Cómo planea el gobierno de EE. UU. garantizar la seguridad de la tecnología de inteligencia artificial

Sección 4: Garantizar la seguridad y protección de la tecnología de IA.

4.1. Desarrollo de directrices, estándares y mejores prácticas para la seguridad y protección de la IA. (a) Dentro de los 270 días siguientes a la fecha de esta orden, para ayudar a garantizar el desarrollo de sistemas de IA seguros y confiables, el Secretario de Comercio, actuando a través del Director del Instituto Nacional de Estándares y Tecnología (NIST), en En coordinación con el Secretario de Energía, el Secretario de Seguridad Nacional y los jefes de otras agencias relevantes que el Secretario de Comercio considere apropiado, deberá:

(i) Establecer directrices y mejores prácticas, con el objetivo de promover estándares industriales consensuados, para desarrollar e implementar sistemas de IA seguros y confiables, incluyendo:

(A) desarrollar un recurso complementario al Marco de Gestión de Riesgos de IA, NIST AI 100-1, para IA generativa;

(B) desarrollar un recurso complementario al Marco de Desarrollo de Software Seguro para incorporar prácticas de desarrollo seguro para IA generativa y para modelos básicos de doble uso; y

(C) lanzar una iniciativa para crear orientaciones y puntos de referencia para evaluar y auditar las capacidades de la IA, centrándose en las capacidades a través de las cuales la IA podría causar daño, como en las áreas de ciberseguridad y bioseguridad.

(ii) Establecer directrices apropiadas (excepto para la IA utilizada como componente de un sistema de seguridad nacional), incluidos procedimientos y procesos apropiados, para permitir a los desarrolladores de IA, especialmente de modelos básicos de doble uso, realizar pruebas de formación de equipos rojos de IA para permitir implementación de sistemas seguros, protegidos y confiables. Estos esfuerzos incluirán:

(A) coordinar o desarrollar directrices relacionadas con la evaluación y gestión de la seguridad y la confiabilidad de los modelos de cimentación de doble uso; y

(B) en coordinación con el Secretario de Energía y el Director de la Fundación Nacional de Ciencias (NSF), desarrollar y ayudar a garantizar la disponibilidad de entornos de prueba, como bancos de pruebas, para respaldar el desarrollo de tecnologías de IA seguras y confiables. , así como para apoyar el diseño, desarrollo y despliegue de PET asociados, de conformidad con el artículo 9 (b) de esta orden.

(b) Dentro de los 270 días siguientes a la fecha de esta orden, para comprender y mitigar los riesgos de seguridad de la IA, el Secretario de Energía, en coordinación con los jefes de otras Agencias de Gestión de Riesgos Sectoriales (SRMA), según el Secretario de Energía considere apropiado, deberá desarrollar y, en la medida permitida por la ley y las asignaciones disponibles, implementar un plan para desarrollar las herramientas de evaluación de modelos de IA y los bancos de pruebas de IA del Departamento de Energía. El Secretario emprenderá este trabajo utilizando soluciones existentes cuando sea posible y desarrollará estas herramientas y bancos de pruebas de IA para que sean capaces de evaluar extrapolaciones a corto plazo de las capacidades de los sistemas de IA. Como mínimo, el Secretario desarrollará herramientas para evaluar las capacidades de IA para generar resultados que puedan representar amenazas o peligros nucleares, de no proliferación, biológicos, químicos, de infraestructura crítica y de seguridad energética. El Secretario realizará este trabajo únicamente con el propósito de protegerse contra estas amenazas, y también desarrollará barandillas modelo que reduzcan tales riesgos. El Secretario consultará, según corresponda, con laboratorios privados de IA, el mundo académico, la sociedad civil y evaluadores externos, y utilizará las soluciones existentes.

4.2. Garantizar una IA segura y confiable. (a) Dentro de los 90 días siguientes a la fecha de esta orden, garantizar y verificar la disponibilidad continua de IA segura, confiable y eficaz de conformidad con la Ley de Producción de Defensa, según enmendada, 50 USC 4501 et seq ., incluso para el nivel nacional. defensa y protección de infraestructura crítica, el Secretario de Comercio requerirá:

(i) Compañías que desarrollen o demuestren una intención de desarrollar posibles modelos de cimientos de doble uso para proporcionar al Gobierno Federal, de manera continua, información, informes o registros relacionados con lo siguiente:

(A) cualquier actividad en curso o planificada relacionada con la capacitación, el desarrollo o la producción de modelos básicos de doble uso, incluidas las protecciones físicas y de ciberseguridad tomadas para garantizar la integridad de ese proceso de capacitación contra amenazas sofisticadas;

