Como o governo dos EUA planeja garantir a segurança da tecnologia de IA

Seção 4 - Garantindo a segurança e a proteção da tecnologia de IA.

4.1. Desenvolvimento de diretrizes, padrões e práticas recomendadas para segurança e proteção de IA. (a) No prazo de 270 dias a partir da data deste pedido, para ajudar a garantir o desenvolvimento de sistemas de IA seguros, protegidos e confiáveis, o Secretário de Comércio, agindo por meio do Diretor do Instituto Nacional de Padrões e Tecnologia (NIST), em a coordenação com o Secretário de Energia, o Secretário de Segurança Interna e os chefes de outras agências relevantes, conforme o Secretário de Comércio considerar apropriado, deverá:

(i) Estabelecer diretrizes e melhores práticas, com o objetivo de promover padrões consensuais da indústria, para desenvolver e implantar sistemas de IA seguros, protegidos e confiáveis, incluindo:

(A) desenvolver um recurso complementar ao Quadro de Gestão de Riscos de IA, NIST AI 100-1, para IA generativa;

(B) desenvolver um recurso complementar ao Quadro de Desenvolvimento Seguro de Software para incorporar práticas de desenvolvimento seguras para IA generativa e para modelos básicos de dupla utilização; e

(C) Lançar uma iniciativa para criar orientações e parâmetros de referência para avaliar e auditar as capacidades da IA, com destaque para as capacidades através das quais a IA pode causar danos, como nos domínios da cibersegurança e da biossegurança.

(ii) Estabelecer diretrizes apropriadas (exceto para IA usada como componente de um sistema de segurança nacional), incluindo procedimentos e processos apropriados, para permitir que os desenvolvedores de IA, especialmente de modelos básicos de dupla utilização, realizem testes de equipe vermelha de IA para permitir implantação de sistemas seguros, protegidos e confiáveis. Esses esforços incluirão:

(A) coordenar ou desenvolver diretrizes relacionadas à avaliação e gestão da segurança, proteção e confiabilidade de modelos de fundações de dupla utilização; e

(B) em coordenação com o Secretário de Energia e o Diretor da National Science Foundation (NSF), desenvolvendo e ajudando a garantir a disponibilidade de ambientes de teste, como bancos de teste, para apoiar o desenvolvimento de tecnologias de IA seguras e confiáveis , bem como para apoiar o projeto, desenvolvimento e implantação de PETs associados, consistente com a seção 9(b) deste pedido.

(b) No prazo de 270 dias a partir da data deste pedido, para compreender e mitigar os riscos de segurança da IA, o Secretário de Energia, em coordenação com os chefes de outras Agências de Gestão de Risco Setorial (SRMAs), conforme o Secretário de Energia considerar apropriado, deverá desenvolver e, na medida permitida por lei e pelas dotações disponíveis, implementar um plano para desenvolver as ferramentas de avaliação de modelos de IA e os bancos de testes de IA do Departamento de Energia. O Secretário realizará este trabalho utilizando soluções existentes, sempre que possível, e desenvolverá essas ferramentas e bancos de testes de IA para serem capazes de avaliar extrapolações de curto prazo das capacidades dos sistemas de IA. No mínimo, o Secretário desenvolverá ferramentas para avaliar as capacidades da IA para gerar resultados que possam representar ameaças ou perigos nucleares, de não proliferação, biológicos, químicos, de infra-estruturas críticas e de segurança energética. O Secretário fará este trabalho exclusivamente com o propósito de se proteger contra essas ameaças, e também desenvolverá modelos de guarda-corpos que reduzam tais riscos. O Secretário consultará, conforme apropriado, laboratórios privados de IA, universidades, sociedade civil e avaliadores terceirizados, e utilizará as soluções existentes.

4.2. Garantindo IA segura e confiável. (a) No prazo de 90 dias a partir da data deste pedido, garantir e verificar a disponibilidade contínua de IA segura, confiável e eficaz, de acordo com a Lei de Produção de Defesa, conforme alterada, 50 USC 4501 et seq ., inclusive para o mercado nacional defesa e proteção de infraestruturas críticas, o Secretário de Comércio exigirá:

(i) Empresas que desenvolvam ou demonstrem a intenção de desenvolver potenciais modelos de fundação de dupla utilização para fornecer ao Governo Federal, de forma contínua, informações, relatórios ou registros sobre o seguinte:

(A) quaisquer atividades em curso ou planeadas relacionadas com a formação, desenvolvimento ou produção de modelos básicos de dupla utilização, incluindo as proteções físicas e de cibersegurança adotadas para garantir a integridade desse processo de formação contra ameaças sofisticadas;

