paint-brush
Wie die US-Regierung die Sicherheit der KI-Technologie gewährleisten willvon@whitehouse
703 Lesungen
703 Lesungen

Wie die US-Regierung die Sicherheit der KI-Technologie gewährleisten will

von The White House25m2023/11/03
Read on Terminal Reader

Zu lang; Lesen

Diese Präsidialverordnung betont die Sicherheit und den Schutz der KI. Es fordert die Entwicklung von Richtlinien, Standards und Best Practices für sichere KI-Systeme und verpflichtet Unternehmen, Informationen zu Dual-Use-Grundlagenmodellen zu melden. Die Anordnung stellt außerdem die kontinuierliche Verfügbarkeit sicherer und zuverlässiger KI für die Landesverteidigung und den Schutz kritischer Infrastruktur sicher.
featured image - Wie die US-Regierung die Sicherheit der KI-Technologie gewährleisten will
The White House HackerNoon profile picture

Abschnitt 4 – Gewährleistung der Sicherheit der KI-Technologie.

4.1. Entwicklung von Richtlinien, Standards und Best Practices für die KI-Sicherheit. (a) Um die Entwicklung sicherer und vertrauenswürdiger KI-Systeme zu gewährleisten, fordert der Handelsminister innerhalb von 270 Tagen nach dem Datum dieser Anordnung den Direktor des National Institute of Standards and Technology (NIST) auf Die Koordinierung mit dem Energieminister, dem Heimatschutzminister und den Leitern anderer relevanter Behörden, die der Handelsminister für angemessen hält, soll:


(i) Richtlinien und bewährte Verfahren festlegen, mit dem Ziel, einen Konsens über Industriestandards für die Entwicklung und den Einsatz sicherer und vertrauenswürdiger KI-Systeme zu fördern, einschließlich:


(A) Entwicklung einer Begleitressource zum AI Risk Management Framework, NIST AI 100-1, für generative KI;


(B) Entwicklung einer Begleitressource zum Secure Software Development Framework, um sichere Entwicklungspraktiken für generative KI und für Dual-Use-Grundlagenmodelle zu integrieren; Und


(C) Starten einer Initiative zur Erstellung von Leitlinien und Benchmarks für die Bewertung und Prüfung von KI-Fähigkeiten, mit Schwerpunkt auf Fähigkeiten, durch die KI Schaden anrichten könnte, beispielsweise in den Bereichen Cybersicherheit und Biosicherheit.


(ii) Festlegung geeigneter Richtlinien (mit Ausnahme von KI, die als Bestandteil eines nationalen Sicherheitssystems verwendet wird), einschließlich geeigneter Verfahren und Prozesse, um Entwicklern von KI, insbesondere von Dual-Use-Basismodellen, die Durchführung von KI-Red-Teaming-Tests zu ermöglichen Bereitstellung sicherer und vertrauenswürdiger Systeme. Zu diesen Bemühungen gehören:


(A) Koordinierung oder Entwicklung von Richtlinien im Zusammenhang mit der Bewertung und Verwaltung der Sicherheit und Vertrauenswürdigkeit von Fundamentmodellen mit doppeltem Verwendungszweck; Und


(B) in Abstimmung mit dem Energieminister und dem Direktor der National Science Foundation (NSF) Entwicklung und Unterstützung bei der Sicherstellung der Verfügbarkeit von Testumgebungen, wie z. B. Testbeds, um die Entwicklung sicherer und vertrauenswürdiger KI-Technologien zu unterstützen sowie zur Unterstützung des Entwurfs, der Entwicklung und des Einsatzes zugehöriger PETs im Einklang mit Abschnitt 9(b) dieser Verordnung.


(b) Um KI-Sicherheitsrisiken zu verstehen und zu mindern, muss der Energieminister innerhalb von 270 Tagen nach dem Datum dieser Anordnung in Abstimmung mit den Leitern anderer Sector Risk Management Agencies (SRMAs), die der Energieminister für angemessen hält, Folgendes tun einen Plan für die Entwicklung der KI-Modellbewertungstools und KI-Testumgebungen des Energieministeriums entwickeln und umsetzen, soweit dies gesetzlich zulässig ist und die verfügbaren Mittel zur Verfügung stehen. Der Minister führt diese Arbeit nach Möglichkeit unter Verwendung bestehender Lösungen durch und entwickelt diese Tools und KI-Testumgebungen, um kurzfristige Extrapolationen der Fähigkeiten von KI-Systemen bewerten zu können. Der Minister muss mindestens Instrumente zur Bewertung der KI-Fähigkeiten entwickeln, um Ergebnisse zu generieren, die nukleare, nichtverbreitende, biologische, chemische, kritische Infrastrukturen und Bedrohungen oder Gefahren für die Energiesicherheit darstellen können. Der Minister führt diese Arbeit ausschließlich zum Schutz vor diesen Bedrohungen durch und entwickelt außerdem Musterleitplanken, die solche Risiken verringern. Der Sekretär konsultiert gegebenenfalls private KI-Labore, die Wissenschaft, die Zivilgesellschaft und externe Gutachter und nutzt bestehende Lösungen.