(B) la propiedad y posesión de los pesos de los modelos de cualquier modelo básico de doble uso, y las medidas físicas y de ciberseguridad tomadas para proteger esos pesos de los modelos; y

(C) los resultados del desempeño de cualquier modelo de base de uso dual desarrollado en las pruebas relevantes del equipo rojo de IA basadas en la guía desarrollada por el NIST de conformidad con la subsección 4.1 (a) (ii) de esta sección, y una descripción de cualquier medida asociada que la empresa ha tomado para cumplir los objetivos de seguridad, como las mitigaciones para mejorar el rendimiento en estas pruebas del equipo rojo y fortalecer la seguridad general del modelo. Antes de que el NIST desarrolle una guía sobre los estándares de pruebas del equipo rojo de conformidad con la subsección 4.1 (a) (ii) de esta sección, esta descripción deberá incluir los resultados de cualquier prueba del equipo rojo que la compañía haya realizado en relación con la reducción de la barrera. a la entrada para el desarrollo, adquisición y uso de armas biológicas por parte de actores no estatales; el descubrimiento de vulnerabilidades de software y el desarrollo de exploits asociados; el uso de software o herramientas para influir en eventos reales o virtuales; la posibilidad de autorreplicación o propagación; y medidas asociadas para cumplir los objetivos de seguridad; y

(ii) Empresas, individuos u otras organizaciones o entidades que adquieran, desarrollen o posean un potencial clúster informático a gran escala para informar dicha adquisición, desarrollo o posesión, incluida la existencia y ubicación de estos clústeres y el monto total potencia de cálculo disponible en cada cluster.

(b) El Secretario de Comercio, en consulta con el Secretario de Estado, el Secretario de Defensa, el Secretario de Energía y el Director de Inteligencia Nacional, definirá, y posteriormente actualizará periódicamente según sea necesario, el conjunto de requisitos técnicos. condiciones para modelos y grupos de computación que estarían sujetos a los requisitos de presentación de informes de la subsección 4.2(a) de esta sección. Hasta tanto se definan dichas condiciones técnicas, el Secretario exigirá el cumplimiento de estos requisitos de presentación de informes para:

(i) cualquier modelo que haya sido entrenado utilizando una cantidad de potencia informática superior a 1026 operaciones de números enteros o de punto flotante, o utilizando principalmente datos de secuencia biológica y utilizando una cantidad de potencia informática superior a 1023 operaciones de números enteros o de punto flotante; y

(ii) cualquier clúster informático que tenga un conjunto de máquinas ubicadas físicamente en un único centro de datos, conectadas transitivamente mediante redes de centros de datos de más de 100 Gbit/s y que tenga una capacidad informática máxima teórica de 1020 operaciones enteras o de punto flotante por segundo para entrenar IA.

(c) Porque considero que se deben tomar medidas adicionales para hacer frente a la emergencia nacional relacionada con importantes actividades cibernéticas maliciosas declaradas en la Orden Ejecutiva 13694 del 1 de abril de 2015 (Bloqueo de la propiedad de ciertas personas que participan en importantes actividades cibernéticas maliciosas). Actividades), modificada por la Orden Ejecutiva 13757 del 28 de diciembre de 2016 (Tomar medidas adicionales para abordar la emergencia nacional con respecto a actividades cibernéticas maliciosas importantes), y modificada adicionalmente por la Orden ejecutiva 13984, para abordar el uso de la infraestructura de los Estados Unidos. Productos como servicio (IaaS) por ciberactores maliciosos extranjeros, incluso para imponer obligaciones adicionales de mantenimiento de registros con respecto a transacciones extranjeras y ayudar en la investigación de transacciones que involucren a ciberactores maliciosos extranjeros, por la presente ordeno al Secretario de Comercio, dentro de los 90 días de la fecha de esta orden, a:

(i) Proponer regulaciones que requieran que los proveedores de IaaS de los Estados Unidos presenten un informe al Secretario de Comercio cuando una persona extranjera realice transacciones con ese proveedor de IaaS de los Estados Unidos para entrenar un modelo de IA de gran tamaño con capacidades potenciales que podrían usarse en actividades cibernéticas maliciosas. (una “carrera de entrenamiento”). Dichos informes incluirán, como mínimo, la identidad de la persona extranjera y la existencia de cualquier ejecución de entrenamiento de un modelo de IA que cumpla con los criterios establecidos en esta sección, u otros criterios definidos por el Secretario mediante reglamento, así como cualquier información adicional. información identificada por el Secretario.

