Gerenciando os Riscos da IA: A Abordagem Prioritária para a Segurança da Anthropic

Como os Limiares de Capacidade são utilizados para determinar a necessidade de salvaguardas aprimoradas

No cerne da governança de risco da IA está o conceito de “Limiares de Capacidade”. Esses limiares atuam como gatilhos cruciais, sinalizando quando as habilidades de um modelo de IA atingiram um ponto em que as salvaguardas existentes não são mais suficientes e precisam ser atualizadas. Pense nisso como uma linha vermelha em um motor – uma vez ultrapassada, medidas de proteção mais robustas são essenciais.

Especificamente, um Limiar de Capacidade indica:

• Um aumento significativo no nível de risco se o modelo permanecer sob as salvaguardas atuais.
• Uma necessidade correspondente de atualizar as salvaguardas para um padrão de Nível de Segurança de IA (ASL) mais alto.

Na prática, exceder um Limiar de Capacidade aciona uma mudança de um Padrão ASL-N para um Padrão ASL-N+1 (ou em alguns casos, diretamente para um nível ainda mais alto). A resposta apropriada (como a implementação de salvaguardas ASL-3) é determinada por:

• Avaliação de Capacidades: Os modelos são rotineiramente testados para determinar o quão próximos eles estão de exceder os limiares de capacidade predefinidos. As avaliações preliminares determinam quando testes mais abrangentes são necessários.
• Mapeamento do modelo de ameaças: Mapeamento dos casos mais prováveis.
• Elicitação e Avaliação: Demonstração de que, quando dados recursos suficientes para extrapolar para atacantes realistas, os pesquisadores não conseguem obter resultados úteis do modelo nas tarefas relevantes.
• Salvaguardas Necessárias Correspondentes: Dependendo do limiar excedido, as Salvaguardas Necessárias específicas descrevem quais Padrões ASL devem ser atendidos. Nem sempre é necessário atualizar os Padrões de Implantação e Segurança.

A identificação e aplicação desses Limiares de Capacidade são a pedra angular da gestão proporcional de riscos no desenvolvimento de IA. Ao monitorar de perto as capacidades do modelo e responder com salvaguardas aprimoradas apropriadas, os desenvolvedores visam equilibrar a inovação com a segurança, garantindo que a IA beneficie a sociedade sem causar danos inaceitáveis.

Quais são as Salvaguardas Necessárias designadas associadas a vários Limiares de Capacidade

À medida que os modelos de IA evoluem para além da linha de base ASL-2, a indústria reconhece que limiares de capacidade mais elevados exigem salvaguardas mais fortes. Um Limiar de Capacidade atua como um gatilho, sinalizando a necessidade de atualizar as proteções para um padrão de Nível de Segurança de IA (ASL) mais elevado.

Principais Conclusões:

• As Salvaguardas Necessárias são projetadas para mitigar os riscos a níveis aceitáveis, indicando um equilíbrio entre os benefícios do desenvolvimento de modelos de fronteira e os perigos potenciais.
• A Anthropic defende a adoção abrangente destes padrões em toda a indústria, enfatizando a importância de investir em investigação e desenvolvimento para uma implementação robusta.

Armas CBRN

As capacidades de desenvolvimento de armas Químicas, Biológicas, Radiológicas e Nucleares (CBRN) acionam diferentes salvaguardas:

• CBRN-3: A capacidade de ajudar significativamente indivíduos com conhecimentos básicos de STEM a criar/obter e implantar armas CBRN. Este gatilho requer um Padrão de Implantação ASL-3 e um Padrão de Segurança ASL-3, protegendo contra o uso indevido e o roubo de peso do modelo por atores não estatais.
• CBRN-4: A capacidade de elevar substancialmente as capacidades de desenvolvimento de CBRN de programas estatais com recursos moderados. Espera-se que este limiar exija Padrões de Implantação e Segurança ASL-4; mais detalhes serão divulgados numa atualização futura.

