Comment le gouvernement américain envisage d'assurer la sûreté et la sécurité de la technologie de l'IA

Section 4 - Assurer la sûreté et la sécurité de la technologie de l'IA.

4.1. Élaboration de lignes directrices, de normes et de meilleures pratiques pour la sûreté et la sécurité de l'IA. (a) Dans les 270 jours suivant la date de la présente ordonnance, pour contribuer à garantir le développement de systèmes d'IA sûrs, sécurisés et dignes de confiance, le secrétaire au Commerce, agissant par l'intermédiaire du directeur du National Institute of Standards and Technology (NIST), en la coordination avec le secrétaire à l'Énergie, le secrétaire à la Sécurité intérieure et les chefs d'autres agences compétentes que le secrétaire au Commerce peut juger approprié, doit :

(i) Établir des lignes directrices et des meilleures pratiques, dans le but de promouvoir des normes sectorielles consensuelles, pour développer et déployer des systèmes d'IA sûrs, sécurisés et dignes de confiance, notamment :

(A) développer une ressource complémentaire au cadre de gestion des risques de l'IA, NIST AI 100-1, pour l'IA générative ;

(B) développer une ressource complémentaire au Secure Software Development Framework pour intégrer des pratiques de développement sécurisées pour l’IA générative et pour les modèles de base à double usage ; et

(C) lancer une initiative visant à créer des orientations et des références pour l’évaluation et l’audit des capacités de l’IA, en mettant l’accent sur les capacités par lesquelles l’IA pourrait causer des dommages, par exemple dans les domaines de la cybersécurité et de la biosécurité.

(ii) Établir des lignes directrices appropriées (sauf pour l'IA utilisée comme composante d'un système de sécurité nationale), y compris des procédures et processus appropriés, pour permettre aux développeurs d'IA, en particulier de modèles de base à double usage, de mener des tests d'équipe rouge d'IA pour permettre déploiement de systèmes sûrs, sécurisés et dignes de confiance. Ces efforts comprendront :

(A) coordonner ou élaborer des lignes directrices liées à l'évaluation et à la gestion de la sûreté, de la sécurité et de la fiabilité des modèles de fondations à double usage ; et

(B) en coordination avec le secrétaire à l'Énergie et le directeur de la National Science Foundation (NSF), développer et contribuer à garantir la disponibilité d'environnements de test, tels que des bancs d'essai, pour soutenir le développement de technologies d'IA sûres, sécurisées et dignes de confiance. , ainsi que pour soutenir la conception, le développement et le déploiement des PET associés, conformément à l'article 9(b) de la présente ordonnance.

(b) Dans les 270 jours suivant la date de la présente ordonnance, pour comprendre et atténuer les risques de sécurité de l'IA, le secrétaire à l'Énergie, en coordination avec les chefs d'autres agences de gestion des risques sectoriels (SRMA) comme le secrétaire à l'Énergie peut le juger approprié, doit élaborer et, dans la mesure permise par la loi et les crédits disponibles, mettre en œuvre un plan de développement des outils d'évaluation des modèles d'IA et des bancs d'essai d'IA du ministère de l'Énergie. Le secrétaire entreprendra ce travail en utilisant les solutions existantes lorsque cela est possible, et développera ces outils et bancs d'essai d'IA pour être capable d'évaluer les extrapolations à court terme des capacités des systèmes d'IA. Au minimum, le secrétaire doit développer des outils pour évaluer les capacités de l'IA afin de générer des résultats pouvant représenter des menaces ou des dangers nucléaires, de non-prolifération, biologiques, chimiques, d'infrastructures critiques et de sécurité énergétique. Le secrétaire effectuera ce travail uniquement dans le but de se prémunir contre ces menaces et développera également des modèles de garde-corps qui réduisent ces risques. Le secrétaire consultera, le cas échéant, les laboratoires privés d’IA, le monde universitaire, la société civile et les évaluateurs tiers, et utilisera les solutions existantes.

4.2. Garantir une IA sûre et fiable. (a) Dans les 90 jours suivant la date de la présente ordonnance, assurer et vérifier la disponibilité continue d'une IA sûre, fiable et efficace conformément à la Defense Production Act, telle que modifiée, 50 USC 4501 et suivants , y compris pour le national la défense et la protection des infrastructures critiques, le secrétaire au Commerce exigera :

(i) Entreprises développant ou démontrant leur intention de développer des modèles de fondations potentiels à double usage pour fournir au gouvernement fédéral, de manière continue, des informations, des rapports ou des dossiers concernant les éléments suivants :

(A) toute activité en cours ou planifiée liée à la formation, au développement ou à la production de modèles de base à double usage, y compris les protections physiques et de cybersécurité prises pour garantir l'intégrité de ce processus de formation contre les menaces sophistiquées ;