(ii) Incluir un requisito en las regulaciones propuestas de conformidad con la subsección 4.2(c)(i) de esta sección de que los Proveedores de IaaS de los Estados Unidos prohíban a cualquier revendedor extranjero de su Producto IaaS de los Estados Unidos proporcionar esos productos a menos que dicho revendedor extranjero se someta a los Estados Unidos. Proveedor de IaaS de los Estados Unidos un informe, que el Proveedor de IaaS de los Estados Unidos debe proporcionar al Secretario de Comercio, detallando cada instancia en la que una persona extranjera realiza transacciones con el revendedor extranjero para utilizar el Producto IaaS de los Estados Unidos para realizar una ejecución de capacitación descrita en la subsección 4.2( c)(i) de esta sección. Dichos informes incluirán, como mínimo, la información especificada en el inciso 4.2(c)(i) de esta sección, así como cualquier información adicional identificada por el Secretario.

(iii) Determinar el conjunto de condiciones técnicas para que un modelo de IA grande tenga capacidades potenciales que podrían usarse en actividades cibernéticas maliciosas y revisar esa determinación según sea necesario y apropiado. Hasta que el Secretario tome tal determinación, se considerará que un modelo tiene capacidades potenciales que podrían usarse en actividades cibernéticas maliciosas si requiere una cantidad de potencia informática superior a 1026 operaciones enteras o de punto flotante y está entrenado en un sistema informático. Clúster que tiene un conjunto de máquinas ubicadas físicamente en un solo centro de datos, conectadas transitivamente mediante redes de centros de datos de más de 100 Gbit/s y con una capacidad de cálculo máxima teórica de 1020 operaciones enteras o de punto flotante por segundo para entrenar IA.

(d) Dentro de los 180 días siguientes a la fecha de esta orden, de conformidad con las conclusiones establecidas en la subsección 4.2(c) de esta sección, el Secretario de Comercio propondrá regulaciones que requieran que los proveedores de IaaS de los Estados Unidos garanticen que los revendedores extranjeros de los Estados Unidos Los Productos IaaS verifican la identidad de cualquier persona extranjera que obtenga una cuenta IaaS (cuenta) del revendedor extranjero. Estas regulaciones deberán, como mínimo:

(i) Establecer los estándares mínimos que un Proveedor de IaaS de los Estados Unidos debe exigir a los revendedores extranjeros de sus Productos IaaS de los Estados Unidos para verificar la identidad de una persona extranjera que abre una cuenta o mantiene una cuenta existente con un revendedor extranjero, incluyendo:

(A) los tipos de documentación y procedimientos que los revendedores extranjeros de Productos IaaS de los Estados Unidos deben exigir para verificar la identidad de cualquier persona extranjera que actúe como arrendatario o subarrendatario de estos productos o servicios;

(B) registros que los revendedores extranjeros de Productos IaaS de los Estados Unidos deben mantener de forma segura con respecto a una persona extranjera que obtiene una cuenta, incluida información que establezca:

(1) la identidad de dicha persona extranjera, incluido el nombre y la dirección;

(2) el medio y la fuente de pago (incluida cualquier institución financiera asociada y otros identificadores como número de tarjeta de crédito, número de cuenta, identificador de cliente, identificadores de transacciones o billetera de moneda virtual o identificador de dirección de billetera);

(3) la dirección de correo electrónico y la información de contacto telefónico utilizados para verificar la identidad de una persona extranjera; y

(4) las direcciones de Protocolo de Internet utilizadas para el acceso o la administración y la fecha y hora de cada acceso o acción administrativa relacionada con la verificación continua de la propiedad de dicha cuenta por parte de dicha persona extranjera; y

(C) métodos que los revendedores extranjeros de Productos IaaS de los Estados Unidos deben implementar para limitar todo el acceso de terceros a la información descrita en esta subsección, excepto en la medida en que dicho acceso sea consistente con esta orden y esté permitido según la ley aplicable;

(ii) Tener en cuenta los tipos de cuentas mantenidas por revendedores extranjeros de productos IaaS de los Estados Unidos, los métodos para abrir una cuenta y los tipos de información de identificación disponibles para lograr los objetivos de identificar a los ciberactores maliciosos extranjeros que utilizan dichos productos y evitar la imposición. de una carga indebida para dichos revendedores; y

(iii) Disponer que el Secretario de Comercio, de conformidad con las normas y procedimientos que el Secretario pueda delinear y en consulta con el Secretario de Defensa, el Fiscal General, el Secretario de Seguridad Nacional y el Director de Inteligencia Nacional, pueda eximir un Proveedor de IaaS de los Estados Unidos con respecto a cualquier revendedor extranjero específico de sus Productos IaaS de los Estados Unidos, o con respecto a cualquier tipo específico de cuenta o arrendatario, de los requisitos de cualquier regulación emitida de conformidad con esta subsección. Dichos estándares y procedimientos pueden incluir una conclusión por parte del Secretario de que dicho revendedor, cuenta o arrendatario extranjero cumple con las mejores prácticas de seguridad para disuadir el abuso de los Productos IaaS de los Estados Unidos.