Investigação e Desenvolvimento Autónomos de IA

As capacidades de Investigação e Desenvolvimento Autónomos de IA também acionam salvaguardas específicas:

• IA P&D-4: A capacidade de automatizar totalmente o trabalho de um Investigador iniciante, apenas remoto, na Anthropic. Requer o Padrão de Segurança ASL-3 e um caso afirmativo que identifique e mitigue os riscos imediatos de modelos que perseguem objetivos desalinhados.
• IA P&D-5: A capacidade de causar uma aceleração dramática na taxa de demandas de dimensionamento eficaz exige, no mínimo, o Padrão de Segurança ASL-4 (potencialmente superior), juntamente com um caso afirmativo.

O potencial ponto de verificação de Autonomia do Modelo para executar autonomamente uma ampla gama de tarefas de engenharia de software de 2 a 8 horas acionará a implementação da Segurança ASL-3.

Considerações sobre Operações Cibernéticas:

A capacidade de melhorar ou automatizar significativamente ataques cibernéticos destrutivos sofisticados é reconhecida como uma capacidade que requer investigação significativa. Isso envolve o envolvimento de especialistas em segurança cibernética para avaliar o potencial dos modelos de fronteira para melhorar e mitigar as ameaças cibernéticas e considerar controlos de acesso em níveis ou implementações faseadas.

Quais processos são essenciais para avaliar a eficácia das salvaguardas implementadas

Avaliar a eficácia das salvaguardas implementadas é um processo multifacetado que envolve avaliação rigorosa e melhoria contínua. Aqui está o detalhamento:

Avaliação das Salvaguardas

Esta avaliação é fundamental para determinar se as medidas implementadas atendem às Salvaguardas Obrigatórias ASL-3. Um Relatório de Salvaguardas documenta minuciosamente a implementação dessas salvaguardas.

• Avaliação do Padrão de Implantação ASL-3: Avalia a robustez contra tentativas persistentes de uso indevido. Isso envolve:
• Modelagem de Ameaças: Mapeamento crítico de possíveis vetores de uso indevido catastrófico.
• Defesa em Profundidade: Construção de defesas em camadas para detectar uso indevido. Emprego de técnicas de recusa de dano.
• Red-Teaming: Demonstrar que atores de ameaças realistas não conseguem consistentemente obter respostas que aumentem sua capacidade de causar danos catastróficos.
• Remediação Rápida: Identificação e correção rápidas de comprometimentos do sistema.
• Monitoramento: Revisão contínua do desempenho do sistema em relação às faixas de risco aceitas. Monitoramento de respostas a recompensas de jailbreak, fazendo análises históricas e monitoramento de antecedentes.
• Usuários Confiáveis: Estabelecer critérios para compartilhar modelos com salvaguardas reduzidas com usuários confiáveis, usando uma combinação de verificação de usuários, controles de acesso seguros, monitoramento, retenção de logs e protocolos de resposta a incidentes.
• Ambientes de Terceiros: Documentar como todos os modelos atenderão a esses critérios, mesmo em implantações de terceiros com salvaguardas diferentes.
• Avaliação do Padrão de Segurança ASL-3: Determina se as medidas são altamente protegidas contra o roubo de peso do modelo. Isso envolve:
• Modelagem de Ameaças: Usar estruturas como MITRE ATT&CK para mapear ameaças, ativos e vetores de ataque.
• Alinhamento de Estruturas de Segurança: Uso de estruturas de segurança padrão do setor para riscos identificados.
  • Construir perímetros fortes e controles de acesso, garantindo proteção contra acesso não autorizado. Isso inclui uma combinação de segurança física, criptografia, segurança em nuvem, política de infraestrutura, gerenciamento de acesso e minimização e monitoramento do acesso ao peso.
  • Proteger os links na cadeia de sistemas e software usados para desenvolver modelos, para evitar que componentes comprometidos sejam introduzidos e para garantir que apenas código e hardware confiáveis sejam usados. Isso inclui uma combinação de inventário de software, segurança da cadeia de suprimentos, integridade de artefatos, autorização binária, aquisição de hardware e ciclo de vida de desenvolvimento de pesquisa seguro.
  • Identificar e mitigar proativamente as ameaças por meio de monitoramento contínuo e eficaz, testes para vulnerabilidades e armadilhas para potenciais invasores. Isso inclui uma combinação de aplicação de patches de endpoint, testes de segurança de produtos, gerenciamento de logs, monitoramento de ativos e técnicas de decepção de intrusos.
  • Investir recursos suficientes em segurança. Atender a este padrão de segurança requer aproximadamente 5-10% dos funcionários dedicados à segurança e trabalho adjacente à segurança.
  • Alinhar, quando apropriado, com as orientações existentes sobre como proteger os pesos do modelo.
• Auditorias: Auditar o design e a implementação do programa de segurança, compartilhando as descobertas com a gerência. Isso inclui validação independente da modelagem de ameaças e resultados da avaliação de risco; uma auditoria baseada em amostragem da eficácia operacional dos controles definidos; e testes periódicos, amplamente abrangentes e independentes com red-teamers especializados que são renomados no setor e foram reconhecidos em desafios competitivos.
• Ambientes de Terceiros: Documentar como todos os modelos atenderão a esses critérios, mesmo em implantações de terceiros com salvaguardas diferentes.