(B) la propriété et la possession des poids de modèle de tout modèle de fondation à double usage, ainsi que les mesures physiques et de cybersécurité prises pour protéger ces poids de modèle ; et

(C) les résultats des performances de tout modèle de fondation à double usage développé lors des tests pertinents de l'équipe rouge d'IA sur la base des directives élaborées par le NIST conformément à la sous-section 4.1(a)(ii) de la présente section, et une description de toutes les mesures associées que l'entreprise a prises. a pris pour atteindre les objectifs de sécurité, tels que des mesures d'atténuation pour améliorer les performances de ces tests de l'équipe rouge et renforcer la sécurité globale du modèle. Avant l'élaboration de lignes directrices sur les normes de test de l'équipe rouge par le NIST conformément à la sous-section 4.1(a)(ii) de la présente section, cette description doit inclure les résultats de tout test de l'équipe rouge que l'entreprise a effectué concernant l'abaissement de la barrière. à l'entrée pour le développement, l'acquisition et l'utilisation d'armes biologiques par des acteurs non étatiques ; la découverte de vulnérabilités logicielles et le développement d’exploits associés ; l'utilisation de logiciels ou d'outils pour influencer des événements réels ou virtuels ; la possibilité d'auto-réplication ou de propagation ; et mesures associées pour atteindre les objectifs de sécurité ; et

(ii) Les entreprises, individus ou autres organisations ou entités qui acquièrent, développent ou possèdent un cluster informatique potentiel à grande échelle doivent signaler toute acquisition, développement ou possession, y compris l'existence et l'emplacement de ces clusters et le montant total. puissance de calcul disponible dans chaque cluster.

(b) Le secrétaire au Commerce, en consultation avec le secrétaire d'État, le secrétaire à la Défense, le secrétaire à l'Énergie et le directeur du renseignement national, définira, puis mettra à jour régulièrement si nécessaire, l'ensemble des informations techniques. conditions pour les modèles et les grappes de calcul qui seraient soumis aux exigences de déclaration du paragraphe 4.2(a) de la présente section. Jusqu'à ce que ces conditions techniques soient définies, le Secrétaire exigera le respect de ces exigences de reporting pour :

(i) tout modèle qui a été entraîné en utilisant une quantité de puissance de calcul supérieure à 1 026 opérations sur des nombres entiers ou à virgule flottante, ou en utilisant principalement des données de séquence biologique et en utilisant une quantité de puissance de calcul supérieure à 1 023 opérations sur des nombres entiers ou à virgule flottante ; et

(ii) tout cluster informatique comportant un ensemble de machines physiquement colocalisées dans un seul centre de données, connectées de manière transitive par un réseau de centre de données de plus de 100 Gbit/s, et ayant une capacité de calcul maximale théorique de 1 020 opérations entières ou à virgule flottante par deuxièmement pour la formation de l’IA.

(c) Parce que j'estime que des mesures supplémentaires doivent être prises pour faire face à l'urgence nationale liée aux activités cybernétiques malveillantes importantes déclarées dans le décret 13694 du 1er avril 2015 (blocage des biens de certaines personnes se livrant à d'importantes activités cybernétiques malveillantes). Activités), tel que modifié par le décret 13757 du 28 décembre 2016 (Prendre des mesures supplémentaires pour faire face à l'urgence nationale en ce qui concerne d'importantes activités cybernétiques malveillantes), et modifié à nouveau par le décret 13984, pour traiter de l'utilisation de l'infrastructure des États-Unis. en tant que service (IaaS) par des cyberacteurs malveillants étrangers, notamment pour imposer des obligations supplémentaires en matière de tenue de registres en ce qui concerne les transactions étrangères et pour aider à l'enquête sur les transactions impliquant des cyberacteurs malveillants étrangers, j'ordonne par la présente au secrétaire au Commerce, dans un délai de 90 jours à compter de la date de la présente commande, à :

(i) Proposer des réglementations exigeant que les fournisseurs IaaS des États-Unis soumettent un rapport au secrétaire au Commerce lorsqu'une personne étrangère effectue une transaction avec ce fournisseur IaaS des États-Unis pour former un grand modèle d'IA doté de capacités potentielles qui pourraient être utilisées dans des activités cybernétiques malveillantes. (une « course d’entraînement »). Ces rapports doivent inclure, au minimum, l'identité de la personne étrangère et l'existence de toute formation sur un modèle d'IA répondant aux critères énoncés dans la présente section, ou à d'autres critères définis par le secrétaire dans les règlements, ainsi que tout renseignement supplémentaire. informations identifiées par le secrétaire.