4.2. Gewährleistung einer sicheren und zuverlässigen KI. (a) Innerhalb von 90 Tagen nach dem Datum dieser Anordnung die kontinuierliche Verfügbarkeit sicherer, zuverlässiger und wirksamer KI gemäß dem Defense Production Act in der jeweils gültigen Fassung, 50 USC 4501 ff. , auch für den Staat, sicherzustellen und zu überprüfen Verteidigung und den Schutz kritischer Infrastruktur verlangt der Handelsminister:


(i) Unternehmen, die die Absicht haben, potenzielle Stiftungsmodelle mit doppeltem Verwendungszweck zu entwickeln, um der Bundesregierung fortlaufend Informationen, Berichte oder Aufzeichnungen zu Folgendem bereitzustellen:


(A) alle laufenden oder geplanten Aktivitäten im Zusammenhang mit der Ausbildung, Entwicklung oder Produktion von Dual-Use-Grundmodellen, einschließlich der physischen und Cybersicherheitsschutzmaßnahmen, die ergriffen werden, um die Integrität dieses Ausbildungsprozesses vor komplexen Bedrohungen zu gewährleisten;


(B) das Eigentum und der Besitz der Modellgewichte aller Dual-Use-Grundmodelle sowie die zum Schutz dieser Modellgewichte ergriffenen physischen und Cybersicherheitsmaßnahmen; Und


(C) die Ergebnisse der Leistung jedes entwickelten Dual-Use-Grundmodells in relevanten KI-Red-Team-Tests auf der Grundlage der vom NIST gemäß Unterabschnitt 4.1(a)(ii) dieses Abschnitts entwickelten Leitlinien und eine Beschreibung aller damit verbundenen Maßnahmen des Unternehmens hat Maßnahmen ergriffen, um Sicherheitsziele zu erreichen, wie etwa Abhilfemaßnahmen zur Verbesserung der Leistung bei diesen Red-Team-Tests und zur Stärkung der allgemeinen Modellsicherheit. Vor der Entwicklung von Leitlinien zu Red-Team-Teststandards durch NIST gemäß Unterabschnitt 4.1(a)(ii) dieses Abschnitts muss diese Beschreibung die Ergebnisse aller Red-Team-Tests enthalten, die das Unternehmen im Zusammenhang mit der Senkung der Barriere durchgeführt hat Zugang zur Entwicklung, zum Erwerb und zum Einsatz biologischer Waffen durch nichtstaatliche Akteure; die Entdeckung von Software-Schwachstellen und die Entwicklung damit verbundener Exploits; der Einsatz von Software oder Tools zur Beeinflussung realer oder virtueller Ereignisse; die Möglichkeit zur Selbstreplikation oder -verbreitung; und damit verbundene Maßnahmen zur Erreichung der Sicherheitsziele; Und


(ii) Unternehmen, Einzelpersonen oder andere Organisationen oder Körperschaften, die einen potenziellen Großrechner-Cluster erwerben, entwickeln oder besitzen, müssen jeden solchen Erwerb, diese Entwicklung oder diesen Besitz melden, einschließlich der Existenz und des Standorts dieser Cluster und der Gesamtmenge Rechenleistung, die in jedem Cluster verfügbar ist.


(b) Der Handelsminister legt in Absprache mit dem Außenminister, dem Verteidigungsminister, dem Energieminister und dem Direktor des Nationalen Nachrichtendienstes die technischen Daten fest und aktualisiert sie anschließend bei Bedarf regelmäßig Bedingungen für Modelle und Rechencluster, die den Berichtspflichten von Unterabschnitt 4.2(a) dieses Abschnitts unterliegen würden. Bis solche technischen Bedingungen definiert sind, muss der Sekretär die Einhaltung dieser Berichtspflichten verlangen für:


(i) jedes Modell, das mit einer Rechenleistung von mehr als 1026 Ganzzahl- oder Gleitkommaoperationen oder unter Verwendung hauptsächlich biologischer Sequenzdaten und unter Verwendung einer Rechenleistung von mehr als 1023 Ganzzahl- oder Gleitkommaoperationen trainiert wurde; Und


(ii) jeder Rechencluster, der über eine Reihe von Maschinen verfügt, die sich physisch in einem einzigen Rechenzentrum befinden, transitiv durch Rechenzentrumsnetzwerke mit über 100 Gbit/s verbunden sind und eine theoretische maximale Rechenkapazität von 1020 Ganzzahl- oder Gleitkommaoperationen pro haben Zweitens für das Training von KI.


(c) Weil ich finde, dass zusätzliche Schritte unternommen werden müssen, um den nationalen Notstand im Zusammenhang mit erheblichen böswilligen Cyber-aktivierten Aktivitäten zu bewältigen, der in der Executive Order 13694 vom 1. April 2015 (Blockierung des Eigentums bestimmter Personen, die erhebliche böswillige Cyber-Aktivitäten durchführen) erklärt wurde Aktivitäten), geändert durch Executive Order 13757 vom 28. Dezember 2016 (Ergreifen zusätzlicher Schritte zur Bewältigung des nationalen Notfalls in Bezug auf erhebliche böswillige Cyber-Aktivitäten) und weiter geändert durch Executive Order 13984, um die Nutzung der Infrastruktur der Vereinigten Staaten zu regeln as a Service (IaaS)-Produkten durch ausländische böswillige Cyber-Akteure, einschließlich der Einführung zusätzlicher Aufzeichnungspflichten in Bezug auf ausländische Transaktionen und der Unterstützung bei der Untersuchung von Transaktionen, an denen ausländische böswillige Cyber-Akteure beteiligt sind, weise ich hiermit den Handelsminister innerhalb von 90 % an Tage nach dem Datum dieser Bestellung an:


(i) Vorschriften vorschlagen, die von IaaS-Anbietern in den Vereinigten Staaten verlangen, dem Handelsminister einen Bericht vorzulegen, wenn eine ausländische Person mit diesem IaaS-Anbieter in den Vereinigten Staaten Transaktionen abschließt, um ein großes KI-Modell mit potenziellen Fähigkeiten zu trainieren, die für böswillige Cyber-Aktivitäten verwendet werden könnten (ein „Trainingslauf“). Solche Berichte müssen mindestens die Identität der ausländischen Person und das Vorhandensein eines Trainingslaufs eines KI-Modells enthalten, das die in diesem Abschnitt festgelegten Kriterien oder andere vom Minister in Vorschriften festgelegte Kriterien erfüllt, sowie alle weiteren vom Sekretär identifizierte Informationen.


