Ahora que se ha asentado el polvo de la innovación en torno a ChatGPT, puede ser un buen momento para analizar todas las implicaciones de esta tecnología. Si bien es cierto que ayuda a los estudiantes universitarios con falta de sueño a superar sus exámenes y da un impulso creativo a los redactores publicitarios, tiene un lado potencialmente oscuro. David Carvalho, director general y cofundador de Naoris Protocol, analiza algunos de los aspectos no tan agradables de la tecnología de IA emergente y su potencial para causar estragos en las empresas de todo el mundo.
Índice de temas
¿Cómo puede utilizarse ChatGPT para explotar código y puede realmente crear código?
La respuesta corta es sí. ChatGPT, de OpenAI, es un generador de texto basado en un gran modelo lingüístico (LLM) de inteligencia artificial (IA), que sólo requiere una consulta normal en inglés.
GPT son las siglas de Generative Pre-Trained Transformer (Transformador Generativo Preentrenado), que se entrena con una gran muestra de datos de texto de Internet, que contiene miles de millones de palabras para crear aprendizajes sobre todos los temas de las muestras. Puede “pensar” en todo, desde ensayos hasta poemas, correos electrónicos y, por supuesto, código informático.
Puede generar código a partir de texto en inglés o recibir código nuevo o ya existente. Sin embargo, este código se puede explotar con fines maliciosos o, lo que es más importante, se puede utilizar para aplicaciones defensivas y de protección; todo depende de las intenciones del usuario. Mientras que Google puede mostrarte un artículo sobre cómo resolver un problema de codificación específico, ChatGPT podría escribir el código por ti. Esto es un cambio de juego, significa que los desarrolladores podrían hacer auditorías de seguridad casi instantáneas del código de la aplicación y del código del Contrato Inteligente para encontrar vulnerabilidades y exploits antes de la implementación. También permitiría a las empresas cambiar sus procesos de despliegue haciéndolos más exhaustivos antes del lanzamiento, reduciendo las vulnerabilidades una vez desplegados. Esto supondría una importante contribución a la lucha contra los daños causados por las ciberamenazas, que se espera que superen los 10 billones de dólares en 2025.
¿Cuáles son algunas de las limitaciones actuales?
La desventaja es que los malos actores pueden programar la IA para encontrar vulnerabilidades para explotar cualquier estándar de codificación popular y existente, código Smart Contract o incluso plataformas informáticas y sistemas operativos conocidos. Esto significa que miles de entornos existentes que son complejos y están en riesgo en el mundo real, podrían quedar expuestos de repente (a corto plazo).
La IA no es consciente, es un algoritmo basado en principios matemáticos, ponderaciones y sesgos. Pasará por alto preconceptos básicos, conocimientos, emociones y sutilezas que sólo ven los humanos. Debe verse como una herramienta que mejorará las vulnerabilidades codificadas por error por los humanos. Aunque potencialmente mejorará de forma significativa la calidad de la codificación en aplicaciones web2 y web3, nunca podremos, ni deberemos, confiar plenamente en sus resultados. A pesar de este enfoque cauteloso, debemos esforzarnos por confiar en su línea de base en el futuro.
Los desarrolladores aún tendrán que leer y criticar los resultados de la IA aprendiendo sus patrones y buscando puntos débiles, al tiempo que son conscientes del hecho de que los actores de amenazas la utilizan con fines nefastos a corto plazo. Sin embargo, creo que el resultado neto es una adición positiva a la madurez de todos los procesos a largo plazo. Siempre habrá nuevas amenazas que analizar y mitigar, por lo que, aunque puede ser una gran herramienta para ayudar a los desarrolladores, tendrá que trabajar en tándem con los equipos de desarrollo para reforzar el código y proteger los sistemas. La posición de ataque consistirá en encontrar fallos o errores en los resultados de la IA en lugar de en el propio código. La IA será una gran herramienta, pero los humanos tendrán la última palabra, esperemos. Con algunos baches en el camino, esto será positivo para el futuro de la confianza y la garantía de la ciberseguridad. A corto plazo, la IA sacará a la luz vulnerabilidades que habrá que subsanar muy rápidamente, y podríamos asistir a un posible repunte de las infracciones”.
¿Es necesario actualizar la regulación para incluir/considerar estos modelos?