(ii) Inclure une exigence dans les réglementations proposées conformément à la sous-section 4.2(c)(i) de la présente section selon laquelle les fournisseurs IaaS des États-Unis interdisent à tout revendeur étranger de leur produit IaaS américain de fournir ces produits à moins que ce revendeur étranger ne soumette aux États-Unis Fournisseur IaaS des États-Unis un rapport, que le fournisseur IaaS des États-Unis doit fournir au Secrétaire au Commerce, détaillant chaque cas dans lequel une personne étrangère effectue une transaction avec le revendeur étranger pour utiliser le produit IaaS des États-Unis afin d'effectuer une formation décrite à la sous-section 4.2 ( c)(i) de la présente section. Ces rapports doivent inclure, au minimum, les informations spécifiées à la sous-section 4.2(c)(i) de la présente section ainsi que toute information supplémentaire identifiée par le secrétaire.

(iii) Déterminer l'ensemble des conditions techniques pour qu'un grand modèle d'IA ait des capacités potentielles qui pourraient être utilisées dans des activités cybercriminelles malveillantes, et réviser cette détermination si nécessaire et approprié. Jusqu'à ce que le secrétaire prenne une telle décision, un modèle sera considéré comme ayant des capacités potentielles qui pourraient être utilisées dans des activités cybernétiques malveillantes s'il nécessite une quantité de puissance de calcul supérieure à 1 026 opérations entières ou à virgule flottante et est formé sur un ordinateur. cluster qui comprend un ensemble de machines physiquement colocalisées dans un seul centre de données, connectées de manière transitive par un réseau de centre de données de plus de 100 Gbit/s et ayant une capacité de calcul maximale théorique de 1 020 opérations entières ou à virgule flottante par seconde pour l'entraînement de l'IA.

(d) Dans les 180 jours suivant la date de la présente ordonnance, conformément aux conclusions énoncées à la sous-section 4.2(c) de la présente section, le secrétaire au Commerce proposera des réglementations exigeant que les fournisseurs IaaS des États-Unis veillent à ce que les revendeurs étrangers de produits américains Les produits IaaS vérifient l'identité de toute personne étrangère qui obtient un compte IaaS (compte) auprès du revendeur étranger. Ces règlements doivent, au minimum :

(i) Établir les normes minimales qu'un fournisseur IaaS américain doit exiger des revendeurs étrangers de ses produits IaaS américains pour vérifier l'identité d'une personne étrangère qui ouvre un compte ou maintient un compte existant auprès d'un revendeur étranger, notamment :

(A) les types de documents et de procédures que les revendeurs étrangers de produits IaaS américains doivent exiger pour vérifier l'identité de toute personne étrangère agissant en tant que locataire ou sous-locataire de ces produits ou services ;

(B) les enregistrements que les revendeurs étrangers de produits IaaS aux États-Unis doivent conserver en toute sécurité concernant une personne étrangère qui obtient un compte, y compris les informations établissant :

(1) l’identité de cette personne étrangère, y compris son nom et son adresse ;

(2) le moyen et la source de paiement (y compris toute institution financière associée et autres identifiants tels que le numéro de carte de crédit, le numéro de compte, l'identifiant client, les identifiants de transaction ou le portefeuille de monnaie virtuelle ou l'identifiant de l'adresse du portefeuille) ;

(3) l'adresse de courrier électronique et les coordonnées téléphoniques utilisées pour vérifier l'identité d'une personne étrangère ; et

(4) les adresses de protocole Internet utilisées pour l'accès ou l'administration et la date et l'heure de chacun de ces accès ou actions administratives liées à la vérification continue de la propriété de cette personne étrangère sur un tel compte ; et

(C) les méthodes que les revendeurs étrangers de produits IaaS aux États-Unis doivent mettre en œuvre pour limiter tout accès de tiers aux informations décrites dans la présente sous-section, sauf dans la mesure où un tel accès est par ailleurs conforme à la présente ordonnance et autorisé par la loi applicable ;

(ii) Prendre en compte les types de comptes gérés par les revendeurs étrangers de produits IaaS américains, les méthodes d'ouverture d'un compte et les types d'informations d'identification disponibles pour atteindre les objectifs d'identification des cyberacteurs malveillants étrangers utilisant de tels produits et éviter l'imposition. d'une charge excessive pour ces revendeurs ; et

(iii) Prévoir que le secrétaire au Commerce, conformément aux normes et procédures qu'il peut définir et en consultation avec le secrétaire à la Défense, le procureur général, le secrétaire à la Sécurité intérieure et le directeur du renseignement national, peut exempter un fournisseur IaaS américain en ce qui concerne tout revendeur étranger spécifique de ses produits IaaS américains, ou en ce qui concerne tout type spécifique de compte ou de locataire, des exigences de toute réglementation émise en vertu du présent paragraphe. Ces normes et procédures peuvent inclure une conclusion du Secrétaire selon laquelle ce revendeur, compte ou locataire étranger se conforme aux meilleures pratiques de sécurité afin de dissuader les abus des produits IaaS américains.