(ii) Aufnahme einer Anforderung in die gemäß Unterabschnitt 4.2(c)(i) dieses Abschnitts vorgeschlagenen Vorschriften, dass US-amerikanische IaaS-Anbieter jedem ausländischen Wiederverkäufer ihres US-amerikanischen IaaS-Produkts die Bereitstellung dieser Produkte verbieten, es sei denn, dieser ausländische Wiederverkäufer unterwirft sich den Vereinigten Staaten Der IaaS-Anbieter der Vereinigten Staaten erstellt einen Bericht, den der IaaS-Anbieter der Vereinigten Staaten dem Handelsminister vorlegen muss und der jeden Fall detailliert beschreibt, in dem eine ausländische Person mit dem ausländischen Wiederverkäufer Geschäfte abschließt, um das IaaS-Produkt der Vereinigten Staaten für die Durchführung eines in Unterabschnitt 4.2 beschriebenen Schulungslaufs zu nutzen( c)(i) dieses Abschnitts. Solche Berichte müssen mindestens die in Unterabschnitt 4.2(c)(i) dieses Abschnitts genannten Informationen sowie alle vom Sekretär angegebenen zusätzlichen Informationen enthalten.


(iii) Bestimmen Sie die technischen Bedingungen, damit ein großes KI-Modell über potenzielle Fähigkeiten verfügt, die bei böswilligen Cyber-Aktivitäten eingesetzt werden könnten, und überarbeiten Sie diese Bestimmung bei Bedarf und angemessen. Bis der Minister eine solche Entscheidung trifft, wird davon ausgegangen, dass ein Modell über potenzielle Fähigkeiten verfügt, die bei böswilligen Cyberaktivitäten eingesetzt werden könnten, wenn es eine Rechenleistung von mehr als 1026 Ganzzahl- oder Gleitkommaoperationen erfordert und auf einem Computer trainiert ist Cluster mit einer Reihe von Maschinen, die sich physisch in einem einzigen Rechenzentrum befinden, transitiv durch ein Rechenzentrumsnetzwerk mit über 100 Gbit/s verbunden sind und über eine theoretische maximale Rechenkapazität von 1020 Ganzzahl- oder Gleitkommaoperationen pro Sekunde für das Training von KI verfügen.


(d) Innerhalb von 180 Tagen nach dem Datum dieser Anordnung schlägt der Handelsminister gemäß der in Unterabschnitt 4.2(c) dieses Abschnitts dargelegten Feststellung Vorschriften vor, die US-amerikanische IaaS-Anbieter dazu verpflichten, sicherzustellen, dass ausländische Wiederverkäufer aus den Vereinigten Staaten IaaS-Produkte überprüfen die Identität jeder ausländischen Person, die ein IaaS-Konto (Konto) vom ausländischen Wiederverkäufer erhält. Diese Vorschriften müssen mindestens:


(i) Legen Sie die Mindeststandards fest, die ein US-amerikanischer IaaS-Anbieter von ausländischen Wiederverkäufern seiner US-amerikanischen IaaS-Produkte verlangen muss, um die Identität einer ausländischen Person zu überprüfen, die ein Konto bei einem ausländischen Wiederverkäufer eröffnet oder ein bestehendes Konto unterhält, einschließlich:


(A) die Arten von Dokumentationen und Verfahren, die ausländische Wiederverkäufer von US-amerikanischen IaaS-Produkten benötigen müssen, um die Identität einer ausländischen Person zu überprüfen, die als Mieter oder Untermieter dieser Produkte oder Dienstleistungen auftritt;


(B) Aufzeichnungen, die ausländische Wiederverkäufer von IaaS-Produkten in den USA über eine ausländische Person, die ein Konto erhält, sicher aufbewahren müssen, einschließlich Informationen, die Folgendes belegen:


(1) die Identität dieser ausländischen Person, einschließlich Name und Adresse;


(2) das Zahlungsmittel und die Zahlungsquelle (einschließlich etwaiger verbundener Finanzinstitute und anderer Identifikatoren wie Kreditkartennummer, Kontonummer, Kundenidentifikator, Transaktionsidentifikatoren oder Identifikator einer virtuellen Währungs-Wallet oder Wallet-Adresse);


(3) die E-Mail-Adresse und die Telefonkontaktinformationen, die zur Überprüfung der Identität einer ausländischen Person verwendet werden; Und


(4) die Internetprotokolladressen, die für den Zugriff oder die Verwaltung verwendet werden, sowie Datum und Uhrzeit jedes solchen Zugriffs oder jeder Verwaltungsmaßnahme im Zusammenhang mit der laufenden Überprüfung des Besitzes eines solchen Kontos durch diese ausländische Person; Und


(C) Methoden, die ausländische Wiederverkäufer von IaaS-Produkten in den USA implementieren müssen, um den Zugriff Dritter auf die in diesem Unterabschnitt beschriebenen Informationen einzuschränken, es sei denn, ein solcher Zugriff steht ansonsten im Einklang mit dieser Anordnung und ist nach geltendem Recht zulässig;


(ii) Berücksichtigen Sie die Arten von Konten, die von ausländischen Wiederverkäufern von US-amerikanischen IaaS-Produkten geführt werden, die Methoden zur Kontoeröffnung und die Arten der verfügbaren Identifizierungsinformationen, um die Ziele der Identifizierung ausländischer böswilliger Cyberakteure, die solche Produkte verwenden, zu erreichen und die Auferlegung zu vermeiden einer unangemessenen Belastung für diese Wiederverkäufer; Und


