial está libre de vulnerabilidades conocidas y proporcionan controles para la protección, detección y respuesta al comportamiento malintencionado contra el sistema o los datos del usuario.

Las formas tradicionales de defenderse contra ataques malintencionados no proporcionan la misma cobertura en este nuevo paradigma, donde los ataques basados en voz, vídeo o imagen pueden eludir los filtros y defensas actuales. Deben explorarse nuevos aspectos del modelado de amenazas con el fin de evitar que los nuevos abusos se aprovechen de nuestra inteligencia artificial. Esto va mucho más allá de la identificación de la superficie tradicional expuesta a ataques a través de pruebas de vulnerabilidad ante datos aleatorios o inesperados y la manipulación de entradas (esos ataques tienen también sus propios apartados específicos de inteligencia artificial). Exige incorporar escenarios exclusivos del espacio de inteligencia artificial y aprendizaje automático. Entre estos, la clave está en las experiencias de usuario de inteligencia artificial, como voz, vídeo y gestos. Las amenazas asociadas a estas experiencias no se han modelado tradicionalmente. Por ejemplo, el contenido de vídeo ahora se está adaptando para inducir efectos físicos. Además, la investigación demuestra que los comandos de ataque basados en audio se pueden crear [9].

La impredecibilidad, la creatividad y la malintencionalidad de delincuentes, adversarios decididos y trols nos exigen inculcar a nuestras inteligencias artificiales resistencia y discreción:

Resistencia: el sistema debe ser capaz de identificar comportamientos anómalos y evitar la manipulación o la coerción fuera de los límites normales del comportamiento aceptable en relación con el sistema de IA y la tarea específica. Estos son nuevos tipos de ataques específicos del espacio de la inteligencia artificial y el aprendizaje automático. Los sistemas deben diseñarse para resistir las entradas que, de lo contrario, entrarían en conflicto con las leyes locales, la ética y los valores de la comunidad y de sus creadores. Esto significa dotar a inteligencia artificial con capacidad para decidir si una interacción "se aparta del libreto". Esto puede lograrse con los métodos siguientes:

  1. Identifique usuarios individuales que se desvíen de las normas establecidas por los distintos clústeres grandes de usuarios similares, por ejemplo, los usuarios que parecen escribir demasiado rápido, responder demasiado rápido, no dormir ni desencadenar partes del sistema que otros usuarios no.

  2. Identifique patrones de comportamiento que se sabe son indicadores de ataques de sondeo con intenciones malintencionadas y del inicio de la cadena de exterminio de intrusiones de red.

  3. Reconocer cada vez que varios usuarios actúan de forma coordinada; por ejemplo, varios usuarios emiten la misma consulta que no se puede explicar deliberadamente, picos repentinos en el número de usuarios o picos repentinos en la activación de partes específicas de un sistema de inteligencia artificial.

Los ataques de este tipo deben considerarse a la par de los ataques de denegación de servicio, ya que la inteligencia artificial puede requerir correcciones de errores y volver a entrenar para no caer en los mismos trucos de nuevo. La importancia crítica es la capacidad de identificar intenciones malintencionadas en presencia de contramedidas, como las que se usan para derrotar a las API de análisis de sentimiento [4].

Discreción: la IA debe ser un custodio responsable y confiable de toda la información a la que tenga acceso. Como seres humanos, sin duda asignamos un cierto nivel de confianza en nuestras relaciones de inteligencia artificial. En algún momento, estos agentes se comunicarán con otros agentes u otros usuarios en nuestro nombre. Debemos ser capaces de confiar en que un sistema de inteligencia artificial tendrá la suficiente discreción para compartir de manera restringida solo lo que deba compartirse sobre nosotros de modo que otros agentes puedan completar tareas en su nombre. Además, varios agentes que interactúan con datos personales en nuestro nombre no deben necesitar acceso global a ellos. Cualquier escenario de acceso a datos que involucre a varios agentes bot o de inteligencia artificial debe limitar la duración del acceso a la extensión mínima necesaria. Además, los usuarios deben poder denegar los datos y rechazar la autenticación de los agentes de empresas o configuraciones regionales específicas, al igual que los exploradores web permiten bloquear sitios en la actualidad. Resolver este problema requiere un nuevo pensamiento sobre la autenticación entre agentes y los privilegios de acceso a datos, como las inversiones en autenticación de usuario basadas en la nube hechas en los primeros años de la informática en la nube.