(e) Le secrétaire au Commerce est par la présente autorisé à prendre de telles mesures, y compris la promulgation de règles et réglementations, et à utiliser tous les pouvoirs accordés au président par l'International Emergency Economic Powers Act, 50 USC 1701 et suivants. , dans la mesure où cela peut être nécessaire pour réaliser les objectifs des sous-sections 4.2(c) et (d) de la présente section. De telles actions peuvent inclure l'obligation pour les fournisseurs IaaS américains d'exiger des revendeurs étrangers de produits IaaS américains qu'ils fournissent aux fournisseurs IaaS américains des vérifications relatives à ces sous-sections.

4.3. Gestion de l'IA dans les infrastructures critiques et en cybersécurité. (a) Pour assurer la protection des infrastructures critiques, les mesures suivantes sont prises :

(i) Dans les 90 jours suivant la date de la présente ordonnance, et au moins une fois par an par la suite, le chef de chaque agence dotée de l'autorité de réglementation compétente en matière d'infrastructures critiques et les chefs des SRMA concernés, en coordination avec le directeur de l'Agence de cybersécurité et de sécurité des infrastructures. au sein du ministère de la Sécurité intérieure pour l'examen des risques intersectoriels, doit évaluer et fournir au secrétaire à la Sécurité intérieure une évaluation des risques potentiels liés à l'utilisation de l'IA dans les secteurs d'infrastructures critiques concernés, y compris les façons dont le déploiement de l'IA peut rendre critique les systèmes d’infrastructure sont plus vulnérables aux pannes critiques, aux attaques physiques et aux cyberattaques, et doit envisager des moyens d’atténuer ces vulnérabilités. Les agences de régulation indépendantes sont encouragées, lorsqu’elles le jugent approprié, à contribuer aux évaluations des risques spécifiques au secteur.

(ii) Dans les 150 jours suivant la date de la présente ordonnance, le secrétaire au Trésor publiera un rapport public sur les meilleures pratiques permettant aux institutions financières de gérer les risques de cybersécurité spécifiques à l'IA.

(iii) Dans les 180 jours suivant la date de la présente ordonnance, le secrétaire à la Sécurité intérieure, en coordination avec le secrétaire au Commerce et avec les SRMA et autres régulateurs déterminés par le secrétaire à la Sécurité intérieure, intégrera, le cas échéant, le cadre de gestion des risques liés à l'IA. , NIST AI 100-1, ainsi que d'autres directives de sécurité appropriées, en directives de sûreté et de sécurité pertinentes à l'usage des propriétaires et des opérateurs d'infrastructures critiques.

(iv) Dans les 240 jours suivant l'achèvement des lignes directrices décrites au sous-alinéa 4.3(a)(iii) de la présente section, l'assistant du président pour les affaires de sécurité nationale et le directeur de l'OMB, en consultation avec le secrétaire à la Sécurité intérieure, coordonnera le travail des chefs d'agences ayant autorité sur les infrastructures critiques pour élaborer et prendre des mesures pour que le gouvernement fédéral impose de telles lignes directrices, ou des parties appropriées de celles-ci, par le biais de mesures réglementaires ou autres mesures appropriées. Les agences de régulation indépendantes sont encouragées, lorsqu’elles le jugent approprié, à envisager l’opportunité d’imposer des orientations par le biais d’actions réglementaires dans leurs domaines d’autorité et de responsabilité.

(v) Le secrétaire à la Sécurité intérieure établira un conseil de sûreté et de sécurité de l'intelligence artificielle en tant que comité consultatif conformément à l'article 871 de la loi sur la sécurité intérieure de 2002 (loi publique 107-296). Le comité consultatif comprendra des experts en IA du secteur privé, du monde universitaire et du gouvernement, le cas échéant, et fournira au secrétaire à la Sécurité intérieure et à la communauté des infrastructures critiques du gouvernement fédéral des conseils, des informations ou des recommandations pour améliorer la sécurité, la résilience et la réponse aux incidents. liés à l’utilisation de l’IA dans les infrastructures critiques.

(b) Tirer parti du potentiel de l’IA pour améliorer la cyberdéfense des États-Unis :

(i) Le secrétaire à la Défense doit mener les actions décrites dans les sous-sections 4.3(b)(ii) et (iii) de la présente section pour les systèmes de sécurité nationale, et le secrétaire à la Sécurité intérieure doit mener ces actions pour des raisons de sécurité non nationale. systèmes. Chacun le fera en consultation avec les chefs des autres agences compétentes que le secrétaire à la Défense et le secrétaire à la Sécurité intérieure jugeront approprié.