(iii) Vorsehen, dass der Handelsminister in Übereinstimmung mit den vom Minister festgelegten Standards und Verfahren und in Absprache mit dem Verteidigungsminister, dem Generalstaatsanwalt, dem Heimatschutzminister und dem Direktor des Nationalen Geheimdienstes Ausnahmen bewilligen kann einen US-amerikanischen IaaS-Anbieter in Bezug auf einen bestimmten ausländischen Wiederverkäufer seiner US-amerikanischen IaaS-Produkte oder in Bezug auf eine bestimmte Art von Konto oder Leasingnehmer von den Anforderungen einer gemäß diesem Unterabschnitt erlassenen Verordnung. Zu diesen Standards und Verfahren kann die Feststellung des Ministers gehören, dass der ausländische Wiederverkäufer, das Konto oder der Leasingnehmer die bewährten Sicherheitspraktiken einhält, um anderweitig den Missbrauch von IaaS-Produkten der Vereinigten Staaten zu verhindern.


(e) Der Handelsminister wird hiermit ermächtigt, solche Maßnahmen zu ergreifen, einschließlich der Verkündung von Regeln und Vorschriften, und alle Befugnisse auszuüben, die dem Präsidenten durch den International Emergency Economic Powers Act, 50 USC 1701 ff., gewährt werden. , soweit dies zur Erfüllung der Zwecke der Unterabschnitte 4.2(c) und (d) dieses Abschnitts erforderlich sein kann. Zu diesen Maßnahmen kann die Anforderung gehören, dass US-amerikanische IaaS-Anbieter von ausländischen Wiederverkäufern von US-amerikanischen IaaS-Produkten verlangen, dass sie den US-amerikanischen IaaS-Anbietern Überprüfungen in Bezug auf diese Unterabschnitte vorlegen.


4.3. Verwalten von KI in kritischen Infrastrukturen und in der Cybersicherheit. (a) Um den Schutz kritischer Infrastruktur zu gewährleisten, sind folgende Maßnahmen zu ergreifen:


(i) Innerhalb von 90 Tagen nach dem Datum dieser Anordnung und danach mindestens einmal jährlich der Leiter jeder Behörde mit relevanter Regulierungsbefugnis für kritische Infrastrukturen und die Leiter relevanter SRMAs in Abstimmung mit dem Direktor der Cybersecurity and Infrastructure Security Agency innerhalb des Heimatschutzministeriums zur Berücksichtigung sektorübergreifender Risiken bewertet und übermittelt dem Minister für Heimatschutz eine Bewertung potenzieller Risiken im Zusammenhang mit dem Einsatz von KI in kritischen Infrastruktursektoren, einschließlich der Art und Weise, wie der Einsatz von KI entscheidend sein kann Infrastruktursysteme sind anfälliger für kritische Ausfälle, physische Angriffe und Cyberangriffe und müssen Möglichkeiten zur Minderung dieser Schwachstellen in Betracht ziehen. Unabhängige Regulierungsbehörden werden ermutigt, soweit sie es für angemessen halten, zu sektorspezifischen Risikobewertungen beizutragen.


(ii) Innerhalb von 150 Tagen nach dem Datum dieser Anordnung veröffentlicht der Finanzminister einen öffentlichen Bericht über bewährte Verfahren für Finanzinstitute zur Bewältigung KI-spezifischer Cybersicherheitsrisiken.


(iii) Innerhalb von 180 Tagen nach dem Datum dieser Anordnung wird der Minister für Innere Sicherheit in Abstimmung mit dem Handelsminister und mit SRMAs und anderen Regulierungsbehörden, wie vom Minister für Innere Sicherheit festgelegt, das KI-Risikomanagement-Framework entsprechend integrieren , NIST AI 100-1 sowie andere geeignete Sicherheitsleitfäden in relevante Sicherheitsrichtlinien für die Verwendung durch Eigentümer und Betreiber kritischer Infrastrukturen umgewandelt.


(iv) Innerhalb von 240 Tagen nach Abschluss der in Unterabschnitt 4.3(a)(iii) dieses Abschnitts beschriebenen Richtlinien wird der Assistent des Präsidenten für nationale Sicherheitsangelegenheiten und der Direktor des OMB in Absprache mit dem Minister für innere Sicherheit, Koordiniert die Arbeit der Leiter von Behörden mit Zuständigkeit für kritische Infrastrukturen bei der Entwicklung und ergreift Schritte, damit die Bundesregierung solche Richtlinien oder entsprechende Teile davon durch regulatorische oder andere geeignete Maßnahmen vorschreiben kann. Unabhängige Regulierungsbehörden werden ermutigt, nach eigenem Ermessen zu prüfen, ob sie in ihrem Zuständigkeits- und Verantwortungsbereich Leitlinien durch Regulierungsmaßnahmen vorschreiben.


(v) Der Minister für innere Sicherheit richtet gemäß Abschnitt 871 des Heimatschutzgesetzes von 2002 (Öffentliches Recht 107-296) ein Gremium für Sicherheit und Schutz künstlicher Intelligenz als beratenden Ausschuss ein. Dem Beratungsausschuss gehören gegebenenfalls KI-Experten aus dem privaten Sektor, der Wissenschaft und der Regierung an und er stellt dem Heimatschutzminister und der kritischen Infrastrukturgemeinschaft der Bundesregierung Ratschläge, Informationen oder Empfehlungen zur Verbesserung der Sicherheit, Widerstandsfähigkeit und Reaktion auf Vorfälle im Zusammenhang mit der KI-Nutzung in kritischen Infrastrukturen.