La inteligencia artificial debe ser capaz de reconocer el sesgo en los demás, sin padecer el sesgo propio

Si bien la inteligencia artificial debe ser equitativa e inclusiva sin discriminar respecto a un grupo concreto de personas o resultados válidos, debe tener una comprensión innata del sesgo para poder lograrlo. Sin estar entrenado para reconocer sesgos, trolling o sarcasm, la inteligencia artificial puede ser engañada por aquellos que buscan risas baratas en el mejor de los casos, o causar daños a los clientes en el peor de los casos.

Lograr este nivel de conciencia exige que "buenas personas enseñen cosas malas a la inteligencia artificial", ya que requiere un conocimiento completo y en constante evolución de los sesgos culturales. La inteligencia artificial debería ser capaz de reconocer a un usuario con el que tenía interacciones negativas con en el pasado y ejercer la precaución adecuada, de forma similar a cómo los padres enseñan a sus hijos a ser cautelosos de extraños. La mejor manera de abordar esto es exponer a la inteligencia artificial a troles de manera controlada, moderada o limitada. De este modo, la inteligencia artificial puede aprender la diferencia entre un usuario inofensivo que está "probando el producto" y una conducta malintencionada o trolling reales. Los trols proporcionan un valioso flujo de datos de entrenamiento para la inteligencia artificial, lo que la hace más resistente frente a ataques futuros.

La inteligencia artificial también debe ser capaz de reconocer el sesgo en los conjuntos de datos con los que se entrena. Esto podría ser cultural o regional, con la jerga en uso por parte de un grupo determinado de personas, o temas o puntos de vista de interés específico para un grupo. Al igual que con los datos de entrenamiento introducidos malintencionadamente, la inteligencia artificial debe ser resistente a los efectos de estos datos en sus propias inferencias y deducciones. En esencia, se trata de un tema de validación de entradas sofisticado con similitudes con la comprobación de límites. En lugar de tratar con longitudes y desplazamientos del búfer, las comprobaciones de búferes y límites son palabras de alerta de una amplia gama de orígenes. El historial de conversaciones y el contexto en el que se usan las palabras también son claves. Así como se usan prácticas de defensa en profundidad para incluir protecciones en capas sobre un front-end tradicional de API de servicios web, las técnicas de reconocimiento y prevención de sesgos deben aprovechar varias capas de protección.

Los algoritmos de Machine Learning deben ser capaces de distinguir datos introducidos malintencionadamente de eventos "Black Swan" benignos

Se publican numerosas notas del producto sobre el potencial teórico de manipulación y extracción y robo de ml de servicios en los que los atacantes tienen acceso tanto al conjunto de datos de entrenamiento como a una comprensión informada del modelo en uso [2, 3, 6, 7]. El problema sobre el arco aquí es que un atacante que tiene control sobre los datos del conjunto de entrenamiento pueden engañar a todos los clasificadores de ML. Los atacantes ni siquiera necesitan la capacidad de modificar los datos del conjunto de entrenamiento existentes, solo tienen que poder agregarles datos y lograr que sus entradas se vuelvan "de confianza" con el tiempo, gracias a la incapacidad del clasificador de aprendizaje automático de diferenciar datos malintencionados de datos anómalos auténticos.

Este problema de la cadena de suministro de datos de entrenamiento nos presenta el concepto de "integridad de la decisión": la capacidad de detectar y rechazar datos de entrenamiento o entradas del usuario introducidos de forma malintencionada, antes de que tenga un impacto negativo en el comportamiento del clasificador. La justificación aquí es que los datos de entrenamiento de confianza tienen una mayor probabilidad de generar resultados o decisiones de confianza. Aunque sigue siendo fundamental entrenar y ser resistentes a los datos que no son de confianza, se debe analizar la naturaleza malintencionada de esos datos antes de convertirse en parte de un cuerpo de alta confianza de los datos de entrenamiento. Sin estas medidas, la inteligencia artificial podría verse forzada a reaccionar en exceso ante actos de trolling y denegar el servicio a usuarios legítimos.

