Bezpieczeństwo AI pod lupą. Sejmowa podkomisja w NASK

To nie koniec pytań. Gdzie jesteśmy w globalnym wyścigu sztucznej inteligencji? Czy Polska i Europa mają w nim szansę? Czy możemy konkurować ze światowymi graczami, którzy finansują badania i wdrożenia kwotami w wysokości setek miliardów dolarów?

O tym rozmawiali posłowie sejmowej Podkomisji stałej do spraw sztucznej inteligencji i przejrzystości algorytmów podczas posiedzenia w siedzibie NASK. Spotkanie miało jeden cel: lepiej zrozumieć, jak działa AI – czyli gdzie kończą się jej możliwości, a zaczynają realne ryzyka jeszcze zanim pojawią się odpowiednie regulacje.

Gdy model wie za dużo

Większość problemów związanych z bezpieczeństwem AI zaczyna się zanim użytkownik zada pierwsze pytanie. Kluczowe są dane, na których modele są trenowane – ogromne, różnorodne i w praktyce niemożliwe do pełnej kontroli.

Jak tłumaczył dr inż. Sebastian Cygert, kierownik Zakładu Bezpieczeństwa i Przejrzystości Sztucznej Inteligencji w NASK, skala danych używanych do trenowania dużych modeli językowych jest tak ogromna, że człowiek nie byłby w stanie ich nawet przeczytać.

To oznacza, że w zbiorach treningowych mogą znaleźć się treści niepożądane, ale też informacje wrażliwe. Modele uczą się w inny sposób niż człowiek i potrafią zapamiętywać konkretne fragmenty danych. W skrajnych przypadkach da się z nich wydobyć elementy danych osobowych, co rodzi pytania o prywatność i odpowiedzialność.

Bezpieczny model to nie model nieomylny

Nawet najlepiej zaprojektowany system nie jest odporny na próby obejścia zabezpieczeń. Dotyczy to również sztucznej inteligencji, która wchodzi w interakcję z użytkownikami.

Modele często odmawiają odpowiedzi na pytania o przemoc czy nielegalne działania, ale – jak pokazywali eksperci NASK – odpowiednio sformułowane polecenia, zmiana kontekstu lub rozbicie instrukcji na kilka etapów potrafią doprowadzić do uzyskania niepożądanych odpowiedzi.

– Jesteśmy w stanie takie modele w pewien sposób podejść – mówił dr Cygert, opisując techniki wykorzystywane w testach bezpieczeństwa. Właśnie dlatego w NASK prowadzone są regularne testy typu red teaming, analogiczne do testów penetracyjnych znanych z cyberbezpieczeństwa. Ich celem jest sprawdzanie, jak modele reagują na różne scenariusze ataku i gdzie pojawiają się ich słabe punkty.

Wyniki takich testów pokazują, że skuteczność ataku w niektórych przypadkach sięga kilkudziesięciu procent. To dowód na to, że bezpieczeństwo AI nie jest stanem, który da się osiągnąć raz na zawsze, lecz procesem wymagającym ciągłej weryfikacji.

Suwerenność cyfrowa, wyścig technologiczny i wybór strategii

Dyskusja, która zdominowała posiedzenie, nie dotyczyła abstrakcyjnej wizji przyszłości ani technicznych detali działania modeli. Posłowie skupili się na dwóch bardzo konkretnych pytaniach: czy państwo jest w stanie skutecznie regulować niepożądane konsekwencje rozwoju AI oraz jak duża jest nasza zależność od globalnych dostawców technologii, i czy ich decyzje mogą mieć realny wpływ na bezpieczeństwo kraju.

Jednym z punktów odniesienia był przykład Danii, gdzie wprowadzono przepisy ograniczające wykorzystywanie prywatnych wizerunków w deepfake’ach. To rodzi pytania o potrzebę i możliwość skutecznego egzekwowania regulacji, wreszcie, czy prawo jest w stanie reagować wystarczająco szybko, zanim fałszywe materiały staną się narzędziem masowych nadużyć?

– Jeżeli nie jest to produkt artystyczny, każdy obywatel ma prostą drogę, żeby taki materiał najpierw zablokować, a dopiero potem go weryfikować. U nas to wciąż działa znacznie wolniej – mówił przewodniczący podkomisji, Grzegorz Napieralski z Koalicji Obywatelskiej, odnosząc się do duńskich regulacji ograniczających wykorzystywanie prywatnych wizerunków w deepfake’ach.