Processo de Decisão de Salvaguardas

O processo para determinar se as Salvaguardas Obrigatórias ASL-3 foram atendidas inclui:

1. Compilar um Relatório de Salvaguardas para cada Salvaguarda Obrigatória. Apresentar um caso afirmativo para satisfazê-las.
2. Escalar o(s) Relatório(s) de Salvaguardas para o CEO e o Diretor de Escalonamento Responsável.
3. Solicitar feedback de especialistas internos e externos sobre o relatório.
4. Compartilhar a decisão, o Relatório de Salvaguardas e o feedback interno e externo com o Conselho de Administração e o Fundo de Benefícios de Longo Prazo.
5. Revisitar e reaprovar as Salvaguardas Obrigatórias ASL-3 pelo menos anualmente.

Avaliação da Capacidade de Acompanhamento

Paralelamente à atualização de um modelo para as Salvaguardas Obrigatórias, a política é atualizada para incluir quaisquer Limiares de Capacidade adicionais e uma avaliação de capacidade de acompanhamento é conduzida.

Governança e Transparência

A governança interna envolve o Diretor de Escalonamento Responsável, que é responsável pelo design e implementação da política. A avaliação externa envolve a colaboração com especialistas externos em domínios relevantes no processo de desenvolvimento e condução de avaliações de capacidade e salvaguardas. A empresa também busca uma revisão de conformidade processual e planeja notificar uma entidade relevante do governo dos EUA se um modelo exigir proteções mais fortes do que o Padrão ASL-2.

Quais protocolos estão em vigor para lidar com cenários em que as salvaguardas necessárias não podem ser implementadas imediatamente

Quando um modelo atinge um ponto em que as Salvaguardas Requeridas ASL-3 são consideradas necessárias, mas essas salvaguardas não podem ser implementadas imediatamente, a Anthropic se compromete com uma abordagem escalonada para a mitigação de riscos. O objetivo é reduzir o risco provisório a níveis aceitáveis até que as salvaguardas ASL-3 completas estejam operacionais:

Medidas Provisórias

O CEO e o Diretor de Escalada Responsável (RSO) podem aprovar medidas provisórias que ofereçam o mesmo nível de garantia que o Padrão ASL-3, mas que sejam mais rápidas ou simples de implementar. Estas podem incluir:

• Bloquear respostas do modelo.
• Rebaixar para um modelo menos capaz em áreas específicas.
• Aumentar a sensibilidade dos sistemas de monitoramento automatizados.
• Armazenar pesos do modelo em uma rede isolada de propósito único que atenda ao Padrão de Segurança ASL-3.

Qualquer plano desse tipo é compartilhado com o Conselho de Administração da Anthropic e o Fundo de Benefícios de Longo Prazo.

Restrições Mais Fortes

Se as medidas provisórias forem insuficientes para mitigar adequadamente o risco, a Anthropic implementará restrições mais rigorosas, como:

• Desativar o modelo e substituí-lo por um modelo que esteja abaixo do Limiar de Capacidade. Assim que os requisitos do Padrão de Implantação ASL-3 forem atendidos, o modelo poderá ser reimplantado.
• Excluir pesos do modelo no contexto de segurança. A Anthropic acredita que com o uso de implantação provisória e proteções de segurança raramente haverá necessidade de restrições mais fortes.