(e) Por la presente se autoriza al Secretario de Comercio a tomar tales acciones, incluida la promulgación de reglas y regulaciones, y a emplear todos los poderes otorgados al Presidente por la Ley de Poderes Económicos de Emergencia Internacional, 50 USC 1701 et seq. , según sea necesario para llevar a cabo los propósitos de las subsecciones 4.2 (c) y (d) de esta sección. Dichas acciones pueden incluir el requisito de que los proveedores de IaaS de los Estados Unidos exijan a los revendedores extranjeros de productos de IaaS de los Estados Unidos que proporcionen verificaciones a los proveedores de IaaS de los Estados Unidos en relación con esas subsecciones.

4.3. Gestión de la IA en infraestructuras críticas y en ciberseguridad. a) Para garantizar la protección de las infraestructuras críticas se adoptarán las siguientes actuaciones:

(i) Dentro de los 90 días siguientes a la fecha de esta orden, y al menos anualmente a partir de entonces, el jefe de cada agencia con autoridad regulatoria relevante sobre infraestructura crítica y los jefes de las SRMA relevantes, en coordinación con el Director de la Agencia de Seguridad de Infraestructura y Ciberseguridad. dentro del Departamento de Seguridad Nacional para la consideración de los riesgos intersectoriales, evaluarán y proporcionarán al Secretario de Seguridad Nacional una evaluación de los riesgos potenciales relacionados con el uso de la IA en los sectores de infraestructura críticos involucrados, incluidas las formas en que el despliegue de la IA puede hacer que la IA sea crítica. Los sistemas de infraestructura son más vulnerables a fallas críticas, ataques físicos y ataques cibernéticos, y considerarán formas de mitigar estas vulnerabilidades. Se alienta a las agencias reguladoras independientes, según lo consideren apropiado, a contribuir a las evaluaciones de riesgos de sectores específicos.

(ii) Dentro de los 150 días siguientes a la fecha de esta orden, el Secretario del Tesoro emitirá un informe público sobre las mejores prácticas para que las instituciones financieras gestionen los riesgos de ciberseguridad específicos de la IA.

(iii) Dentro de los 180 días siguientes a la fecha de esta orden, el Secretario de Seguridad Nacional, en coordinación con el Secretario de Comercio y con las SRMA y otros reguladores según lo determine el Secretario de Seguridad Nacional, incorporará, según corresponda, el Marco de Gestión de Riesgos de IA. , NIST AI 100-1, así como otras pautas de seguridad apropiadas, en pautas de seguridad relevantes para uso de propietarios y operadores de infraestructura crítica.

(iv) Dentro de los 240 días posteriores a la finalización de las pautas descritas en la subsección 4.3 (a) (iii) de esta sección, el Asistente del Presidente para Asuntos de Seguridad Nacional y el Director de la OMB, en consulta con el Secretario de Seguridad Nacional, coordinará el trabajo de los jefes de las agencias con autoridad sobre la infraestructura crítica para desarrollar y tomar medidas para que el Gobierno Federal exija tales directrices, o partes apropiadas de las mismas, a través de medidas regulatorias u otras acciones apropiadas. Se alienta a las agencias reguladoras independientes, según lo consideren apropiado, a considerar si exigen orientación a través de acciones regulatorias en sus áreas de autoridad y responsabilidad.

(v) El Secretario de Seguridad Nacional establecerá una Junta de Seguridad de Inteligencia Artificial como comité asesor de conformidad con la sección 871 de la Ley de Seguridad Nacional de 2002 (Ley Pública 107-296). El Comité Asesor incluirá expertos en IA del sector privado, el mundo académico y el gobierno, según corresponda, y proporcionará al Secretario de Seguridad Nacional y a la comunidad de infraestructura crítica del Gobierno federal asesoramiento, información o recomendaciones para mejorar la seguridad, la resiliencia y la respuesta a incidentes. relacionados con el uso de IA en infraestructuras críticas.

(b) Aprovechar el potencial de la IA para mejorar las defensas cibernéticas de los Estados Unidos:

(i) El Secretario de Defensa llevará a cabo las acciones descritas en las subsecciones 4.3(b)(ii) y (iii) de esta sección para sistemas de seguridad nacional, y el Secretario de Seguridad Nacional llevará a cabo estas acciones para seguridad no nacional. sistemas. Cada uno lo hará en consulta con los jefes de otras agencias relevantes según lo consideren apropiado el Secretario de Defensa y el Secretario de Seguridad Nacional.