(B) a propriedade e posse dos pesos modelo de quaisquer modelos básicos de dupla utilização e as medidas físicas e de segurança cibernética tomadas para proteger esses pesos modelo; e

(C) os resultados do desempenho de qualquer modelo de base de uso duplo desenvolvido em testes relevantes de equipe vermelha de IA com base nas orientações desenvolvidas pelo NIST de acordo com a subseção 4.1 (a) (ii) desta seção, e uma descrição de quaisquer medidas associadas que a empresa tomou para cumprir os objetivos de segurança, como mitigações para melhorar o desempenho nesses testes de equipe vermelha e fortalecer a segurança geral do modelo. Antes do desenvolvimento de orientações sobre padrões de teste de equipe vermelha pelo NIST, de acordo com a subseção 4.1(a)(ii) desta seção, esta descrição deve incluir os resultados de quaisquer testes de equipe vermelha que a empresa tenha conduzido em relação à redução da barreira à entrada para o desenvolvimento, aquisição e uso de armas biológicas por atores não estatais; a descoberta de vulnerabilidades de software e o desenvolvimento de explorações associadas; o uso de software ou ferramentas para influenciar eventos reais ou virtuais; a possibilidade de auto-replicação ou propagação; e medidas associadas para cumprir os objectivos de segurança; e

(ii) Empresas, indivíduos ou outras organizações ou entidades que adquiram, desenvolvam ou possuam um potencial cluster de computação em grande escala devem relatar qualquer aquisição, desenvolvimento ou posse, incluindo a existência e localização desses clusters e o valor total poder de computação disponível em cada cluster.

(b) O Secretário de Comércio, em consulta com o Secretário de Estado, o Secretário de Defesa, o Secretário de Energia e o Diretor de Inteligência Nacional, definirá e, posteriormente, atualizará regularmente conforme necessário, o conjunto de informações técnicas condições para modelos e clusters de computação que estariam sujeitos aos requisitos de relatório da subseção 4.2(a) desta seção. Até que tais condições técnicas sejam definidas, o Secretário exigirá o cumprimento destes requisitos de reporte para:

(i) qualquer modelo que tenha sido treinado utilizando uma quantidade de capacidade computacional superior a 1.026 operações inteiras ou de ponto flutuante, ou utilizando principalmente dados de sequência biológica e utilizando uma quantidade de capacidade computacional superior a 1.023 operações inteiras ou de ponto flutuante; e

(ii) qualquer cluster de computação que possua um conjunto de máquinas fisicamente localizadas em um único datacenter, conectadas transitivamente por uma rede de datacenter de mais de 100 Gbit/s e com uma capacidade computacional máxima teórica de 1.020 operações inteiras ou de ponto flutuante por segundo para treinamento de IA.

(c) Porque considero que medidas adicionais devem ser tomadas para lidar com a emergência nacional relacionada a atividades cibernéticas maliciosas significativas declaradas na Ordem Executiva 13.694 de 1º de abril de 2015 (Bloqueio da propriedade de certas pessoas envolvidas em atividades cibernéticas maliciosas significativas). Atividades), conforme alterado pela Ordem Executiva 13.757 de 28 de dezembro de 2016 (Tomando medidas adicionais para enfrentar a emergência nacional com relação a atividades cibernéticas maliciosas significativas), e posteriormente alterado pela Ordem Executiva 13.984, para abordar o uso da infraestrutura dos Estados Unidos Produtos como Serviço (IaaS) por atores cibernéticos maliciosos estrangeiros, inclusive para impor obrigações adicionais de manutenção de registros com relação a transações estrangeiras e para auxiliar na investigação de transações envolvendo atores cibernéticos maliciosos estrangeiros, oriento o Secretário de Comércio, dentro de 90 dias a contar da data desta ordem, para:

(i) Propor regulamentos que exijam que os Provedores de IaaS dos Estados Unidos apresentem um relatório ao Secretário de Comércio quando uma pessoa estrangeira realiza transações com esse Provedor de IaaS dos Estados Unidos para treinar um grande modelo de IA com capacidades potenciais que poderiam ser usadas em atividades cibernéticas maliciosas. (uma “corrida de treinamento”). Esses relatórios incluirão, no mínimo, a identidade da pessoa estrangeira e a existência de qualquer treinamento de um modelo de IA que atenda aos critérios estabelecidos nesta seção, ou outros critérios definidos pelo Secretário em regulamentos, bem como qualquer adicional informações identificadas pelo Secretário.