Monitoramento do Pré-treinamento

A Anthropic não treinará modelos com capacidades comparáveis ou maiores do que aquele que exige o Padrão de Segurança ASL-3, operacionalizado como 1x ou mais em Computação Efetiva, até que o Padrão de Segurança ASL-3 seja implementado. Se as capacidades do modelo de pré-treinamento forem comparáveis ou maiores, o treinamento será pausado até que salvaguardas suficientes estejam em vigor.

Quais estruturas internas de governança apoiam a Política de Escalabilidade Responsável

Para implementar eficazmente a Política de Escalabilidade Responsável (PER) em toda a organização, a Anthropic compromete-se a manter várias medidas-chave de governança interna. Estas estruturas são projetadas para garantir conformidade, transparência e responsabilidade no desenvolvimento e implantação de modelos de IA.

Elementos-chave de Governança

• Responsável pela Escalabilidade Responsável (RER): Um membro da equipe designado é responsável por reduzir os riscos catastróficos associados aos modelos de IA. Os deveres do RER incluem propor atualizações de política, aprovar decisões de treinamento e implantação de modelos com base nas avaliações de capacidade e salvaguarda, revisar os principais contratos para consistência de política, supervisionar a implementação da política, abordar relatos de não conformidade, notificar o Conselho de Administração sobre não conformidade material e interpretar a política.

• Preparação para Incidentes: Procedimentos internos de segurança são desenvolvidos para cenários de incidentes, como pausar o treinamento ao atingir os Limiares de Capacidade, responder a incidentes de segurança envolvendo pesos de modelo e abordar jailbreaks ou vulnerabilidades graves em modelos implantados. Exercícios são conduzidos para garantir a prontidão para esses cenários.

• Transparência Interna: Resumos dos Relatórios de Capacidade e Relatórios de Salvaguardas são compartilhados com funcionários com autorização regular, com informações altamente confidenciais redigidas. Uma versão minimamente redigida é compartilhada com um subconjunto de funcionários para apresentar considerações relevantes de segurança técnica.

• Revisão Interna: O feedback é solicitado das equipes internas sobre os Relatórios de Capacidades e Salvaguardas para refinar as metodologias e identificar as fraquezas.

• Procedimentos de Não Conformidade: Um processo é mantido para que os funcionários da Anthropic relatem anonimamente possíveis casos de não conformidade com a PER. A política de denúncia de não conformidade protege os denunciantes de retaliação, estabelece um mecanismo para escalar os relatórios ao Conselho de Administração e exige rastreamento, investigação e ação corretiva para relatórios comprovados. O RER atualiza regularmente o Conselho sobre casos substanciais de não conformidade e tendências gerais.

• Acordos de Empregados: Obrigações contratuais de não depreciação não são impostas a funcionários, candidatos ou ex-funcionários de uma forma que impeça ou desencoraje-os de levantar publicamente preocupações de segurança sobre a Anthropic. Acordos com cláusulas de não depreciação não impedirão o levantamento de preocupações de segurança ou a divulgação da existência da cláusula.

• Mudanças na Política: As alterações na PER são propostas pelo CEO e RER e aprovadas pelo Conselho de Administração, em consulta com o Long-Term Benefit Trust (LTBT). A versão atual da PER está acessível online, com atualizações disponibilizadas publicamente antes que as alterações entrem em vigor, juntamente com um changelog.

Como a Anthropic garante a transparência e coleta feedback externo sobre suas práticas de segurança de IA

A Anthropic tem como objetivo promover o diálogo público sobre a regulamentação da IA e garantir que as partes interessadas possam examinar suas ações por meio de várias medidas principais:

Divulgações Públicas

A empresa se compromete a divulgar publicamente informações importantes sobre a avaliação e a implementação de seus modelos de IA. Isso exclui detalhes confidenciais, mas inclui resumos de relatórios de Capacidade e Salvaguardas quando um modelo é implantado. Esses relatórios detalham as medidas de segurança que foram tomadas. A Anthropic também divulgará planos para avaliações abrangentes de capacidade atuais e futuras, bem como salvaguardas de implementação e segurança. A empresa pretende divulgar periodicamente informações sobre relatórios internos de potenciais incidentes de não conformidade e outros desafios de implementação que encontrar.