(ii) Comme indiqué au paragraphe 4.3(b)(i) de la présente section, dans les 180 jours suivant la date de la présente ordonnance, le secrétaire à la Défense et le secrétaire à la Sécurité intérieure doivent, conformément à la loi applicable, élaborer chacun des plans pour , mener et mener à bien un projet pilote opérationnel pour identifier, développer, tester, évaluer et déployer des capacités d'IA, telles que des modèles en grand langage, pour faciliter la découverte et la correction des vulnérabilités dans les logiciels, systèmes et réseaux critiques du gouvernement des États-Unis. .

(iii) Comme indiqué au paragraphe 4.3(b)(i) de la présente section, dans les 270 jours suivant la date de la présente ordonnance, le secrétaire à la Défense et le secrétaire à la Sécurité intérieure doivent chacun fournir un rapport à l'assistant du président. pour les affaires de sécurité nationale sur les résultats des actions prises conformément aux plans et aux projets pilotes opérationnels requis par la sous-section 4.3(b)(ii) de la présente section, y compris une description de toutes les vulnérabilités trouvées et corrigées grâce au développement et au déploiement de capacités d'IA et toutes les leçons apprises sur la façon d’identifier, de développer, de tester, d’évaluer et de déployer efficacement des capacités d’IA pour la cyberdéfense.

4.4. Réduire les risques à l’intersection des menaces IA et CBRN. (a) Pour mieux comprendre et atténuer le risque d’utilisation abusive de l’IA pour contribuer au développement ou à l’utilisation de menaces CBRN – avec un accent particulier sur les armes biologiques – les mesures suivantes doivent être prises :

(i) Dans les 180 jours suivant la date de la présente ordonnance, le secrétaire à la Sécurité intérieure, en consultation avec le secrétaire à l'Énergie et le directeur du Bureau de la politique scientifique et technologique (OSTP), évaluera le potentiel d'utilisation abusive de l'IA. pour permettre le développement ou la production de menaces CBRN, tout en considérant également les avantages et l’application de l’IA pour contrer ces menaces, y compris, le cas échéant, les résultats des travaux menés en vertu de l’article 8(b) de la présente ordonnance. Le secrétaire à la Sécurité intérieure doit :

(A) consulter des experts en matière d'IA et de CBRN du ministère de l'Énergie, des laboratoires privés d'IA, du monde universitaire et des évaluateurs de modèles tiers, le cas échéant, pour évaluer les capacités du modèle d'IA à présenter des menaces CBRN – dans le seul but de se prémunir contre ces menaces – ainsi que des options pour minimiser les risques d’utilisation abusive du modèle d’IA pour générer ou exacerber ces menaces ; et

(B) soumettre un rapport au président qui décrit les progrès de ces efforts, y compris une évaluation des types de modèles d'IA susceptibles de présenter des risques CBRN pour les États-Unis, et qui formule des recommandations pour réglementer ou superviser la formation, le déploiement, la publication , ou l'utilisation de ces modèles, y compris les exigences en matière d'évaluations de sécurité et de garde-fous pour atténuer les menaces potentielles à la sécurité nationale.

(ii) Dans les 120 jours suivant la date de la présente ordonnance, le secrétaire à la Défense, en consultation avec l'assistant du président pour les affaires de sécurité nationale et le directeur de l'OSTP, conclura un contrat avec les académies nationales des sciences, de l'ingénierie, et de médecine pour mener – et soumettre au secrétaire à la Défense, à l'assistant du président pour les affaires de sécurité nationale, au directeur du Bureau de la politique de préparation et de réponse aux pandémies, au directeur de l'OSTP et au président du Conseil des responsables des données – une étude qui :

(A) évalue les façons dont l’IA peut augmenter les risques de biosécurité, y compris les risques liés aux modèles d’IA génératifs formés sur des données biologiques, et formule des recommandations sur la manière d’atténuer ces risques ;

(B) considère les implications sur la sécurité nationale de l'utilisation de données et d'ensembles de données, en particulier ceux associés aux études sur les agents pathogènes et les omiques, que le gouvernement des États-Unis héberge, génère, finance la création ou possède d'une autre manière, pour la formation de modèles d'IA génératifs , et formule des recommandations sur la manière d'atténuer les risques liés à l'utilisation de ces données et ensembles de données ;

(C) évalue les manières dont l’IA appliquée à la biologie peut être utilisée pour réduire les risques de biosécurité, y compris des recommandations sur les opportunités de coordonner les données et les ressources de calcul haute performance ; et