(ii) Incluir um requisito nos regulamentos propostos de acordo com a subseção 4.2(c)(i) desta seção de que os Provedores de IaaS dos Estados Unidos proíbam qualquer revendedor estrangeiro de seu Produto IaaS dos Estados Unidos de fornecer esses produtos, a menos que tal revendedor estrangeiro submeta aos Estados Unidos Provedor de IaaS dos Estados Unidos um relatório, que o Provedor de IaaS dos Estados Unidos deve fornecer ao Secretário de Comércio, detalhando cada instância em que uma pessoa estrangeira realiza transações com o revendedor estrangeiro para usar o Produto IaaS dos Estados Unidos para conduzir um treinamento descrito na subseção 4.2( c)(i) desta seção. Tais relatórios incluirão, no mínimo, as informações especificadas na subseção 4.2(c)(i) desta seção, bem como quaisquer informações adicionais identificadas pelo Secretário.

(iii) Determinar o conjunto de condições técnicas para que um grande modelo de IA tenha capacidades potenciais que possam ser utilizadas em atividades cibernéticas maliciosas e rever essa determinação conforme necessário e apropriado. Até que o Secretário tome tal determinação, um modelo será considerado como tendo capacidades potenciais que poderiam ser usadas em atividades cibernéticas maliciosas se exigir uma quantidade de poder de computação superior a 1.026 operações inteiras ou de ponto flutuante e for treinado em um computador cluster que possui um conjunto de máquinas fisicamente localizadas em um único datacenter, conectadas transitivamente por redes de datacenter de mais de 100 Gbit/s e com capacidade computacional máxima teórica de 1.020 operações inteiras ou de ponto flutuante por segundo para treinamento de IA.

(d) Dentro de 180 dias a partir da data deste pedido, de acordo com a conclusão estabelecida na subseção 4.2(c) desta seção, o Secretário de Comércio deverá propor regulamentos que exijam que os Provedores de IaaS dos Estados Unidos garantam que os revendedores estrangeiros dos Estados Unidos Os Produtos IaaS verificam a identidade de qualquer pessoa estrangeira que obtenha uma conta (conta) IaaS do revendedor estrangeiro. Estes regulamentos devem, no mínimo:

(i) Estabelecer os padrões mínimos que um Provedor de IaaS dos Estados Unidos deve exigir dos revendedores estrangeiros de seus Produtos IaaS dos Estados Unidos para verificar a identidade de uma pessoa estrangeira que abre uma conta ou mantém uma conta existente com um revendedor estrangeiro, incluindo:

(A) os tipos de documentação e procedimentos que os revendedores estrangeiros de Produtos IaaS dos Estados Unidos devem exigir para verificar a identidade de qualquer pessoa estrangeira agindo como arrendatário ou subarrendatário desses produtos ou serviços;

(B) registros que os revendedores estrangeiros de Produtos IaaS dos Estados Unidos devem manter com segurança em relação a uma pessoa estrangeira que obtenha uma conta, incluindo informações que estabeleçam:

(1) a identidade dessa pessoa estrangeira, incluindo nome e endereço;

(2) os meios e a fonte de pagamento (incluindo qualquer instituição financeira associada e outros identificadores, como número de cartão de crédito, número de conta, identificador de cliente, identificadores de transação ou carteira de moeda virtual ou identificador de endereço de carteira);

(3) o endereço de correio eletrônico e as informações de contato telefônico utilizadas para verificar a identidade de uma pessoa estrangeira; e

(4) os endereços de protocolo da Internet usados para acesso ou administração e a data e hora de cada acesso ou ação administrativa relacionada à verificação contínua da propriedade de tal conta por tal pessoa estrangeira; e

(C) métodos que os revendedores estrangeiros de Produtos IaaS dos Estados Unidos devem implementar para limitar todo o acesso de terceiros às informações descritas nesta subseção, exceto na medida em que tal acesso seja consistente com este pedido e permitido pela lei aplicável;

(ii) Levar em consideração os tipos de contas mantidas por revendedores estrangeiros de produtos IaaS dos Estados Unidos, os métodos de abertura de uma conta e os tipos de informações de identificação disponíveis para cumprir os objetivos de identificar atores cibernéticos maliciosos estrangeiros que usam tais produtos e evitar a imposição de um ônus indevido para esses revendedores; e

(iii) Providenciar que o Secretário de Comércio, de acordo com os padrões e procedimentos que o Secretário possa delinear e em consulta com o Secretário de Defesa, o Procurador-Geral, o Secretário de Segurança Interna e o Diretor de Inteligência Nacional, possa isentar um Provedor de IaaS dos Estados Unidos com relação a qualquer revendedor estrangeiro específico de seus Produtos IaaS dos Estados Unidos, ou com relação a qualquer tipo específico de conta ou locatário, dos requisitos de qualquer regulamento emitido de acordo com esta subseção. Tais padrões e procedimentos podem incluir a conclusão do Secretário de que tal revendedor, conta ou locatário estrangeiro cumpre as melhores práticas de segurança para impedir o abuso de Produtos IaaS dos Estados Unidos.