Esto genera una especial preocupación en los casos en que los algoritmos de aprendizaje sin supervisión se entrenan en conjuntos de datos sin mantener o que no son de confianza. Esto significa que los atacantes pueden introducir los datos que deseen, siempre que el formato sea válido y que el algoritmo se entrene con ellos, con lo que confiará en ese punto de datos de la misma manera que lo hace con el resto del conjunto de entrenamiento. Con una cantidad suficiente de entradas elaboradas por el atacante, el algoritmo de entrenamiento pierde la capacidad de discernir el ruido y las anomalías de los datos de alta confianza.

Como ejemplo de esta amenaza, imagine una base de datos de señales de alto en todo el mundo, en todos los idiomas. Esto sería sumamente difícil de mantener debido al número de imágenes e idiomas involucrados. La contribución malintencionada a ese conjunto de datos pasaría desapercibida en gran medida hasta que los coches autónomos ya no reconozcan las señales de alto. Las mitigaciones de resistencia de datos e integridad de decisión tienen que trabajar a mano aquí para identificar y eliminar los daños de entrenamiento realizados por datos malintencionados para evitar que se conviertan en una parte fundamental del modelo de aprendizaje.

La inteligencia artificial debe tener integrado un registro forense y de seguridad para brindar transparencia y responsabilidad

En definitiva, la inteligencia artificial podrá actuar en calidad profesional como agente en nuestro nombre y ayudarnos con la toma de decisiones de alto impacto. Un ejemplo de esto podría ser una inteligencia artificial que ayuda al procesamiento de transacciones financieras. Si se aprovecha la inteligencia artificial y las transacciones manipuladas de alguna manera, las consecuencias pueden variar desde el individuo hasta el sistémico. En escenarios de alto valor, la inteligencia artificial necesita un registro forense y de seguridad adecuado para proporcionar integridad, transparencia, responsabilidad y, en algunos casos, evidencias en las que pueda surgir responsabilidad civil o penal.

Los servicios de INTELIGENCIA artificial esenciales necesitan instalaciones de auditoría o seguimiento de eventos en el nivel de algoritmo en el que los desarrolladores pueden examinar el estado registrado de clasificadores específicos, lo que puede haber llevado a una decisión inexacta. Esta funcionalidad es necesaria en todo el sector con el fin de demostrar la corrección y la transparencia de las decisiones generadas mediante inteligencia artificial siempre que se pongan en duda.

Las funciones de seguimiento de eventos podrían comenzar con la correlación de información básica de toma de decisiones, por ejemplo:

  1. El período de tiempo en el que tuvo lugar el último evento de entrenamiento

  2. La marca de tiempo de la entrada del conjunto de datos más reciente con el que se entrenó

  3. Las ponderaciones y niveles de confianza de los clasificadores clave usados para llegar a decisiones de alto impacto

  4. Los clasificadores o componentes involucrados en la decisión

  5. La decisión de alto valor final alcanzada por el algoritmo

Este seguimiento es excesivo para la mayoría de la toma de decisiones asistida por algoritmos. Sin embargo, tener la capacidad de identificar los puntos de datos y los metadatos del algoritmo que conducen a resultados específicos son de gran ventaja en la toma de decisiones de alto valor. Estas funcionalidades no solo muestran la confiabilidad e integridad a través de la capacidad del algoritmo de "mostrar su trabajo", sino que estos datos también se pueden usar para ajustar correctamente.

Otra funcionalidad forense necesaria en la inteligencia artificial y el aprendizaje automático es la detección de alteraciones. Del mismo modo que necesitamos que las inteligencias artificiales reconozcan los sesgos y no sean susceptibles a ellos, deberíamos tener disponibles funcionalidades forenses para ayudar a nuestros ingenieros a detectar y responder a tales ataques. Estas funcionalidades forenses son de gran valor cuando se emparejan con técnicas de visualización de datos [10] lo que permite la auditoría, depuración y ajuste de algoritmos para obtener resultados más eficaces.