(ii) Como se establece en la subsección 4.3(b)(i) de esta sección, dentro de los 180 días siguientes a la fecha de esta orden, el Secretario de Defensa y el Secretario de Seguridad Nacional deberán, de conformidad con la ley aplicable, desarrollar cada uno planes para , realizar y completar un proyecto piloto operativo para identificar, desarrollar, probar, evaluar e implementar capacidades de inteligencia artificial, como modelos en lenguaje grande, para ayudar en el descubrimiento y remediación de vulnerabilidades en software, sistemas y redes críticos del gobierno de los Estados Unidos. .

(iii) Como se establece en la subsección 4.3(b)(i) de esta sección, dentro de los 270 días siguientes a la fecha de esta orden, el Secretario de Defensa y el Secretario de Seguridad Nacional deberán proporcionar cada uno un informe al Asistente del Presidente. para Asuntos de Seguridad Nacional sobre los resultados de las acciones tomadas de conformidad con los planes y proyectos piloto operativos requeridos por la subsección 4.3 (b) (ii) de esta sección, incluida una descripción de cualquier vulnerabilidad encontrada y solucionada mediante el desarrollo y despliegue de capacidades de IA y cualquier lección aprendida sobre cómo identificar, desarrollar, probar, evaluar e implementar capacidades de IA de manera efectiva para la ciberdefensa.

4.4. Reducir los riesgos en la intersección de las amenazas de IA y QBRN. a) Para comprender mejor y mitigar el riesgo de que la IA se utilice indebidamente para ayudar en el desarrollo o uso de amenazas QBRN (con especial atención a las armas biológicas), se adoptarán las siguientes medidas:

(i) Dentro de los 180 días siguientes a la fecha de esta orden, el Secretario de Seguridad Nacional, en consulta con el Secretario de Energía y el Director de la Oficina de Política Científica y Tecnológica (OSTP), evaluará el potencial de uso indebido de la IA. para permitir el desarrollo o producción de amenazas QBRN, al mismo tiempo que se consideran los beneficios y la aplicación de la IA para contrarrestar estas amenazas, incluidos, según corresponda, los resultados del trabajo realizado conforme a la sección 8(b) de esta orden. El Secretario de Seguridad Nacional deberá:

(A) consultar con expertos en cuestiones de IA y QBRN del Departamento de Energía, laboratorios privados de IA, instituciones académicas y evaluadores de modelos externos, según corresponda, para evaluar las capacidades del modelo de IA para presentar amenazas QBRN, con el único propósito de protegerse contra esas amenazas, así como opciones para minimizar los riesgos del uso indebido del modelo de IA para generar o exacerbar esas amenazas; y

(B) presentar un informe al Presidente que describa el progreso de estos esfuerzos, incluida una evaluación de los tipos de modelos de IA que pueden presentar riesgos QBRN para los Estados Unidos, y que haga recomendaciones para regular o supervisar la capacitación, el despliegue y la publicación. , o el uso de estos modelos, incluidos los requisitos para evaluaciones de seguridad y barreras de seguridad para mitigar posibles amenazas a la seguridad nacional.

(ii) Dentro de los 120 días siguientes a la fecha de esta orden, el Secretario de Defensa, en consulta con el Asistente del Presidente para Asuntos de Seguridad Nacional y el Director de la OSTP, celebrará un contrato con las Academias Nacionales de Ciencias, Ingeniería, y Medicina para realizar (y presentar al Secretario de Defensa, al Asistente del Presidente para Asuntos de Seguridad Nacional, al Director de la Oficina de Política de Preparación y Respuesta a Pandemias, al Director de OSTP y al Presidente del Consejo de Directores de Datos) un estudio que:

(A) evalúa las formas en que la IA puede aumentar los riesgos de bioseguridad, incluidos los riesgos de los modelos generativos de IA entrenados en datos biológicos, y hace recomendaciones sobre cómo mitigar estos riesgos;

(B) considera las implicaciones para la seguridad nacional del uso de datos y conjuntos de datos, especialmente aquellos asociados con patógenos y estudios ómicos, que el gobierno de los Estados Unidos aloja, genera, financia la creación o posee de otro modo para el entrenamiento de modelos generativos de IA. y hace recomendaciones sobre cómo mitigar los riesgos relacionados con el uso de estos datos y conjuntos de datos;

(C) evalúa las formas en que la IA aplicada a la biología puede usarse para reducir los riesgos de bioseguridad, incluidas recomendaciones sobre oportunidades para coordinar datos y recursos informáticos de alto rendimiento; y