(e) O Secretário de Comércio está autorizado a tomar tais ações, incluindo a promulgação de regras e regulamentos, e a empregar todos os poderes concedidos ao Presidente pela Lei de Poderes Econômicos de Emergência Internacional, 50 USC 1701 et seq. , conforme necessário para cumprir os propósitos das subseções 4.2 (c) e (d) desta seção. Tais ações podem incluir a exigência de que os Provedores de IaaS dos Estados Unidos exijam que os revendedores estrangeiros de Produtos IaaS dos Estados Unidos forneçam aos Provedores de IaaS dos Estados Unidos verificações relativas a essas subseções.

4.3. Gerenciando IA em infraestrutura crítica e em segurança cibernética. (a) Para garantir a proteção das infraestruturas críticas, devem ser tomadas as seguintes ações:

(i) No prazo de 90 dias a partir da data desta ordem, e pelo menos anualmente a partir de então, o chefe de cada agência com autoridade reguladora relevante sobre infraestrutura crítica e os chefes das SRMAs relevantes, em coordenação com o Diretor da Agência de Segurança Cibernética e de Infraestrutura dentro do Departamento de Segurança Interna para consideração de riscos intersetoriais, avaliará e fornecerá ao Secretário de Segurança Interna uma avaliação dos riscos potenciais relacionados ao uso de IA em setores de infraestrutura crítica envolvidos, incluindo maneiras pelas quais a implantação de IA pode tornar críticos sistemas de infraestrutura mais vulneráveis a falhas críticas, ataques físicos e ataques cibernéticos, e deve considerar formas de mitigar essas vulnerabilidades. As agências reguladoras independentes são encorajadas, conforme considerem apropriado, a contribuir para avaliações de risco específicas do sector.

(ii) No prazo de 150 dias a contar da data deste despacho, o Secretário do Tesouro emitirá um relatório público sobre as melhores práticas para as instituições financeiras gerirem riscos de segurança cibernética específicos da IA.

(iii) No prazo de 180 dias a partir da data desta ordem, o Secretário de Segurança Interna, em coordenação com o Secretário de Comércio e com SRMAs e outros reguladores, conforme determinado pelo Secretário de Segurança Interna, incorporará conforme apropriado a Estrutura de Gestão de Risco de IA , NIST AI 100-1, bem como outras orientações de segurança apropriadas, em diretrizes de segurança e proteção relevantes para uso por proprietários e operadores de infraestruturas críticas.

(iv) No prazo de 240 dias após a conclusão das diretrizes descritas na subseção 4.3(a)(iii) desta seção, o Assistente do Presidente para Assuntos de Segurança Nacional e o Diretor do OMB, em consulta com o Secretário de Segurança Interna, coordenará o trabalho dos chefes de agências com autoridade sobre infraestrutura crítica para desenvolver e tomar medidas para que o Governo Federal determine tais diretrizes, ou partes apropriadas delas, por meio de ações regulatórias ou outras ações apropriadas. As agências reguladoras independentes são incentivadas, conforme considerem apropriado, a considerar a possibilidade de exigir orientação através de acção regulamentar nas suas áreas de autoridade e responsabilidade.

(v) O Secretário de Segurança Interna estabelecerá um Conselho de Segurança e Proteção de Inteligência Artificial como um comité consultivo nos termos da secção 871 da Lei de Segurança Interna de 2002 (Lei Pública 107-296). O Comitê Consultivo incluirá especialistas em IA do setor privado, da academia e do governo, conforme apropriado, e fornecerá ao Secretário de Segurança Interna e à comunidade de infraestrutura crítica do Governo Federal conselhos, informações ou recomendações para melhorar a segurança, a resiliência e a resposta a incidentes relacionado ao uso de IA em infraestrutura crítica.

(b) Para capitalizar o potencial da IA para melhorar as defesas cibernéticas dos Estados Unidos:

(i) O Secretário de Defesa executará as ações descritas nas subseções 4.3 (b) (ii) e (iii) desta seção para sistemas de segurança nacional, e o Secretário de Segurança Interna executará essas ações para segurança não nacional sistemas. Cada um deverá fazê-lo em consulta com os chefes de outras agências relevantes, conforme o Secretário de Defesa e o Secretário de Segurança Interna considerarem apropriado.