Feedback de Especialistas

A Anthropic solicitará expertise externa durante o desenvolvimento de avaliações de capacidade e salvaguarda. Este processo de consulta também pode se estender antes da tomada de decisão final sobre essas avaliações.

Notificação ao Governo dos EUA

A política exige a notificação a uma entidade relevante do Governo dos EUA se um modelo necessitar de proteções mais fortes do que o Padrão ASL-2.

Revisão de Conformidade Processual

Em uma base aproximadamente anual, a Anthropic comissiona uma revisão de terceiros para avaliar se a empresa aderiu aos principais compromissos processuais da política. Essas revisões se concentram especificamente na adesão aos requisitos do plano, em vez de tentar julgar os resultados alcançados. A Anthropic também realiza o mesmo tipo de revisão internamente em uma programação mais regular.

Comunicação Pública

A Anthropic mantém uma página pública (www.anthropic.com/rsp-updates) para fornecer visões gerais de relatórios de capacidade e salvaguarda anteriores, atualizações relacionadas ao RSP e planos para o futuro. A página fornece detalhes para facilitar conversas sobre as melhores práticas do setor para salvaguardas, avaliações de capacidade e solicitação.

Governança e Transparência

A Política de Dimensionamento Responsável (PDR) da Anthropic enfatiza tanto a governança interna quanto a transparência externa. Medidas importantes estão em vigor para garantir a implementação da política, promover a responsabilização e fomentar a colaboração.

Governança Interna:

• Oficial de Dimensionamento Responsável (ODR): Um membro da equipe designado supervisiona a redução de riscos, garantindo o design e a implementação eficazes da PDR. Os deveres do ODR incluem atualizações da política, aprovações de decisão, análises de contrato, alocação de recursos e tratamento de relatórios de não conformidade.
• Prontidão: A Anthropic desenvolveu procedimentos de segurança internos para cenários de incidentes, incluindo a suspensão do treinamento, a resposta a violações de segurança e o tratamento de vulnerabilidades do modelo.
• Transparência: Resumos dos Relatórios de Capacidade e Relatórios de Salvaguardas são compartilhados internamente para promover a conscientização e facilitar as considerações técnicas de segurança.
• Revisão Interna: O feedback é solicitado das equipes internas sobre os Relatórios de Capacidade e Salvaguardas para refinar as metodologias e identificar as fraquezas.
• Não Conformidade: Um processo permite que os funcionários relatem anonimamente o não cumprimento da política ao ODR. Uma política protege os repórteres contra retaliação e estabelece mecanismos de escalonamento. Todos os relatórios são rastreados, investigados e tratados com medidas corretivas.
• Acordos de funcionários: As obrigações contratuais de não depreciação são construídas de forma a não impedir ou desencorajar os funcionários de expressar preocupações de segurança sobre a Anthropic.
• Alterações na Política: As alterações a esta política são implementadas apenas pelo CEO e pelo Oficial de Dimensionamento Responsável, conforme aprovado pelo Conselho de Administração, em consulta com o Fundo de Benefício de Longo Prazo.

Transparência e Input Externo:

• Divulgações Públicas: Informações importantes sobre avaliação e implantação do modelo são divulgadas publicamente, incluindo resumos dos Relatórios de Capacidade e Salvaguardas, planos para avaliações e detalhes sobre salvaguardas, sujeitos à redação de informações confidenciais.
• Input de Especialistas: Especialistas externos são consultados durante as avaliações de capacidade e salvaguarda e nos processos de tomada de decisão final.
• Notificação ao Governo dos EUA: Uma entidade governamental relevante dos EUA será notificada se um modelo exigir mais proteções do que ASL-2.
• Revisão de Conformidade Processual: Aproximadamente anualmente, e mais regularmente internamente, um terceiro se concentra em se as políticas são seguidas, não em como as questões foram resolvidas.