Не все модели ИИ должны быть в свободном доступе, утверждает ученый-юрист

Чем более они способны, тем больше риск катастрофы, считает Лоуренс Лессиг

БЕСПЛАТНОЕ программное обеспечение с открытым исходным кодом стало движущей силой технологических инноваций и распространения технических навыков. Свобода обмена и создания программного обеспечения, разработанного другими, дала бесчисленному количеству молодых программистов возможность учиться и лежит в основе бизнеса, который питает цифровую экономику.

Поэтому для многих кажется очевидным, что принципы свободного программного обеспечения с открытым исходным кодом должны быть распространены на разработку моделей ИИ.

В принципе, должны. 

Но есть важные различия между обычным программным обеспечением и технологией ИИ, которые советуют не распространять простой принцип на весь спектр моделей ИИ.

ИИ-это скорее категория, чем технология.

Как и категория «оружие», она варьируется от относительно безобидных до потенциально катастрофических. 

Никто не поверит, что доступ, который мы предоставляем  стрелкам из лука, должен быть таким же для ракет «Стингер».

Мы также не должны полагать, что нормы программного обеспечения, разработанные для операционных систем или медиаплееров, должны в равной степени применяться к высокопроизводительным системам ИИ, которые могут нанести огромный вред.

Также даже не очевидно, как должны применяться нормы свободного программного обеспечения и программного обеспечения с открытым исходным кодом. 

Программное обеспечение с открытым исходным кодом — это программное обеспечение, исходный код которого выпущен по лицензиям, позволяющим другим лицам копировать и изменять код. 

Именно доступ к этому коду распространяет знания. 

Но модели ИИ состоят как минимум из четырех типов цифровых компонентов, только три из которых на самом деле являются программными. Четвертый — модельный вес — является одновременно и самым мощным, и самым неясным.

Веса модели — это переменные или числовые значения, используемые для преобразования входных данных в выходные. Они заключают в себе все, что модель узнала во время обучения. Таким образом, если обучение стоило 1 млрд долларов, веса модели отражают эту стоимость. Если обучение стоит 1000 долларов, то они, очевидно, менее мощные и менее ценные.

Итак, какой из этих четырех компонентов должен быть общим, чтобы соответствовать ценностям открытого исходного кода?

Исходный код, безусловно, является таковым, поскольку он учит, как была построена модель. Но веса моделей — это всего лишь строки чисел. Сами по себе они ничему не учат. С помощью других программных компонентов и данных, используемых для обучения модели, они, безусловно, могли бы научить тому, как модель понимает ее. Но в отличие от того, чему они учат, они просто являются силой модели. По аналогии с оружием, вес модели не является конструкцией или планом оружия. Они и есть оружие.

На мой взгляд, все четыре компонента должны быть в свободном доступе для моделей с ограниченными возможностями. 

Hugging Face, платформа сообщества ИИ, предлагает более 350 000 моделей ИИ и машинного обучения, 75 000 наборов данных и 150 000 демонстрационных приложений, все с открытым исходным кодом и общедоступными. 

Эти модели, скорее всего, недостаточно мощные, чтобы причинить значительный вред. Предоставление доступа к ним поддерживает экологию свободных знаний, которая имеет решающее значение для улучшения понимания ИИ.

Тем не менее, та же логика не применима к высокопроизводительным моделям ИИ, особенно когда речь идет о выпуске весов моделей. Чему бы ни научил вес модели, это преимущество должно быть сопоставлено с огромным риском неправильного использования, который представляют собой высокопроизводительные модели. В какой-то момент этот риск явно слишком велик.

Марк Цукерберг, основатель Meta, создатель Llama, самого мощного на сегодняшний день релиза с открытым весом, уверяет нас, что открытые релизы «должны быть значительно безопаснее, поскольку системы более прозрачны и могут быть тщательно изучены». 

Они могут быть тщательно изучены, но когда? Если опасность обнаружена после того, как код стал доступным, уверенность в том, что все видят проблему одинаково, не является большим утешением.

Г-н Цукерберг обещает, что базовые модели, стоящие за свободно выпущенными грузами, имеют ограждения для защиты от вредного или опасного неправильного использования, и что «использование Llama с ее системами безопасности, такими как Llama Guard, вероятно, будет безопаснее и надежнее, чем закрытые модели». 

Тем не менее, в настоящее время исследователи демонстрируют, насколько легко можно снять эти ограждения. Llama 2 имела ограждения, чтобы пользователи не могли использовать ее в ненадлежащих или небезопасных целях. 

Но в 2023 году, менее чем за 200 долларов, команда из Palisade Research смогла отключить их и создать неограниченную версию Llama 2. 

Насколько опасными могут стать эти модели Франкенштейна с открытым весом, поскольку базовые модели, стоящие за ними, становятся все более мощными, а методы удаления ограждений — более изощренными?

Дело не в том, что могут быть захвачены только релизы с открытым весом. Но они создают уникальный риск, потому что после выпуска они не могут быть отозваны. В отличие от этого, модели, предоставляющие доступ через веб-порталы или регулируемые API, в принципе могут определить, когда пользователи пытаются совершить перехват. В принципе, таким образом, они могли бы легче пресечь злонамеренное использование, чем модели, которые были свободно распространены.

В совокупности эти угрозы предполагают, что нам нужна более сложная структура для понимания того, какие части ИИ должны быть в свободном доступе, а какие нет. Это понимание должно отслеживать возможности модели и, как я поясню, регулятивный потенциал.

Для моделей с низкими возможностями мы должны поощрять этику «Обнимающегося лица». Риски низкие, а вклад в понимание огромен. Для моделей с высокой производительностью нам необходимо регулирование, которое гарантирует, что закрытые и открытые модели безопасны до их выпуска, и что они не будут выпущены таким образом, который может создать катастрофический риск. Никакая простая линия не отделит низкие возможности от высоких. Но если мы хотим обеспечить потенциал для разработки с открытым исходным кодом, мы должны развить нормативный потенциал, чтобы провести эту границу и обеспечить ее соблюдение.

Важно отметить, что эти риски зависят от регулятивного потенциала инфраструктуры, в которой работает ИИ. Исследователи ИИ в настоящее время изучают способы использования чипов, на которых работают модели ИИ, для регулирования самих моделей, так сказать, встраивая управление в чипы. Если бы эта возможность требовалась в целом, она могла бы работать как своего рода автоматический выключатель, выводящий из строя вышедшие из-под контроля системы. Такие мандаты создают свои собственные риски, но техническая инфраструктура управления позволила бы нам сосредоточиться на модельных рисках, а не на том, является ли модель открытой или нет. И поскольку это может помочь снизить риски развития ИИ в целом, это может ослабить аргументы против выпуска ИИ с открытым исходным кодом в частности.

Частные компании в одиночку, в жесткой конкуренции друг с другом, не имеют достаточных стимулов, чтобы избежать катастрофического риска. 

Кроме того, простой запрет ИИ с открытым исходным кодом не позволит избежать риска причинения большого вреда.

 Вместо этого нам необходимо развивать регулятивный потенциал, чтобы обеспечить среду, в которой может быть разработан безопасный ИИ, и регулятивное суждение, чтобы определить, когда общественный риск от любого развертывания ИИ слишком велик.

Сегодня эти риски налагаются на всех нас частными субъектами при незначительном общественном контроле. 

В прошлом эта формула не работала с опасными технологиями. Он не будет работать с системами ИИ будущего.

***

Лоуренс Лессиг — профессор права и лидерства Роя Л. Фурмана в Гарвардской школе права и соучредитель Creative Commons.