(ii) Conforme estabelecido na subseção 4.3 (b) (i) desta seção, dentro de 180 dias a partir da data desta ordem, o Secretário de Defesa e o Secretário de Segurança Interna deverão, de acordo com a lei aplicável, desenvolver planos para , conduzir e concluir um projeto piloto operacional para identificar, desenvolver, testar, avaliar e implantar recursos de IA, como modelos de linguagem grande, para ajudar na descoberta e correção de vulnerabilidades em softwares, sistemas e redes críticas do governo dos Estados Unidos .

(iii) Conforme estabelecido na subseção 4.3 (b) (i) desta seção, dentro de 270 dias a partir da data desta ordem, o Secretário de Defesa e o Secretário de Segurança Interna fornecerão, cada um, um relatório ao Assistente do Presidente para Assuntos de Segurança Nacional sobre os resultados das ações tomadas de acordo com os planos e projetos-piloto operacionais exigidos pela subseção 4.3 (b) (ii) desta seção, incluindo uma descrição de quaisquer vulnerabilidades encontradas e corrigidas por meio do desenvolvimento e implantação de capacidades de IA e quaisquer lições aprendidas sobre como identificar, desenvolver, testar, avaliar e implantar capacidades de IA de forma eficaz para defesa cibernética.

4.4. Reduzindo os riscos na interseção de ameaças de IA e QBRN. (a) Para melhor compreender e mitigar o risco de a IA ser utilizada indevidamente para ajudar no desenvolvimento ou utilização de ameaças QBRN — com especial destaque para as armas biológicas — devem ser tomadas as seguintes medidas:

(i) No prazo de 180 dias a partir da data desta ordem, o Secretário de Segurança Interna, em consulta com o Secretário de Energia e o Diretor do Escritório de Política Científica e Tecnológica (OSTP), avaliará o potencial de uso indevido de IA permitir o desenvolvimento ou a produção de ameaças QBRN, ao mesmo tempo que considera os benefícios e a aplicação da IA para combater essas ameaças, incluindo, se for caso disso, os resultados do trabalho realizado ao abrigo da secção 8(b) do presente despacho. O Secretário de Segurança Interna deverá:

(A) consultar especialistas em questões de IA e QBRN do Departamento de Energia, laboratórios privados de IA, universidades e avaliadores de modelos terceirizados, conforme apropriado, para avaliar as capacidades do modelo de IA para apresentar ameaças QBRN - com o único propósito de proteção contra essas ameaças — bem como opções para minimizar os riscos de utilização indevida do modelo de IA para gerar ou exacerbar essas ameaças; e

(B) apresentar um relatório ao Presidente que descreva o progresso desses esforços, incluindo uma avaliação dos tipos de modelos de IA que podem apresentar riscos QBRN para os Estados Unidos, e que faça recomendações para regulamentar ou supervisionar o treinamento, implantação, publicação , ou uso desses modelos, incluindo requisitos para avaliações de segurança e grades de proteção para mitigar ameaças potenciais à segurança nacional.

(ii) No prazo de 120 dias a contar da data desta ordem, o Secretário de Defesa, em consulta com o Assistente do Presidente para Assuntos de Segurança Nacional e o Diretor do OSTP, celebrará um contrato com as Academias Nacionais de Ciências, Engenharia, e Medicina para conduzir - e submeter ao Secretário de Defesa, ao Assistente do Presidente para Assuntos de Segurança Nacional, ao Diretor do Escritório de Política de Preparação e Resposta à Pandemia, ao Diretor do OSTP e ao Presidente do Conselho de Diretores de Dados - um estudo que:

(A) avalia as formas pelas quais a IA pode aumentar os riscos de biossegurança, incluindo os riscos de modelos generativos de IA treinados em dados biológicos, e faz recomendações sobre como mitigar esses riscos;

(B) considera as implicações para a segurança nacional do uso de dados e conjuntos de dados, especialmente aqueles associados a estudos de patógenos e ômicas, que o governo dos Estados Unidos hospeda, gera, financia a criação ou de outra forma possui, para o treinamento de modelos generativos de IA , e faz recomendações sobre como mitigar os riscos relacionados com a utilização destes dados e conjuntos de dados;

(C) avalia as formas pelas quais a IA aplicada à biologia pode ser usada para reduzir os riscos de biossegurança, incluindo recomendações sobre oportunidades para coordenar dados e recursos computacionais de alto desempenho; e

(D) considera preocupações e oportunidades adicionais na intersecção da IA e da biologia sintética que o Secretário de Defesa considere apropriadas.