(D) considera preocupaciones y oportunidades adicionales en la intersección de la IA y la biología sintética que el Secretario de Defensa considere apropiadas.

b) Para reducir el riesgo de uso indebido de ácidos nucleicos sintéticos, que podría aumentar sustancialmente gracias a las capacidades de la IA en este ámbito, y mejorar las medidas de bioseguridad para la industria de la síntesis de ácidos nucleicos, se adoptarán las siguientes medidas:

(i) Dentro de los 180 días siguientes a la fecha de esta orden, el Director de OSTP, en consulta con el Secretario de Estado, el Secretario de Defensa, el Fiscal General, el Secretario de Comercio, el Secretario de Salud y Servicios Humanos (HHS) , el Secretario de Energía, el Secretario de Seguridad Nacional, el Director de Inteligencia Nacional y los jefes de otras agencias relevantes que el Director de OSTP considere apropiado, establecerán un marco que incorpore, según corresponda, la orientación existente del Gobierno de los Estados Unidos. alentar a los proveedores de secuencias de ácidos nucleicos sintéticos a implementar mecanismos de detección de adquisición de ácidos nucleicos sintéticos integrales, escalables y verificables, incluidos estándares e incentivos recomendados. Como parte de este marco, el Director de OSTP deberá:

(A) establecer criterios y mecanismos para la identificación continua de secuencias biológicas que podrían usarse de una manera que representaría un riesgo para la seguridad nacional de los Estados Unidos; y

(B) determinar metodologías y herramientas estandarizadas para realizar y verificar el desempeño de la selección de adquisiciones de síntesis de secuencias, incluidos los enfoques de selección de clientes para respaldar la debida diligencia con respecto a la gestión de los riesgos de seguridad planteados por los compradores de secuencias biológicas identificadas en la subsección 4.4(b)(i). (A) de esta sección, y procesos para reportar actividades preocupantes a las entidades encargadas de hacer cumplir la ley.

(ii) Dentro de los 180 días siguientes a la fecha de esta orden, el Secretario de Comercio, actuando a través del Director del NIST, en coordinación con el Director de OSTP y en consulta con el Secretario de Estado, el Secretario del HHS y los jefes de otras agencias relevantes que el Secretario de Comercio considere apropiado, iniciará un esfuerzo para involucrarse con la industria y las partes interesadas relevantes, informados por el marco desarrollado bajo la subsección 4.4(b)(i) de esta sección, para desarrollar y perfeccionar para un posible uso. por proveedores de secuencias de ácidos nucleicos sintéticos:

(A) especificaciones para la detección eficaz de la obtención de síntesis de ácidos nucleicos;

(B) mejores prácticas, incluidos controles de seguridad y acceso, para gestionar bases de datos de secuencias de interés para respaldar dicha evaluación;

(C) guías técnicas de implementación para una detección efectiva; y

(D) mejores prácticas y mecanismos de evaluación de la conformidad.

(iii) Dentro de los 180 días posteriores al establecimiento del marco de conformidad con la subsección 4.4(b)(i) de esta sección, todas las agencias que financian investigaciones en ciencias biológicas deberán, según corresponda y de conformidad con la ley aplicable, establecer que, como requisito En términos de financiación, la adquisición de ácidos nucleicos sintéticos se realiza a través de proveedores o fabricantes que se adhieren al marco, por ejemplo mediante una certificación del proveedor o fabricante. El Asistente del Presidente para Asuntos de Seguridad Nacional y el Director de OSTP coordinarán el proceso de revisión de dichos requisitos de financiamiento para facilitar la coherencia en la implementación del marco entre las agencias de financiamiento.

(iv) Para facilitar la implementación efectiva de las medidas descritas en las subsecciones 4.4(b)(i)-(iii) de esta sección, el Secretario de Seguridad Nacional, en consulta con los jefes de otras agencias relevantes como el Secretario de Seguridad Nacional Seguridad que considere conveniente deberá:

(A) dentro de los 180 días posteriores al establecimiento del marco de conformidad con la subsección 4.4(b)(i) de esta sección, desarrollar un marco para realizar una evaluación estructurada y pruebas de estrés de la detección de adquisición de síntesis de ácido nucleico, incluidos los sistemas desarrollados de acuerdo con subsecciones 4.4(b)(i)-(ii) de esta sección e implementadas por proveedores de secuencias de ácidos nucleicos sintéticos; y

(B) luego del desarrollo del marco de conformidad con la subsección 4.4(b)(iv)(A) de esta sección, presentar un informe anual al Asistente del Presidente para Asuntos de Seguridad Nacional, el Director de la Oficina de Preparación y Respuesta a Pandemias Política y al Director de OSTP sobre cualquier resultado de las actividades realizadas de conformidad con la subsección 4.4(b)(iv)(A) de esta sección, incluidas las recomendaciones, si las hubiera, sobre cómo fortalecer la detección de adquisición de síntesis de ácido nucleico, incluida la detección de clientes. sistemas.