(D) considère des préoccupations et des opportunités supplémentaires à l’intersection de l’IA et de la biologie synthétique que le secrétaire à la Défense juge appropriées.

b) Afin de réduire le risque d'utilisation abusive des acides nucléiques synthétiques, qui pourrait être considérablement accru par les capacités de l'IA dans ce domaine, et d'améliorer les mesures de biosécurité pour l'industrie de la synthèse des acides nucléiques, les mesures suivantes seront prises :

(i) Dans les 180 jours suivant la date de la présente ordonnance, le directeur de l'OSTP, en consultation avec le secrétaire d'État, le secrétaire à la Défense, le procureur général, le secrétaire au Commerce, le secrétaire à la Santé et aux Services sociaux (HHS) , le secrétaire à l'Énergie, le secrétaire à la Sécurité intérieure, le directeur du renseignement national et les chefs d'autres agences compétentes que le directeur de l'OSTP peut juger approprié, établiront un cadre intégrant, le cas échéant, les directives existantes du gouvernement des États-Unis, encourager les fournisseurs de séquences d’acides nucléiques synthétiques à mettre en œuvre des mécanismes de contrôle complets, évolutifs et vérifiables pour l’approvisionnement en acides nucléiques synthétiques, y compris des normes et des incitations recommandées. Dans le cadre de ce cadre, le Directeur de l'OSTP devra :

(A) établir des critères et des mécanismes pour l'identification continue de séquences biologiques qui pourraient être utilisées d'une manière qui présenterait un risque pour la sécurité nationale des États-Unis ; et

(B) déterminer des méthodologies et des outils standardisés pour effectuer et vérifier les performances du contrôle d'approvisionnement par synthèse de séquences, y compris des approches de contrôle des clients pour soutenir la diligence raisonnable en ce qui concerne la gestion des risques de sécurité posés par les acheteurs de séquences biologiques identifiés au sous-alinéa 4.4(b)(i) (A) de la présente section, et les processus de déclaration des activités préoccupantes aux entités chargées de l'application de la loi.

(ii) Dans les 180 jours suivant la date de la présente ordonnance, le secrétaire au Commerce, agissant par l'intermédiaire du directeur du NIST, en coordination avec le directeur de l'OSTP et en consultation avec le secrétaire d'État, le secrétaire du HHS et les dirigeants d'autres agences compétentes que le secrétaire au Commerce peut juger appropriées, lanceront un effort pour collaborer avec l'industrie et les parties prenantes concernées, informées par le cadre élaboré en vertu de la sous-section 4.4(b)(i) de la présente section, pour développer et affiner en vue d'une utilisation éventuelle. par des fournisseurs de séquences d’acides nucléiques synthétiques :

(A) spécifications pour un dépistage efficace de l'approvisionnement en synthèse d'acide nucléique ;

(B) les meilleures pratiques, y compris les contrôles de sécurité et d'accès, pour gérer les bases de données de séquence de préoccupation afin de prendre en charge un tel filtrage ;

(C) des guides de mise en œuvre technique pour un dépistage efficace ; et

(D) les meilleures pratiques et mécanismes d’évaluation de la conformité.

(iii) Dans les 180 jours suivant l'établissement du cadre conformément au sous-alinéa 4.4(b)(i) de la présente section, toutes les agences qui financent la recherche en sciences de la vie doivent, de manière appropriée et conformément à la loi applicable, établir que, comme exigence du financement, l'approvisionnement en acides nucléiques synthétiques est effectué par l'intermédiaire de fournisseurs ou de fabricants qui adhèrent au cadre, par exemple au moyen d'une attestation du fournisseur ou du fabricant. L'assistant du président pour les affaires de sécurité nationale et le directeur de l'OSTP coordonneront le processus d'examen de ces besoins de financement afin de faciliter la cohérence dans la mise en œuvre du cadre entre les agences de financement.

(iv) Afin de faciliter la mise en œuvre efficace des mesures décrites dans les sous-sections 4.4(b)(i) à (iii) de la présente section, le secrétaire à la Sécurité intérieure, en consultation avec les chefs d'autres agences compétentes en tant que secrétaire à la Sécurité intérieure. La sécurité qu'elle juge appropriée doit :

(A) dans les 180 jours suivant l'établissement du cadre conformément au sous-alinéa 4.4(b)(i) du présent article, élaborer un cadre pour mener une évaluation structurée et des tests de résistance du contrôle d'approvisionnement en matière de synthèse d'acide nucléique, y compris les systèmes développés conformément à sous-sections 4.4(b)(i)-(ii) de la présente section et mis en œuvre par les fournisseurs de séquences d'acides nucléiques synthétiques ; et

(B) après l'élaboration du cadre conformément au sous-alinéa 4.4(b)(iv)(A) de la présente section, soumettre un rapport annuel à l'assistant du président pour les affaires de sécurité nationale, au directeur du Bureau de préparation et de réponse aux pandémies. Politique, et le directeur de l'OSTP sur tout résultat des activités menées conformément à la sous-section 4.4(b)(iv)(A) de la présente section, y compris les recommandations, le cas échéant, sur la manière de renforcer le contrôle des achats de synthèse d'acide nucléique, y compris le contrôle des clients. systèmes.