(b) Para reduzir o risco de utilização indevida de ácidos nucleicos sintéticos, que poderia ser substancialmente aumentado pelas capacidades da IA neste domínio, e melhorar as medidas de biossegurança para a indústria de síntese de ácidos nucleicos, devem ser tomadas as seguintes ações:

(i) No prazo de 180 dias a partir da data desta ordem, o Diretor do OSTP, em consulta com o Secretário de Estado, o Secretário de Defesa, o Procurador-Geral, o Secretário de Comércio, o Secretário de Saúde e Serviços Humanos (HHS) , o Secretário de Energia, o Secretário de Segurança Interna, o Diretor de Inteligência Nacional e os chefes de outras agências relevantes que o Diretor do OSTP considere apropriado, estabelecerão uma estrutura, incorporando, conforme apropriado, as orientações existentes do Governo dos Estados Unidos, incentivar os fornecedores de sequências de ácidos nucleicos sintéticos a implementar mecanismos de triagem de aquisição de ácidos nucleicos sintéticos abrangentes, escalonáveis e verificáveis, incluindo padrões e incentivos recomendados. Como parte desta estrutura, o Diretor do OSTP deverá:

(A) estabelecer critérios e mecanismos para identificação contínua de sequências biológicas que possam ser utilizadas de uma forma que represente um risco para a segurança nacional dos Estados Unidos; e

(B) determinar metodologias e ferramentas padronizadas para conduzir e verificar o desempenho da triagem de aquisição de síntese de sequências, incluindo abordagens de triagem de clientes para apoiar a devida diligência com relação ao gerenciamento de riscos de segurança apresentados por compradores de sequências biológicas identificadas na subseção 4.4 (b) (i) (A) desta seção, e processos para reportar atividades relativas às entidades de fiscalização.

(ii) No prazo de 180 dias a partir da data desta ordem, o Secretário de Comércio, agindo através do Diretor do NIST, em coordenação com o Diretor do OSTP, e em consulta com o Secretário de Estado, o Secretário do HHS e os chefes de outras agências relevantes, conforme o Secretário de Comércio considerar apropriado, iniciará um esforço para envolver a indústria e as partes interessadas relevantes, informadas pela estrutura desenvolvida na subseção 4.4 (b) (i) desta seção, para desenvolver e refinar para possível uso por fornecedores de sequências de ácidos nucleicos sintéticos:

(A) especificações para triagem eficaz de aquisição de síntese de ácido nucleico;

(B) melhores práticas, incluindo controles de segurança e acesso, para o gerenciamento de bancos de dados de sequências de preocupação para apoiar essa triagem;

(C) guias de implementação técnica para uma triagem eficaz; e

(D) melhores práticas e mecanismos de avaliação da conformidade.

(iii) No prazo de 180 dias após o estabelecimento da estrutura de acordo com a subseção 4.4(b)(i) desta seção, todas as agências que financiam pesquisas em ciências da vida deverão, conforme apropriado e consistente com a lei aplicável, estabelecer que, como requisito do financiamento, a aquisição de ácidos nucleicos sintéticos é realizada através de fornecedores ou fabricantes que aderem à estrutura, como através de um atestado do fornecedor ou fabricante. O Assistente do Presidente para Assuntos de Segurança Nacional e o Diretor do OSTP coordenarão o processo de revisão de tais requisitos de financiamento para facilitar a consistência na implementação do quadro entre as agências de financiamento.

(iv) A fim de facilitar a implementação eficaz das medidas descritas nas subseções 4.4(b)(i)-(iii) desta seção, o Secretário de Segurança Interna, em consulta com os chefes de outras agências relevantes como o Secretário de Segurança Interna A segurança que considerar apropriada deverá:

(A) no prazo de 180 dias após o estabelecimento da estrutura de acordo com a subseção 4.4 (b) (i) desta seção, desenvolver uma estrutura para realizar avaliação estruturada e testes de estresse da triagem de aquisição de síntese de ácido nucleico, incluindo os sistemas desenvolvidos de acordo com subseções 4.4(b)(i)-(ii) desta seção e implementadas por fornecedores de sequências de ácidos nucleicos sintéticas; e

(B) após o desenvolvimento da estrutura de acordo com a subseção 4.4 (b) (iv) (A) desta seção, apresentar um relatório anual ao Assistente do Presidente para Assuntos de Segurança Nacional, ao Diretor do Escritório de Preparação e Resposta à Pandemia Policy, e o Diretor do OSTP sobre quaisquer resultados das atividades conduzidas de acordo com a subseção 4.4 (b) (iv) (A) desta seção, incluindo recomendações, se houver, sobre como fortalecer a triagem de aquisição de síntese de ácido nucleico, incluindo triagem de clientes sistemas.