La regulación será fundamental para la adopción de este tipo de IA, pero también puede evitarse porque la regulación actual es de naturaleza analógica, es decir, amplia, autocontrolada, normalmente reactiva en lugar de proactiva, e increíblemente lenta a la hora de evolucionar, especialmente en un “área objetivo” innovadora y en rápida evolución como la IA. Los reguladores, en su capacidad actual, podrían muy bien encontrarse fuera de contacto y fuera de su profundidad, deberían ser asesorados directamente por especialistas en la materia y en el mundo académico para garantizar reacciones rápidas. Tal vez deberían estudiar la posibilidad de crear un organismo regulador o consejo de ética totalmente independiente, con el fin de regular o establecer normas fundamentales sobre lo que está prohibido cuando se utilizan tecnologías de doble uso tan potentes. Los reglamentos sólo suelen entrar en vigor cuando algo va mal, y entonces se tarda meses, si no años, en hacerlos pasar por las distintas iteraciones y procesos de aprobación. En la actualidad, la normativa en este campo no es la adecuada. La capacidad de supervisar y aplicar una normativa que tenga en cuenta la velocidad a la que la IA aprende y ejecuta los resultados es una cuerda adicional muy necesaria para el cumplimiento de la normativa.
La propia IA necesita ser regulada, la pregunta candente es “¿Debe ser centralizada?”. Tenemos que considerar seriamente si las empresas tecnológicas centralizadas o los gobiernos deben tener las llaves y ser capaces de “sesgar la IA” para influir en los resultados. Un modelo más aceptable sería una solución descentralizada, o al menos un sistema de gobernanza descentralizado que permita garantizar la confianza de los sistemas de base que proporcionan respuestas, y que aportan datos para las respuestas y todos sus procesos a través de una malla de garantía. Quizá deberíamos buscar un modelo similar a cómo se recompensa a los desarrolladores y validadores de la web 3. La IA debería contar con un grupo de defensores profesionales incentivados para desarrollar y hacer evolucionar la IA con el fin de cumplir ciertos objetivos compartidos de ética pública que garanticen que la tecnología se utiliza para el bien en todos los sectores en los que opera.
¿Se pueden crear filtros para detectar estos modelos?
Sí, pero se produciría un efecto “whack-a-mole” similar al actual, sería un buen esfuerzo, pero no la panacea. Podrían crearse programáticamente principios éticos basados en filtros para detectar los modelos de cualquier actor malicioso o explotador o definir áreas o temas que estarían fuera de los límites. Sin embargo, tenemos que preguntarnos: “¿Quién controla el código de la IA?” y “¿Podemos confiar en que los sistemas de IA que proporcionan las respuestas no sean parciales o tengan una integridad comprometida a partir de una línea de base?”. Si la línea de base estuviera sesgada o comprometida, necesitaríamos saberlo al 100%.
La solución lógica sería proteger las redes y los dispositivos utilizando métodos de consenso descentralizados y distribuidos, de modo que el estado y la fiabilidad de los datos que se generan se conozcan como buenos, verdaderos y fiables de una manera altamente resistente y criptográficamente sólida. Debe ser auditable e inmune a la manipulación o subversión local por parte de agentes maliciosos, ya sean internos o externos.
¿Y ahora qué?
La forma en que Chat GPT irrumpió en el mercado puede compararse con la llegada de Superman al planeta Tierra desde Krypton. No teníamos ni idea de su existencia antes de que llegara; no estábamos seguros de cómo sus poderes afectarían al mundo a medida que creciera, y no estábamos seguros de cómo las fuerzas oscuras (Kryponite) podrían afectar al resultado de su comportamiento. Sería presuntuoso, por no decir arrogante, sugerir que alguien sabe realmente cómo va a desarrollarse todo esto. Lo único que sabemos con certeza es que algunos aspectos del funcionamiento del mundo cambiarán irrevocablemente. Será un viaje emocionante y apasionante ver cómo la humanidad se enfrenta a otra tecnología revolucionaria que, a su vez, se verá eclipsada por muchas otras innovaciones. Ya no tenemos espejos retrovisores que nos ayuden a predecir el futuro, el futuro es un vector que trazará su propio curso y todos tendremos un papel que desempeñar para garantizar que sea netamente positivo para la humanidad.