4.5. Reducir los riesgos que plantea el contenido sintético.

Fomentar capacidades para identificar y etiquetar contenido sintético producido por sistemas de IA, y establecer la autenticidad y procedencia del contenido digital, tanto sintético como no sintético, producido por el Gobierno Federal o en su nombre:

(a) Dentro de los 240 días siguientes a la fecha de esta orden, el Secretario de Comercio, en consulta con los jefes de otras agencias relevantes que el Secretario de Comercio considere apropiado, presentará un informe al Director de la OMB y al Asistente del Presidente de Asuntos de Seguridad Nacional identificando los estándares, herramientas, métodos y prácticas existentes, así como el desarrollo potencial de estándares y técnicas adicionales respaldados por la ciencia, para:

(i) autenticar el contenido y rastrear su procedencia;

(ii) etiquetar contenido sintético, como el uso de marcas de agua;

(iii) detectar contenido sintético;

(iv) impedir que la IA generativa produzca material de abuso sexual infantil o produzca imágenes íntimas no consensuadas de individuos reales (para incluir representaciones digitales íntimas del cuerpo o partes del cuerpo de un individuo identificable);

(v) software de prueba utilizado para los fines anteriores; y

(vi) auditar y mantener contenidos sintéticos.

(b) Dentro de los 180 días posteriores a la presentación del informe requerido según la subsección 4.5 (a) de esta sección, y actualizado periódicamente en lo sucesivo, el Secretario de Comercio, en coordinación con el Director de la OMB, desarrollará orientación sobre las herramientas y prácticas existentes para la tecnología digital. medidas de autenticación de contenido y detección de contenido sintético. La guía deberá incluir medidas para los propósitos enumerados en la subsección 4.5 (a) de esta sección.

(c) Dentro de los 180 días siguientes al desarrollo de la orientación requerida en virtud de la subsección 4.5(b) de esta sección, y actualizada periódicamente a partir de entonces, el Director de la OMB, en consulta con el Secretario de Estado; el Secretario de Defensa; el Fiscal General; el Secretario de Comercio, actuando a través del Director del NIST; el Secretario de Seguridad Nacional; el Director de Inteligencia Nacional; y los jefes de otras agencias que el Director de la OMB considere apropiado, deberán, con el fin de fortalecer la confianza pública en la integridad del contenido digital oficial del gobierno de los Estados Unidos, emitir orientación a las agencias para etiquetar y autenticar dicho contenido que producen o publican.

(d) El Consejo Federal Regulador de Adquisiciones deberá, según corresponda y de conformidad con la ley aplicable, considerar enmendar el Reglamento Federal de Adquisiciones para tener en cuenta la orientación establecida en la subsección 4.5 de esta sección.

4.6. Solicitar información sobre modelos de cimentación de doble uso con pesos de modelo ampliamente disponibles. Cuando las ponderaciones para un modelo de base de doble uso están ampliamente disponibles (por ejemplo, cuando se publican en Internet), la innovación puede generar beneficios sustanciales, pero también riesgos de seguridad sustanciales, como la eliminación de salvaguardas dentro del modelo. Para abordar los riesgos y beneficios potenciales de los modelos de base de doble uso con pesos ampliamente disponibles, dentro de los 270 días siguientes a la fecha de esta orden, el Secretario de Comercio, actuando a través del Subsecretario de Comercio para Comunicaciones e Información, y en consulta con el Secretario de Estado, deberá:

(a) solicitar aportes del sector privado, la academia, la sociedad civil y otras partes interesadas a través de un proceso de consulta pública sobre riesgos potenciales, beneficios, otras implicaciones y enfoques normativos y regulatorios apropiados relacionados con los modelos de fundaciones de doble uso para los cuales el modelo pondera están ampliamente disponibles, incluyendo:

(i) riesgos asociados con los actores que ajustan los modelos de base de doble uso para los cuales las ponderaciones del modelo están ampliamente disponibles o eliminan las salvaguardas de esos modelos;

(ii) beneficios para la innovación y la investigación de la IA, incluida la investigación sobre la seguridad y la gestión de riesgos de la IA, de los modelos básicos de doble uso para los cuales las ponderaciones del modelo están ampliamente disponibles; y

(iii) posibles mecanismos voluntarios, regulatorios e internacionales para gestionar los riesgos y maximizar los beneficios de los modelos de base de doble uso para los cuales las ponderaciones del modelo están ampliamente disponibles; y

(b) basándose en los aportes del proceso descrito en la subsección 4.6 (a) de esta sección, y en consulta con los jefes de otras agencias relevantes según lo considere apropiado el Secretario de Comercio, presentar un informe al Presidente sobre los posibles beneficios, riesgos , y las implicaciones de los modelos de fundaciones de doble uso para los cuales las ponderaciones del modelo están ampliamente disponibles, así como las recomendaciones políticas y regulatorias relacionadas con esos modelos.