4.5. Reduzindo os riscos representados pelo conteúdo sintético.

Promover capacidades para identificar e rotular conteúdo sintético produzido por sistemas de IA e estabelecer a autenticidade e procedência de conteúdo digital, tanto sintético quanto não sintético, produzido pelo Governo Federal ou em seu nome:

(a) No prazo de 240 dias a partir da data desta ordem, o Secretário de Comércio, em consulta com os chefes de outras agências relevantes, conforme o Secretário de Comércio considerar apropriado, apresentará um relatório ao Diretor do OMB e ao Assistente do Presidente para Assuntos de Segurança Nacional, identificando os padrões, ferramentas, métodos e práticas existentes, bem como o potencial desenvolvimento de outros padrões e técnicas apoiados pela ciência, para:

(i) autenticar conteúdo e rastrear sua procedência;

(ii) rotulagem de conteúdo sintético, como uso de marca d'água;

(iii) detecção de conteúdo sintético;

(iv) impedir que a IA generativa produza material de abuso sexual infantil ou produza imagens íntimas não consensuais de indivíduos reais (incluindo representações digitais íntimas do corpo ou de partes do corpo de um indivíduo identificável);

(v) testar software utilizado para os fins acima; e

(vi) auditar e manter conteúdo sintético.

(b) No prazo de 180 dias após a apresentação do relatório exigido na subseção 4.5 (a) desta seção, e atualizado periodicamente a partir de então, o Secretário de Comércio, em coordenação com o Diretor do OMB, deverá desenvolver orientações sobre as ferramentas e práticas existentes para digital medidas de autenticação de conteúdo e detecção de conteúdo sintético. A orientação deverá incluir medidas para os fins listados na subseção 4.5(a) desta seção.

(c) No prazo de 180 dias após o desenvolvimento das orientações exigidas na subseção 4.5 (b) desta seção, e atualizadas periodicamente a partir de então, o Diretor do OMB, em consulta com o Secretário de Estado; o Secretário de Defesa; o Procurador-Geral; o Secretário de Comércio, agindo através do Diretor do NIST; o Secretário de Segurança Interna; o Diretor de Inteligência Nacional; e os chefes de outras agências que o Diretor do OMB considere apropriado, deverão - com o propósito de fortalecer a confiança do público na integridade do conteúdo digital oficial do Governo dos Estados Unidos - emitir orientações às agências para rotular e autenticar o conteúdo que produzem ou publicam.

(d) O Conselho Regulador de Aquisições Federal deverá, conforme apropriado e consistente com a lei aplicável, considerar a alteração do Regulamento de Aquisições Federal para levar em conta a orientação estabelecida na subseção 4.5 desta seção.

4.6. Solicitação de informações sobre modelos de base de uso duplo com pesos de modelo amplamente disponíveis. Quando os pesos para um modelo de base de dupla utilização estão amplamente disponíveis — como quando são publicados publicamente na Internet — pode haver benefícios substanciais para a inovação, mas também riscos de segurança substanciais, como a remoção de salvaguardas dentro do modelo. Para abordar os riscos e benefícios potenciais de modelos de fundação de dupla utilização com pesos amplamente disponíveis, no prazo de 270 dias a partir da data deste pedido, o Secretário de Comércio, agindo através do Secretário Adjunto de Comércio para Comunicações e Informação, e em consulta com o Secretário de Estado:

(a) solicitar contribuições do setor privado, da academia, da sociedade civil e de outras partes interessadas por meio de um processo de consulta pública sobre potenciais riscos, benefícios, outras implicações e abordagens políticas e regulatórias apropriadas relacionadas a modelos de fundação de dupla utilização para os quais o modelo pondera estão amplamente disponíveis, incluindo:

(i) riscos associados ao ajuste fino dos modelos básicos de dupla utilização pelos atores para os quais os pesos dos modelos estão amplamente disponíveis ou à remoção das salvaguardas desses modelos;

(ii) benefícios para a inovação e investigação em IA, incluindo investigação sobre segurança e gestão de riscos em IA, de modelos básicos de dupla utilização para os quais as ponderações do modelo estão amplamente disponíveis; e

(iii) potenciais mecanismos voluntários, regulatórios e internacionais para gerir os riscos e maximizar os benefícios dos modelos de base de dupla utilização para os quais os pesos do modelo estão amplamente disponíveis; e

(b) com base nas informações do processo descrito na subseção 4.6 (a) desta seção, e em consulta com os chefes de outras agências relevantes, conforme o Secretário de Comércio considerar apropriado, apresentar um relatório ao Presidente sobre os potenciais benefícios, riscos , e implicações de modelos básicos de dupla utilização para os quais os pesos do modelo estão amplamente disponíveis, bem como recomendações políticas e regulamentares relativas a esses modelos.