La inteligencia artificial debe proteger la información confidencial, incluso si los usuarios no lo hacen

Las experiencias enriquecidas exigen datos enriquecidos. Los seres humanos ya entregan enormes cantidades de datos con los cuales entrenar el aprendizaje automático. Esto abarca desde el contenido cotidiano de las colas de streaming de vídeos hasta las tendencias en compras con tarjetas de crédito e historiales de transacciones que se usan para detectar fraudes. La inteligencia artificial debe tener una sensación de discreción ingrainada cuando se trata de controlar los datos de los usuarios, siempre actuando para protegerlo incluso cuando se ofrece libremente por un público de uso compartido excesivo.

Dado que una inteligencia artificial puede tener un grupo autenticado de "compañeros" con los que se comunique para realizar tareas complejas, también debe reconocer la necesidad de restringir los datos que comparte con esos pares.

Observaciones tempranas sobre el abordaje de los problemas de seguridad de IA

A pesar del estado naciente de este proyecto, creemos que la evidencia compilada hasta la fecha muestra una investigación más profunda en cada una de las áreas siguientes es clave para mover nuestra industria hacia productos y servicios de INTELIGENCIA artificial y aprendizaje automático más confiables y seguros. A continuación se muestran nuestras primeras observaciones y opiniones sobre lo que nos gustaría ver al respecto.

  1. Podrían definirse pruebas de penetración y organismos de revisión de seguridad centrados en inteligencia artificial y aprendizaje automático con el fin de asegurar que la inteligencia artificial futura comparta nuestros valores y se alinee con los Principios de Asilomar sobre inteligencia artificial.

    1. Este grupo también podría desarrollar herramientas y marcos que puedan consumirse en todo el sector para apoyar la protección de sus servicios basados en inteligencia artificial y aprendizaje automático.
    2. Con el tiempo, los grupos de ingeniería acumularán esta experiencia de manera orgánica, como ha sucedido con la experiencia en seguridad tradicional en los últimos 10 años.

  2. El entrenamiento podría desarrollarse de manera que permita a las empresas cumplir con los objetivos, como la democratización de la inteligencia artificial, a la vez que se mitigan los desafíos descritos en este documento.

    1. El entrenamiento en seguridad específico de la inteligencia artificial garantiza que los ingenieros conozcan los riesgos que corre su inteligencia artificial y los recursos a su disposición. Este material debe entregarse con la formación actual sobre la protección de los datos de los clientes.
    2. Esto puede lograrse sin necesidad de que cada científico de datos se convierta en experto en seguridad; en su lugar, el foco se pone en educar a los desarrolladores en resistencia y discreción según se aplique a sus casos de uso de inteligencia artificial.
    3. Los desarrolladores deberán comprender los "bloques de creación" seguros de los servicios de inteligencia artificial que se reutilizan en su empresa. Debe haber un énfasis en el diseño tolerante a errores con subsistemas, que se pueden desactivar fácilmente (por ejemplo, procesadores de imágenes, analizadores de texto).

  3. Los clasificadores de aprendizaje automático y sus algoritmos subyacentes se podrían fortalecer y hacerse capaces de detectar datos de entrenamiento malintencionados sin que se contaminen los datos de entrenamiento válidos actualmente en uso ni se sesguen los resultados.

    1. Las técnicas como Reject on Negative Input [5] necesitan ciclos de investigador para investigar.

    2. Este trabajo implica la comprobación matemática, la prueba de concepto en el código y las pruebas de datos malintencionados y anómalos inofensivos.

    3. La comprobación o moderación humanas podrían ser beneficiosas en este sentido, en especial cuando existan anomalías estadísticas.

    4. Se podrían crear "clasificadores supervisores" para lograr una comprensión más universal de las amenazas entre varias inteligencias artificiales. Esto mejora enormemente la seguridad del sistema, ya que el atacante ya no podrá filtrar ningún modelo en particular.