4.5. Réduire les risques posés par le contenu synthétique.

Favoriser les capacités d'identification et d'étiquetage du contenu synthétique produit par les systèmes d'IA, et établir l'authenticité et la provenance du contenu numérique, synthétique et non synthétique, produit par le gouvernement fédéral ou en son nom :

(a) Dans les 240 jours suivant la date de la présente ordonnance, le secrétaire au Commerce, en consultation avec les chefs d'autres agences compétentes que le secrétaire au Commerce peut juger approprié, soumettra un rapport au directeur de l'OMB et à l'assistant du Président chargé des affaires de sécurité nationale, identifiant les normes, outils, méthodes et pratiques existants, ainsi que le développement potentiel de nouvelles normes et techniques fondées sur la science, pour :

(i) authentifier le contenu et suivre sa provenance ;

(ii) l'étiquetage du contenu synthétique, par exemple en utilisant un filigrane ;

(iii) détecter le contenu synthétique ;

(iv) empêcher l’IA générative de produire du matériel d’abus sexuel sur des enfants ou de produire des images intimes non consensuelles d’individus réels (pour inclure des représentations numériques intimes du corps ou de parties du corps d’un individu identifiable) ;

(v) tester les logiciels utilisés aux fins ci-dessus ; et

(vi) auditer et maintenir le contenu synthétique.

(b) Dans les 180 jours suivant la soumission du rapport requis en vertu du paragraphe 4.5(a) de la présente section, et mis à jour périodiquement par la suite, le secrétaire au Commerce, en coordination avec le directeur de l'OMB, élaborera des orientations concernant les outils et pratiques existants pour le numérique. mesures d’authentification de contenu et de détection de contenu synthétique. Les orientations doivent inclure des mesures aux fins énumérées à la sous-section 4.5(a) de la présente section.

(c) Dans les 180 jours suivant l'élaboration des orientations requises en vertu du paragraphe 4.5(b) de la présente section, et mises à jour périodiquement par la suite, le directeur de l'OMB, en consultation avec le secrétaire d'État ; le secrétaire à la Défense ; le procureur général ; le secrétaire au Commerce, agissant par l'intermédiaire du directeur du NIST ; le secrétaire à la Sécurité intérieure ; le directeur du renseignement national ; et les chefs d'autres agences que le directeur de l'OMB juge appropriées, doivent - dans le but de renforcer la confiance du public dans l'intégrité du contenu numérique officiel du gouvernement des États-Unis - publier des directives aux agences pour étiqueter et authentifier le contenu qu'elles produisent ou publient.

(d) Le Conseil fédéral de réglementation des acquisitions devra, le cas échéant et conformément à la loi applicable, envisager de modifier le Règlement fédéral sur les acquisitions pour tenir compte des orientations établies en vertu du paragraphe 4.5 de la présente section.

4.6. Sollicitation de commentaires sur les modèles de fondation à double usage avec des poids de modèle largement disponibles. Lorsque les pondérations d’un modèle de fondation à double usage sont largement disponibles – par exemple lorsqu’elles sont publiées publiquement sur Internet – il peut y avoir des avantages substantiels pour l’innovation, mais aussi des risques de sécurité importants, comme la suppression des garanties au sein du modèle. Pour faire face aux risques et aux avantages potentiels des modèles de fondations à double usage avec des poids largement disponibles, dans les 270 jours suivant la date de la présente ordonnance, le secrétaire au Commerce, agissant par l'intermédiaire du secrétaire adjoint au Commerce pour les communications et l'information, et en consultation avec le Le secrétaire d'État doit :

(a) solliciter la contribution du secteur privé, du monde universitaire, de la société civile et d'autres parties prenantes par le biais d'un processus de consultation publique sur les risques potentiels, les avantages, d'autres implications et les approches politiques et réglementaires appropriées liées aux modèles de fondations à double usage pour lesquels le modèle pondère sont largement disponibles, notamment :

(i) les risques associés au fait que les acteurs affinent les modèles de base à double usage pour lesquels les pondérations des modèles sont largement disponibles ou suppriment les sauvegardes de ces modèles ;

(ii) les avantages pour l’innovation et la recherche en IA, y compris la recherche sur la sécurité de l’IA et la gestion des risques, des modèles de base à double usage pour lesquels les pondérations des modèles sont largement disponibles ; et

(iii) d’éventuels mécanismes volontaires, réglementaires et internationaux pour gérer les risques et maximiser les avantages des modèles de fondations à double usage pour lesquels les pondérations des modèles sont largement disponibles ; et

(b) sur la base des apports du processus décrit à la sous-section 4.6(a) de la présente section, et en consultation avec les chefs d'autres agences compétentes si le secrétaire au Commerce le juge approprié, soumettre un rapport au président sur les avantages et les risques potentiels. , et les implications des modèles de fondations à double usage pour lesquels les pondérations des modèles sont largement disponibles, ainsi que les recommandations politiques et réglementaires relatives à ces modèles.