4.7. Promovendo a liberação segura e prevenindo o uso malicioso de dados federais para treinamento em IA. Para melhorar o acesso a dados públicos e gerenciar riscos de segurança, e consistente com os objetivos da Lei de Dados Governamentais Abertos, Públicos, Eletrônicos e Necessários (título II da Lei Pública 115 -435) para expandir o acesso público aos ativos de dados federais em um formato legível por máquina, ao mesmo tempo em que leva em conta considerações de segurança, incluindo o risco de que as informações contidas em um ativo de dados individual isoladamente não representem um risco de segurança, mas, quando combinadas com outras informações disponíveis informações, pode representar esse risco:

(a) no prazo de 270 dias a partir da data desta ordem, o Conselho Diretor de Dados, em consulta com o Secretário de Defesa, o Secretário de Comércio, o Secretário de Energia, o Secretário de Segurança Interna e o Diretor de Inteligência Nacional, desenvolverá diretrizes iniciais para a realização de análises de segurança, incluindo análises para identificar e gerenciar os riscos potenciais de segurança da divulgação de dados federais que possam ajudar no desenvolvimento de armas QBRN, bem como no desenvolvimento de capacidades cibernéticas ofensivas autônomas, ao mesmo tempo que fornece acesso público a informações federais Dados governamentais em linha com os objetivos estabelecidos na Lei de Dados Governamentais Abertos, Públicos, Eletrônicos e Necessários (título II da Lei Pública 115-435); e

(b) dentro de 180 dias após o desenvolvimento das diretrizes iniciais exigidas pela subseção 4.7 (a) desta seção, as agências deverão realizar uma revisão de segurança de todos os ativos de dados no inventário de dados abrangente exigido sob 44 USC 3511 (a) (1) e (2)(B) e tomará medidas, conforme apropriado e consistente com a lei aplicável, para abordar os riscos potenciais de segurança de mais alta prioridade que a divulgação desses dados poderia levantar em relação às armas QBRN, tais como as maneiras pelas quais esses dados poderiam ser usado para treinar sistemas de IA.

4.8. Dirigindo o Desenvolvimento de um Memorando de Segurança Nacional. Para desenvolver uma abordagem coordenada do poder executivo para gerenciar os riscos de segurança da IA, o Assistente do Presidente para Assuntos de Segurança Nacional e o Assistente do Presidente e Vice-Chefe de Gabinete para Política supervisionarão um processo interagências com o objetivo de, no prazo de 270 dias após a data desta ordem, desenvolvendo e apresentando ao Presidente uma proposta de Memorando de Segurança Nacional sobre IA. O memorando abordará a governação da IA utilizada como componente de um sistema de segurança nacional ou para fins militares e de inteligência. O memorando terá em conta os esforços atuais para governar o desenvolvimento e a utilização da IA nos sistemas de segurança nacional. O memorando deverá delinear ações para o Departamento de Defesa, o Departamento de Estado, outras agências relevantes e a Comunidade de Inteligência para abordar os riscos de segurança nacional e os benefícios potenciais representados pela IA. Em particular, o memorando deverá:

(a) fornecer orientação ao Departamento de Defesa, a outras agências relevantes e à comunidade de inteligência sobre a adoção contínua de capacidades de IA para promover a missão de segurança nacional dos Estados Unidos, inclusive através do direcionamento de práticas específicas de garantia de IA e gestão de risco para usos de segurança nacional de IA que possa afetar os direitos ou a segurança de pessoas dos Estados Unidos e, em contextos apropriados, de pessoas que não sejam dos Estados Unidos; e

(b) direcionar ações contínuas, conforme apropriado e consistente com a lei aplicável, para abordar o uso potencial de sistemas de IA por adversários e outros atores estrangeiros de maneiras que ameacem as capacidades ou objetivos do Departamento de Defesa ou da Comunidade de Inteligência, ou que de outra forma representam riscos para a segurança dos Estados Unidos ou dos seus aliados e parceiros.