Drugim silnym wątkiem była zależność technologiczna. Posłowie porównywali możliwe scenariusze do sytuacji znanych z rynku energii – przerwania dostaw ropy czy gazu.

– Pytanie brzmi, w jakim stopniu jesteśmy zależni od dostawców AI, którzy w pewnym momencie mogą po prostu zaprzestać świadczenia swoich usług – dokładnie tak, jak widzieliśmy to w przypadku ropy i gazu – pytał poseł Bartłomiej Bliźniuk z Koalicji Obywatelskiej, porównując ryzyka technologiczne do kryzysów znanych z rynku energii.

Dyrektor NASK dr inż. Radosław Nielek podkreślał, że ryzyko całkowitego „odcięcia” nie jest abstrakcyjne, zwłaszcza, że działania nie zdarzyłyby się w trybie natychmiastowym.

– Jeśli dziś ktoś przestałby sprzedawać nam kluczowe technologie, jutro świat by się nie zatrzymał. Ale w perspektywie kilkunastu czy kilkudziesięciu miesięcy mielibyśmy poważny problem – podobnie jak w przypadku innych strategicznych surowców – mówił dyrektor Nielek.

W odpowiedzi na te obawy uczestnicy dyskusji wskazywali na potrzebę dywersyfikacji i budowania alternatyw – niekoniecznie pełnej samowystarczalności, ale realnego wyboru między dostawcami.

– Bezpieczeństwo nie polega na tym, że wszystko produkujemy sami. Polega na tym, że nie jesteśmy uzależnieni od jednego źródła  – dodał dyrektor NASK.

Dyskusja jasno pokazała, że suwerenność w obszarze AI nie sprowadza się wyłącznie do posiadania własnych modeli czy infrastruktury. Chodzi o zdolność państwa do reagowania na nadużycia, ochrony obywateli przed skutkami technologii oraz zabezpieczenia się przed decyzjami podejmowanymi poza krajowym i europejskim systemem prawnym.

AI po stronie obrony

Sztuczna inteligencja bywa dziś opisywana głównie jako źródło zagrożeń. Tymczasem równie często jest narzędziem, które pozwala tym zagrożeniom przeciwdziałać. W NASK AI od lat wykorzystywana jest w praktyce – zarówno w usługach publicznych, jak i w ochronie kluczowych elementów polskiej infrastruktury cyfrowej.

Jednym z przykładów jest PLLuM – polski model językowy rozwijany przez NASK i partnerów, który stał się podstawą asystenta wspierającego użytkowników w aplikacji mObywtael. To jedno z największych wdrożeń sztucznej inteligencji w administracji publicznej w Europie, projektowane od początku z myślą o bezpieczeństwie i odporności na nadużycia.

PLLUM jest trenowany tak, żeby był bezpieczny. – Nie chcemy, żeby taki asystent zabierał stanowiska polityczne albo dawał się namówić do działań, których nie powinien wykonywać. Ma pomagać obywatelom w konkretnych sprawach – wypełnić formularz, złożyć wniosek – a nie generować treści, które mogą być szkodliwe – podkreślał dyrektor Nielek.

Sztuczna inteligencja wspiera także ochronę domeny .pl. Rozwiązania oparte na AI pozwalają analizować dane podawane przy rejestracji nowych domen i wykrywać próby ich wykorzystywania do phishingu lub innych działań przestępczych.

– Dzięki automatyzacji i wykorzystaniu sztucznej inteligencji udało się przesunąć domenę .pl z grupy najbardziej narażonych na phishing do grona jednych z najbezpieczniejszych domen na świecie – zaznaczył szef NASK.

Prawo, które musi nadążyć za technologią

Posiedzenie sejmowej podkomisji w NASK pokazało jednoznacznie, że rozmowa o sztucznej inteligencji nie jest już debatą o przyszłości, ale o teraźniejszych decyzjach. Nie chodzi o próbę zatrzymania technologii ani o rywalizację w globalnym wyścigu na skalę inwestycji, lecz o świadomy wybór obszarów, w których państwo może realnie wykorzystać potencjał AI.

Sztuczna inteligencja już dziś realnie wpływa na bezpieczeństwo, usługi publiczne i sposób funkcjonowania państwa. Pytanie nie brzmi więc, czy będzie regulowana, ale jak zrobić to mądrze – opierając się na wiedzy technicznej, testach i świadomości ryzyka, a nie na strachu przed technologią.