4.7. Promoción de la divulgación segura y prevención del uso malicioso de datos federales para la capacitación en IA. Mejorar el acceso a los datos públicos y gestionar los riesgos de seguridad, y en consonancia con los objetivos de la Ley de Datos Gubernamentales Abiertos, Públicos, Electrónicos y Necesarios (título II de la Ley Pública 115 -435) para ampliar el acceso público a los activos de datos federales en un formato legible por máquina y al mismo tiempo tener en cuenta consideraciones de seguridad, incluido el riesgo de que la información en un activo de datos individual de forma aislada no represente un riesgo de seguridad pero, cuando se combina con otros disponibles información, puede suponer tal riesgo:

(a) dentro de los 270 días siguientes a la fecha de esta orden, el Consejo del Director de Datos, en consulta con el Secretario de Defensa, el Secretario de Comercio, el Secretario de Energía, el Secretario de Seguridad Nacional y el Director de Inteligencia Nacional, desarrollará pautas iniciales para realizar revisiones de seguridad, incluidas revisiones para identificar y gestionar los riesgos potenciales de seguridad de la divulgación de datos federales que podrían ayudar en el desarrollo de armas QBRN, así como el desarrollo de capacidades cibernéticas ofensivas autónomas, al mismo tiempo que proporcionarán acceso público a las revisiones federales. Datos gubernamentales en línea con los objetivos establecidos en la Ley de Datos Gubernamentales Abiertos, Públicos, Electrónicos y Necesarios (título II de la Ley Pública 115-435); y

(b) dentro de los 180 días posteriores al desarrollo de las pautas iniciales requeridas por la subsección 4.7 (a) de esta sección, las agencias deberán realizar una revisión de seguridad de todos los activos de datos en el inventario integral de datos requerido según 44 USC 3511 (a) (1) y (2)(B) y tomará medidas, según corresponda y de conformidad con la ley aplicable, para abordar los riesgos potenciales de seguridad de mayor prioridad que la divulgación de esos datos podría generar con respecto a las armas QBRN, como las formas en que esos datos podrían utilizarse para entrenar sistemas de IA.

4.8. Dirigir el desarrollo de un memorando de seguridad nacional. Para desarrollar un enfoque coordinado del poder ejecutivo para gestionar los riesgos de seguridad de AI, el Asistente del Presidente para Asuntos de Seguridad Nacional y el Asistente del Presidente y Jefe Adjunto de Gabinete para Políticas supervisarán un proceso interinstitucional con el propósito de, dentro de los 270 días siguientes a la fecha de esta orden, desarrollando y presentando una propuesta de Memorando de Seguridad Nacional sobre IA al Presidente. El memorando abordará la gobernanza de la IA utilizada como componente de un sistema de seguridad nacional o con fines militares y de inteligencia. El memorando tendrá en cuenta los esfuerzos actuales para regular el desarrollo y el uso de la IA para los sistemas de seguridad nacionales. El memorando describirá acciones para que el Departamento de Defensa, el Departamento de Estado, otras agencias relevantes y la comunidad de inteligencia aborden los riesgos de seguridad nacional y los beneficios potenciales que plantea la IA. En particular, el memorando deberá:

(a) proporcionar orientación al Departamento de Defensa, a otras agencias relevantes y a la comunidad de inteligencia sobre la adopción continua de capacidades de IA para avanzar en la misión de seguridad nacional de los Estados Unidos, incluso mediante la dirección de prácticas específicas de garantía y gestión de riesgos de IA para usos de seguridad nacional. de IA que pueda afectar los derechos o la seguridad de personas estadounidenses y, en contextos apropiados, de personas no estadounidenses; y

(b) dirigir acciones continuas, según corresponda y de conformidad con la ley aplicable, para abordar el uso potencial de sistemas de IA por parte de adversarios y otros actores extranjeros de maneras que amenacen las capacidades u objetivos del Departamento de Defensa o de la Comunidad de Inteligencia, o que de otro modo plantean riesgos para la seguridad de Estados Unidos o sus aliados y socios.