4.7. Promouvoir la diffusion en toute sécurité et prévenir l'utilisation malveillante des données fédérales pour la formation en IA. Pour améliorer l'accès aux données publiques et gérer les risques de sécurité, et conformément aux objectifs de la loi sur les données publiques ouvertes, publiques, électroniques et nécessaires (titre II de la loi publique 115 -435) pour élargir l'accès public aux actifs de données fédérales dans un format lisible par machine tout en tenant également compte des considérations de sécurité, y compris le risque que les informations contenues dans un actif de données individuel ne posent pas isolément un risque de sécurité mais, lorsqu'elles sont combinées avec d'autres actifs de données disponibles. informations, peut présenter un tel risque :

(a) dans les 270 jours suivant la date de la présente ordonnance, le Chief Data Officer Council, en consultation avec le secrétaire à la Défense, le secrétaire au Commerce, le secrétaire à l'Énergie, le secrétaire à la Sécurité intérieure et le directeur du renseignement national, doit élaborer des lignes directrices initiales pour effectuer des examens de sécurité, y compris des examens visant à identifier et à gérer les risques de sécurité potentiels liés à la divulgation de données fédérales susceptibles de contribuer au développement d'armes CBRN ainsi qu'au développement de cybercapacités offensives autonomes, tout en fournissant également un accès public aux informations fédérales. Données gouvernementales conformes aux objectifs énoncés dans la loi sur les données gouvernementales ouvertes, publiques, électroniques et nécessaires (titre II de la loi publique 115-435) ; et

(b) dans les 180 jours suivant l'élaboration des lignes directrices initiales requises par le paragraphe 4.7(a) de la présente section, les agences doivent procéder à un examen de sécurité de tous les actifs de données dans l'inventaire complet des données requis en vertu de 44 USC 3511(a)(1) et (2)(B) et doit prendre des mesures, appropriées et conformes à la loi applicable, pour répondre aux risques de sécurité potentiels les plus prioritaires que la divulgation de ces données pourrait soulever en ce qui concerne les armes CBRN, tels que la manière dont ces données pourraient être utilisé pour former des systèmes d’IA.

4.8. Diriger l’élaboration d’un mémorandum sur la sécurité nationale. Afin de développer une approche coordonnée du pouvoir exécutif pour gérer les risques de sécurité d'AI, l'assistant du président pour les affaires de sécurité nationale et l'assistant du président et chef de cabinet adjoint pour les politiques superviseront un processus interinstitutionnel dans le but, dans les 270 jours suivant la date du présent arrêté, élaborant et soumettant au président un projet de mémorandum de sécurité nationale sur l’IA. Le mémorandum abordera la gouvernance de l’IA utilisée en tant que composante d’un système de sécurité nationale ou à des fins militaires et de renseignement. Le mémorandum tiendra compte des efforts actuels visant à régir le développement et l’utilisation de l’IA pour les systèmes de sécurité nationale. Le mémorandum définira les actions du ministère de la Défense, du département d’État, des autres agences compétentes et de la communauté du renseignement pour faire face aux risques pour la sécurité nationale et aux avantages potentiels posés par l’IA. En particulier, le mémorandum doit :

(a) fournir des orientations au ministère de la Défense, à d'autres agences compétentes et à la communauté du renseignement sur l'adoption continue de capacités d'IA pour faire progresser la mission de sécurité nationale des États-Unis, notamment en orientant des pratiques spécifiques d'assurance et de gestion des risques en matière d'IA pour les utilisations en matière de sécurité nationale d’IA qui peuvent affecter les droits ou la sécurité des personnes américaines et, dans des contextes appropriés, des personnes non américaines ; et

(b) diriger des actions continues, le cas échéant et conformément au droit applicable, pour lutter contre l'utilisation potentielle des systèmes d'IA par des adversaires et d'autres acteurs étrangers d'une manière qui menace les capacités ou les objectifs du ministère de la Défense ou de la communauté du renseignement, ou qui autrement présentent des risques pour la sécurité des États-Unis ou de leurs alliés et partenaires.