(b) Um das Potenzial der KI zur Verbesserung der Cyberabwehr der Vereinigten Staaten zu nutzen:


(i) Der Verteidigungsminister führt die in den Unterabschnitten 4.3(b)(ii) und (iii) dieses Abschnitts beschriebenen Maßnahmen für nationale Sicherheitssysteme durch, und der Minister für Innere Sicherheit führt diese Maßnahmen für die nichtnationale Sicherheit durch Systeme. Jeder soll dies in Absprache mit den Leitern anderer relevanter Behörden tun, wie es der Verteidigungsminister und der Heimatschutzminister für angemessen halten.


(ii) Wie in Unterabschnitt 4.3(b)(i) dieses Abschnitts dargelegt, entwickeln der Verteidigungsminister und der Heimatschutzminister innerhalb von 180 Tagen nach dem Datum dieser Anordnung im Einklang mit geltendem Recht jeweils Pläne für , Durchführung und Abschluss eines operativen Pilotprojekts zur Identifizierung, Entwicklung, Prüfung, Bewertung und Bereitstellung von KI-Funktionen, wie z. B. großsprachigen Modellen, um bei der Entdeckung und Behebung von Schwachstellen in kritischer Software, Systemen und Netzwerken der US-Regierung zu helfen .


(iii) Wie in Unterabschnitt 4.3(b)(i) dieses Abschnitts dargelegt, legen der Verteidigungsminister und der Minister für innere Sicherheit innerhalb von 270 Tagen nach dem Datum dieser Anordnung jeweils einen Bericht an den Assistenten des Präsidenten vor für nationale Sicherheitsangelegenheiten über die Ergebnisse der Maßnahmen, die gemäß den in Unterabschnitt 4.3(b)(ii) dieses Abschnitts erforderlichen Plänen und operativen Pilotprojekten ergriffen wurden, einschließlich einer Beschreibung aller Schwachstellen, die durch die Entwicklung und den Einsatz von KI-Fähigkeiten gefunden und behoben wurden, und Alle gewonnenen Erkenntnisse darüber, wie KI-Funktionen effektiv für die Cyberabwehr identifiziert, entwickelt, getestet, bewertet und eingesetzt werden können.


4.4. Reduzierung von Risiken an der Schnittstelle von KI- und CBRN-Bedrohungen. (a) Um das Risiko eines Missbrauchs von KI zur Unterstützung der Entwicklung oder Nutzung von CBRN-Bedrohungen – mit besonderem Schwerpunkt auf biologischen Waffen – besser zu verstehen und zu mindern, werden folgende Maßnahmen ergriffen:


(i) Innerhalb von 180 Tagen nach dem Datum dieser Anordnung bewertet der Minister für Heimatschutz in Absprache mit dem Energieminister und dem Direktor des Office of Science and Technology Policy (OSTP) das Potenzial für einen Missbrauch von KI um die Entwicklung oder Produktion von CBRN-Bedrohungen zu ermöglichen, wobei auch die Vorteile und die Anwendung von KI zur Abwehr dieser Bedrohungen berücksichtigt werden, gegebenenfalls einschließlich der Ergebnisse der gemäß Abschnitt 8(b) dieser Verordnung durchgeführten Arbeiten. Der Minister für innere Sicherheit soll:


(A) Konsultieren Sie Experten für KI- und CBRN-Themen des Energieministeriums, privater KI-Labore, der Wissenschaft und ggf. externer Modellevaluatoren, um die Fähigkeiten von KI-Modellen zur Darstellung von CBRN-Bedrohungen zu bewerten – ausschließlich zum Zweck der Abwehr diese Bedrohungen – sowie Optionen zur Minimierung der Risiken des Missbrauchs von KI-Modellen zur Erzeugung oder Verschärfung dieser Bedrohungen; Und


(B) dem Präsidenten einen Bericht vorlegen, der den Fortschritt dieser Bemühungen beschreibt, einschließlich einer Bewertung der Arten von KI-Modellen, die möglicherweise CBRN-Risiken für die Vereinigten Staaten darstellen, und der Empfehlungen zur Regulierung oder Überwachung der Ausbildung, des Einsatzes und der Veröffentlichung enthält oder die Verwendung dieser Modelle, einschließlich Anforderungen an Sicherheitsbewertungen und Leitplanken zur Minderung potenzieller Bedrohungen der nationalen Sicherheit.


(ii) Innerhalb von 120 Tagen nach dem Datum dieser Anordnung schließt der Verteidigungsminister in Absprache mit dem Assistenten des Präsidenten für nationale Sicherheitsangelegenheiten und dem Direktor des OSTP einen Vertrag mit den Nationalen Akademien der Wissenschaften, Ingenieurwissenschaften, und Medizin durchzuführen – und dem Verteidigungsminister, dem Assistenten des Präsidenten für nationale Sicherheitsangelegenheiten, dem Direktor des Büros für Pandemievorsorge und -reaktionspolitik, dem Direktor von OSTP und dem Vorsitzenden des Chief Data Officer Council vorzulegen – eine Studie, die:


(A) bewertet die Art und Weise, wie KI die Biosicherheitsrisiken erhöhen kann, einschließlich der Risiken generativer KI-Modelle, die auf biologischen Daten trainiert werden, und gibt Empfehlungen zur Minderung dieser Risiken ab;


(B) berücksichtigt die Auswirkungen auf die nationale Sicherheit der Verwendung von Daten und Datensätzen, insbesondere im Zusammenhang mit Pathogen- und Omics-Studien, die die Regierung der Vereinigten Staaten für das Training generativer KI-Modelle hostet, generiert, deren Erstellung finanziert oder anderweitig besitzt und gibt Empfehlungen dazu, wie die mit der Nutzung dieser Daten und Datensätze verbundenen Risiken gemindert werden können;


(C) bewertet die Möglichkeiten, wie KI in der Biologie eingesetzt werden kann, um Biosicherheitsrisiken zu verringern, einschließlich Empfehlungen zu Möglichkeiten zur Koordinierung von Daten und Hochleistungsrechenressourcen; Und


(D) berücksichtigt zusätzliche Bedenken und Möglichkeiten an der Schnittstelle von KI und synthetischer Biologie, die der Verteidigungsminister für angemessen hält.