    5. Las inteligencias artificiales se podrían vincular para detectar las amenazas en los sistemas entre sí.

  4. Se podría crear una biblioteca centralizada de auditoría/análisis forense de aprendizaje automático que estableciera una norma para la transparencia y la confiabilidad de la inteligencia artificial.

    1. También se podrían crear funcionalidades de consulta para la auditoría y reconstrucción de decisiones de gran impacto empresarial por parte de la inteligencia artificial.

  5. La jerga en uso por los adversarios entre los distintos grupos culturales y medios sociales se podría inventariar y analizar continuamente mediante inteligencia artificial para detectar y responder ante trolling, sarcasmos, etc.

    1. Las inteligencias artificiales deben ser resistentes a todos los tipos de jergas, ya sean técnicas, regionales o específicas de un foro.

    2. Este cuerpo de conocimiento también se puede usar en el filtrado de contenido, etiquetado o automatización de bloqueo para abordar problemas de escalabilidad de moderadores.

    3. Esta base de datos global de términos podría hospedarse en bibliotecas de desarrollo o, incluso, exponerse a través de API de servicios en la nube para su reutilización por parte de distintas inteligencias artificiales, para garantizar que las nuevas inteligencias artificiales se beneficien de la sabiduría combinada de las más antiguas.

  6. Se puede crear un "marco de pruebas de vulnerabilidad ante datos aleatorios o inesperados para el aprendizaje automático", que ofrezca a los ingenieros la capacidad de insertar varios tipos de ataques en los conjuntos de entrenamiento de prueba para su evaluación por parte de la inteligencia artificial.

    1. Esto podría centrarse en no solo texto vernáculo, sino en datos de imagen, voz y gestos y permutaciones de esos tipos de datos.

Conclusión

Los Principios de Asilomar sobre inteligencia artificial ilustran la complejidad de alcanzar una inteligencia artificial que resulte beneficiosa para la humanidad de manera constante. Las API futuras deben interactuar con otras API para ofrecer experiencias de usuario enriquecidas y atractivas. Esto significa que simplemente no es lo suficientemente bueno para Que Microsoft "consiga la inteligencia artificial correcta" desde una perspectiva de seguridad, el mundo tiene que hacerlo. Necesitamos la alineación y la colaboración del sector con una mayor visibilidad de las cuestiones de este documento de una manera similar a nuestra inserción mundial para un Convenio digital de Ginebra [8]. Al abordar los problemas que se presentan aquí, podremos empezar a guiar a nuestros clientes y socios del sector por una ruta en la que la inteligencia artificial esté verdaderamente democratizada y aumente la inteligencia de toda la humanidad.

Bibliografía

[1] Taleb, Nassim Nicholas (2007), The Black Swan: The Impact of the Highly Improbable, Random House, ISBN 978-1400063512

[2] Florian Tramèr, Fan Zhang, Ari Juels, Michael K. Reiter, Thomas Ristenpart,Stealing Machine Learning Models via Prediction APIs

[3] Satya Nadella:The Partnership of the Future

[4] Claburn, Thomas:la inteligencia artificial de destrucción de trolls de Google no puede hacer frente a errores tipográficos

[5] Marco Barreno, Blaine Nelson, Anthony D. Joseph, J.D. Tygar:La seguridad del aprendizaje automático

[6] Wolchover, Natalie:This Artificial Intelligence Pioneer tiene algunas preocupaciones

[7] Conn, Ariel:¿Cómo alineamos la inteligencia artificial con los valores humanos?

[8] Smith, Brad:La necesidad de una acción colectiva urgente para mantener a las personas seguras en línea: Lecciones del ciberataque de la semana pasada

[9] Nicholas Carlini, Pratyush Mishra, Tavish Vaidya, Yuankai Zhang, Micah Sherr, Clay Shields, David Wagner, Wenchao Zhou:Hidden Voice Commands

[10] Fernanda Viégas, Martin Wattenberg, Daniel Smilkov, James Wexler, Jimbo Wilson, Nikhil Thorat, Charles Nicholson, Google Research:Big Picture