(b) Um das Risiko des Missbrauchs synthetischer Nukleinsäuren zu verringern, das durch die Fähigkeiten der KI in diesem Bereich erheblich erhöht werden könnte, und um die Biosicherheitsmaßnahmen für die Nukleinsäuresyntheseindustrie zu verbessern, werden folgende Maßnahmen ergriffen:


(i) Innerhalb von 180 Tagen nach dem Datum dieser Anordnung hat der Direktor des OSTP in Absprache mit dem Außenminister, dem Verteidigungsminister, dem Generalstaatsanwalt, dem Handelsminister und dem Minister für Gesundheit und menschliche Dienste (HHS) , der Energieminister, der Heimatschutzminister, der Direktor des Nationalen Nachrichtendienstes und die Leiter anderer relevanter Behörden, die der Direktor des OSTP für angemessen hält, legen einen Rahmen fest, der gegebenenfalls bestehende Leitlinien der Regierung der Vereinigten Staaten einbezieht. Anbieter synthetischer Nukleinsäuresequenzen zu ermutigen, umfassende, skalierbare und überprüfbare Screening-Mechanismen für die Beschaffung synthetischer Nukleinsäuren zu implementieren, einschließlich Standards und empfohlener Anreize. Im Rahmen dieses Rahmenwerks muss der Direktor des OSTP:


(A) Kriterien und Mechanismen für die fortlaufende Identifizierung biologischer Sequenzen festlegen, die in einer Weise verwendet werden könnten, die ein Risiko für die nationale Sicherheit der Vereinigten Staaten darstellen würde; Und


(B) Festlegung standardisierter Methoden und Werkzeuge zur Durchführung und Überprüfung der Leistung des Beschaffungsscreenings für Sequenzsynthese, einschließlich Kundenscreening-Ansätzen zur Unterstützung der Due Diligence im Hinblick auf das Management von Sicherheitsrisiken, die von Käufern biologischer Sequenzen gemäß Unterabschnitt 4.4(b)(i) ausgehen. (A) dieses Abschnitts und Prozesse für die Meldung bedenklicher Aktivitäten an Durchsetzungsstellen.


(ii) Innerhalb von 180 Tagen nach dem Datum dieser Anordnung hat der Handelsminister, handelnd durch den Direktor des NIST, in Abstimmung mit dem Direktor des OSTP und in Absprache mit dem Außenminister, dem Sekretär des HHS und den Leitern von anderen relevanten Agenturen, die der Handelsminister für angemessen hält, müssen Anstrengungen einleiten, um mit der Industrie und relevanten Interessengruppen zusammenzuarbeiten und sich dabei über das in Unterabschnitt 4.4(b)(i) dieses Abschnitts entwickelte Rahmenwerk zu informieren, um es für eine mögliche Verwendung zu entwickeln und zu verfeinern von Anbietern synthetischer Nukleinsäuresequenzen:


(A) Spezifikationen für ein wirksames Screening bei der Beschaffung von Nukleinsäuresynthesen;


(B) Best Practices, einschließlich Sicherheits- und Zugriffskontrollen, für die Verwaltung von Sequence-of-Concern-Datenbanken zur Unterstützung einer solchen Überprüfung;


(C) technische Umsetzungsleitfäden für ein wirksames Screening; Und


(D) Best Practices und Mechanismen für die Konformitätsbewertung.


(iii) Innerhalb von 180 Tagen nach der Einrichtung des Rahmenwerks gemäß Unterabschnitt 4.4(b)(i) dieses Abschnitts müssen alle Agenturen, die Forschung im Bereich der Biowissenschaften finanzieren, dies, soweit angemessen und im Einklang mit geltendem Recht, als Anforderung festlegen Aufgrund der Finanzierung erfolgt die Beschaffung synthetischer Nukleinsäure über Anbieter oder Hersteller, die sich an das Rahmenwerk halten, beispielsweise durch eine Bescheinigung des Anbieters oder Herstellers. Der Assistent des Präsidenten für nationale Sicherheitsangelegenheiten und der Direktor des OSTP koordinieren den Prozess der Überprüfung dieser Finanzierungsanforderungen, um eine einheitliche Umsetzung des Rahmens über alle Finanzierungsagenturen hinweg zu ermöglichen.


(iv) Um die wirksame Umsetzung der in den Unterabschnitten 4.4(b)(i)-(iii) dieses Abschnitts beschriebenen Maßnahmen zu erleichtern, arbeitet der Minister für Heimatschutz in Absprache mit den Leitern anderer relevanter Behörden wie dem Minister für Heimatschutz Die Sicherheit kann es für angemessen halten:


(A) innerhalb von 180 Tagen nach der Einrichtung des Rahmenwerks gemäß Unterabschnitt 4.4(b)(i) dieses Abschnitts ein Rahmenwerk für die Durchführung einer strukturierten Bewertung und Belastungsprüfung des Beschaffungsscreenings für die Nukleinsäuresynthese entwickeln, einschließlich der gemäß Abschnitt 4.4(b)(i) dieses Abschnitts entwickelten Systeme Unterabschnitt 4.4(b)(i)-(ii) dieses Abschnitts und umgesetzt von Anbietern synthetischer Nukleinsäuresequenzen; Und


(B) nach der Entwicklung des Rahmens gemäß Unterabschnitt 4.4(b)(iv)(A) dieses Abschnitts einen Jahresbericht an den Assistenten des Präsidenten für nationale Sicherheitsangelegenheiten, den Direktor des Büros für Pandemievorsorge und -reaktion, vorlegen Richtlinie und den Direktor des OSTP über alle Ergebnisse der gemäß Unterabschnitt 4.4(b)(iv)(A) dieses Abschnitts durchgeführten Aktivitäten, einschließlich etwaiger Empfehlungen zur Stärkung des Screenings bei der Beschaffung von Nukleinsäuresynthese, einschließlich des Kundenscreenings Systeme.


4.5. Reduzierung der Risiken synthetischer Inhalte.


Förderung der Fähigkeiten zur Identifizierung und Kennzeichnung synthetischer Inhalte, die von KI-Systemen erstellt werden, und zur Feststellung der Authentizität und Herkunft digitaler Inhalte, sowohl synthetischer als auch nicht synthetischer Art, die von der Bundesregierung oder in ihrem Auftrag erstellt werden:


(a) Innerhalb von 240 Tagen nach dem Datum dieser Anordnung legt der Handelsminister in Absprache mit den Leitern anderer relevanter Agenturen, die der Handelsminister für angemessen hält, dem Direktor des OMB und dem Assistenten des OMB einen Bericht vor Der Präsident für nationale Sicherheitsangelegenheiten identifiziert die bestehenden Standards, Werkzeuge, Methoden und Praktiken sowie die mögliche Entwicklung weiterer wissenschaftlich fundierter Standards und Techniken für:


(i) Authentifizierung von Inhalten und Verfolgung ihrer Herkunft;


(ii) Kennzeichnung synthetischer Inhalte, beispielsweise durch Wasserzeichen;


(iii) Erkennung synthetischer Inhalte;


(iv) zu verhindern, dass generative KI Material über sexuellen Kindesmissbrauch oder nicht einvernehmliche intime Bilder realer Personen produziert (einschließlich intimer digitaler Darstellungen des Körpers oder der Körperteile einer identifizierbaren Person);


(v) Testsoftware, die für die oben genannten Zwecke verwendet wird; Und


(vi) Prüfung und Pflege synthetischer Inhalte.

(b) Innerhalb von 180 Tagen nach Einreichung des gemäß Unterabschnitt 4.5(a) dieses Abschnitts erforderlichen und danach regelmäßig aktualisierten Berichts entwickelt der Handelsminister in Abstimmung mit dem Direktor des OMB Leitlinien zu den bestehenden Tools und Praktiken für die Digitalisierung Maßnahmen zur Inhaltsauthentifizierung und zur Erkennung synthetischer Inhalte. Die Leitlinien müssen Maßnahmen für die in Unterabschnitt 4.5(a) dieses Abschnitts aufgeführten Zwecke umfassen.

(c) Innerhalb von 180 Tagen nach der Entwicklung der gemäß Unterabschnitt 4.5(b) dieses Abschnitts erforderlichen und danach regelmäßig aktualisierten Leitlinien der Direktor des OMB in Absprache mit dem Außenminister; der Verteidigungsminister; der Generalstaatsanwalt; der Handelsminister, vertreten durch den Direktor des NIST; der Minister für innere Sicherheit; der Direktor des Nationalen Geheimdienstes; und die Leiter anderer Behörden, die der Direktor des OMB für angemessen hält, müssen – um das Vertrauen der Öffentlichkeit in die Integrität offizieller digitaler Inhalte der US-Regierung zu stärken – Leitlinien für die Kennzeichnung und Authentifizierung der von ihnen erstellten oder veröffentlichten Inhalte herausgeben.

(d) Der Federal Acquisition Regulatory Council erwägt, sofern angemessen und im Einklang mit geltendem Recht, eine Änderung der Federal Acquisition Regulation, um die in Unterabschnitt 4.5 dieses Abschnitts festgelegten Leitlinien zu berücksichtigen.

4.6. Einholen von Beiträgen zu Dual-Use-Foundation-Modellen mit allgemein verfügbaren Modellgewichten. Wenn die Gewichte für ein Fundamentmodell mit doppeltem Verwendungszweck weithin verfügbar sind – beispielsweise wenn sie öffentlich im Internet veröffentlicht werden – können erhebliche Innovationsvorteile, aber auch erhebliche Sicherheitsrisiken entstehen, beispielsweise durch die Entfernung von Schutzmaßnahmen innerhalb des Modells. Um die Risiken und potenziellen Vorteile von Fundamentmodellen mit doppeltem Verwendungszweck und allgemein verfügbaren Gewichten anzugehen, muss der Handelsminister innerhalb von 270 Tagen nach dem Datum dieser Anordnung handeln, handelnd durch den stellvertretenden Handelsminister für Kommunikation und Information und in Absprache mit dem Staatssekretär:


(a) durch einen öffentlichen Konsultationsprozess Beiträge aus dem Privatsektor, der Wissenschaft, der Zivilgesellschaft und anderen Interessenträgern zu potenziellen Risiken, Vorteilen, anderen Auswirkungen und geeigneten politischen und regulatorischen Ansätzen im Zusammenhang mit Stiftungsmodellen mit doppeltem Verwendungszweck einholen, für die das Modell gewichtet wird sind weit verbreitet, darunter:


(i) Risiken im Zusammenhang mit der Feinabstimmung von Dual-Use-Grundlagenmodellen durch Akteure, für die die Modellgewichte allgemein verfügbar sind, oder der Aufhebung der Schutzmaßnahmen dieser Modelle;


(ii) Vorteile für die KI-Innovation und -Forschung, einschließlich der Forschung zu KI-Sicherheit und Risikomanagement, von Basismodellen mit doppeltem Verwendungszweck, für die die Modellgewichte allgemein verfügbar sind; Und


(iii) potenzielle freiwillige, regulatorische und internationale Mechanismen zur Bewältigung der Risiken und Maximierung des Nutzens von Dual-Use-Basismodellen, für die die Modellgewichte weithin verfügbar sind; Und


(b) auf der Grundlage der Eingaben aus dem in Unterabschnitt 4.6(a) dieses Abschnitts beschriebenen Prozess und in Absprache mit den Leitern anderer relevanter Behörden, wenn der Handelsminister dies für angemessen hält, dem Präsidenten einen Bericht über die potenziellen Vorteile und Risiken vorlegen und Auswirkungen von Dual-Use-Grundlagenmodellen, für die die Modellgewichte allgemein verfügbar sind, sowie politische und regulatorische Empfehlungen im Zusammenhang mit diesen Modellen.


4.7. Förderung einer sicheren Freigabe und Verhinderung der böswilligen Verwendung von Bundesdaten für die KI-Schulung. Verbesserung des Zugangs zu öffentlichen Daten und Bewältigung von Sicherheitsrisiken sowie im Einklang mit den Zielen des Open, Public, Electronic, and Necessary Government Data Act (Titel II von Public Law 115). -435), um den öffentlichen Zugang zu Bundesdatenbeständen in einem maschinenlesbaren Format zu erweitern und dabei auch Sicherheitserwägungen zu berücksichtigen, einschließlich des Risikos, dass Informationen in einem einzelnen Datenbestand isoliert kein Sicherheitsrisiko darstellen, wenn sie jedoch mit anderen verfügbaren Daten kombiniert werden Informationen können ein solches Risiko darstellen:


(a) innerhalb von 270 Tagen nach dem Datum dieser Anordnung der Chief Data Officer Council in Absprache mit dem Verteidigungsminister, dem Handelsminister, dem Energieminister, dem Minister für innere Sicherheit und dem Direktor des National Intelligence, soll erste Richtlinien für die Durchführung von Sicherheitsüberprüfungen entwickeln, einschließlich Überprüfungen zur Identifizierung und Bewältigung potenzieller Sicherheitsrisiken bei der Veröffentlichung von Bundesdaten, die bei der Entwicklung von CBRN-Waffen sowie der Entwicklung autonomer offensiver Cyberfähigkeiten hilfreich sein könnten, und gleichzeitig den öffentlichen Zugang zu Bundesdaten ermöglichen Regierungsdaten im Einklang mit den im Open, Public, Electronic, and Necessary Government Data Act (Titel II des öffentlichen Rechts 115-435) genannten Zielen; Und


(b) Innerhalb von 180 Tagen nach der Entwicklung der ersten Richtlinien gemäß Unterabschnitt 4.7(a) dieses Abschnitts führen die Behörden eine Sicherheitsüberprüfung aller Datenbestände im umfassenden Dateninventar gemäß 44 USC 3511(a)(1) durch. und (2)(B) und ergreift Maßnahmen, soweit angemessen und im Einklang mit geltendem Recht, um die potenziellen Sicherheitsrisiken mit höchster Priorität anzugehen, die die Veröffentlichung dieser Daten in Bezug auf CBRN-Waffen mit sich bringen könnte, beispielsweise die Art und Weise, wie diese Daten dies tun könnten zum Trainieren von KI-Systemen genutzt werden.


4.8. Leitung der Entwicklung eines nationalen Sicherheitsmemorandums. Um einen koordinierten Ansatz der Exekutive zur Bewältigung der Sicherheitsrisiken von KI zu entwickeln, überwachen der Assistent des Präsidenten für nationale Sicherheitsangelegenheiten und der Assistent des Präsidenten und stellvertretenden Stabschefs für Politik innerhalb von 270 Tagen nach dem Datum dieser Anordnung, Ausarbeitung und Vorlage eines Vorschlags für ein nationales Sicherheitsmemorandum über KI beim Präsidenten. Das Memorandum befasst sich mit der Steuerung der KI, die als Bestandteil eines nationalen Sicherheitssystems oder für militärische und nachrichtendienstliche Zwecke eingesetzt wird. Das Memorandum berücksichtigt aktuelle Bemühungen zur Steuerung der Entwicklung und Nutzung von KI für nationale Sicherheitssysteme. Das Memorandum soll Maßnahmen für das Verteidigungsministerium, das Außenministerium, andere relevante Behörden und die Geheimdienste darlegen, um die nationalen Sicherheitsrisiken und potenziellen Vorteile der KI anzugehen. Insbesondere soll das Memorandum:


(a) dem Verteidigungsministerium, anderen relevanten Behörden und der Geheimdienstgemeinschaft Leitlinien für die weitere Einführung von KI-Fähigkeiten zur Verfügung zu stellen, um die nationale Sicherheitsmission der Vereinigten Staaten voranzutreiben, unter anderem durch die Festlegung spezifischer KI-Sicherungs- und Risikomanagementpraktiken für nationale Sicherheitszwecke von KI, die die Rechte oder die Sicherheit von US-Bürgern und in entsprechenden Zusammenhängen von Nicht-US-Bürgern beeinträchtigen kann; Und


(b) direkte weitere Maßnahmen, soweit angemessen und im Einklang mit geltendem Recht, um der potenziellen Nutzung von KI-Systemen durch Gegner und andere ausländische Akteure in einer Weise entgegenzuwirken, die die Fähigkeiten oder Ziele des Verteidigungsministeriums oder der Geheimdienste oder auf andere Weise gefährdet stellen Risiken für die Sicherheit der Vereinigten Staaten oder ihrer Verbündeten und Partner dar.




Dieser Inhalt wurde am 30. Oktober 2023 auf WhiteHouse.gov veröffentlicht.

Namensnennung – Creative Commons 3.0