מאז הציגה חברת OpenAI את הצ'אטבוט ChatGPT בנובמבר האחרון, מתרבים הדיונים בקרב גורמי ממשל, חוקרים וחברות פרטיות מהעולם סביב השאלה כיצד ניתן להשתמש בצ'אטבוטים מבוססי בינה מלאכותית באופן אחראי. מצד אחד, השימוש בצ'אטבוטים עשוי לסייע לארגונים ליישם אוטומציה נרחבת יותר בניטור רשתות ובגילוי איומים ולחזק את אבטחת הסייבר בטווח הארוך. מצד שני, מומחים מתריעים כי השימוש בצ'אטבוטים עלול להחריף את מגוון האיומים במרחב הסייבר. כך למשל, האקרים עלולים להשתמש ב-ChatGPT במטרה לחזק אצל הקורבנות את מידת האמון בזהות הבדויה מאחוריה הם מסתתרים ולבצע מתקפות דיוג יעילות ובקלות רבה יותר.
כמו כן, תפוצתם של הצ'אטבוטים עלולה להרחיב את הפרסום של תכנים כוזבים באינטרנט וברשתות החברתיות ולשפר את איכותם. בנוסף, ה-ChatGPT גם עלול לסייע להאקרים חובבנים לפתח אמצעי תקיפה מתקדמים, כגון נוזקות מבוססות קוד פולימורפי, המסוגלות לפעול בחתימה נמוכה ולהקשות על גילוין והסרתן. בד בבד, תועדו מקרים בהם האקרים שיתפו ברשת האפלה יכולות שונות, כגון נוזקות מסוג Infostealer לגניבת מידע ואמצעי הצפנה שיצרו באמצעות שימוש ב-ChatGPT, מה שעלול להקל על האקרים ופושעים לבצע מתקפות כופרה מסוג "סחיטה כפולה" (double extortion).
דרישות רגולטוריות באירופה
על רקע זה, הציגו ממשלות וארגונים מרחבי העולם בחודשים האחרונים יוזמות, שמטרתן לאזן בין התועלות והסכנות הפוטנציאליות. המכנה המשותף העומד בבסיסן הוא ההבנה, שהפיתוח והשימוש במערכות מבוססות בינה מלאכותית יכולים להיות בטוחים ולעורר תחושת אמון, רק כשהם נעשים באופן אחראי ושקוף. עם זאת, ניתן למצוא הבדל בולט באופן שבו גופי רגולציה וממשלות מיישמים את העקרון: באירופה, מסתמנת נטייה להעניק לממשלות תפקיד מרכזי - ולעיתים אף בלעדי - בקביעה האם וכיצד ניתן להשתמש ב-ChatGPT באופן בטוח.
הדבר ניכר, למשל, באיטליה, כשהרשות הלאומית להגנת מידע (IDPA) התנתה את המשך פעילות ה-ChatGPT במדינה במילוי מספר דרישות רגולטוריות, בנושא שמירת פרטיות המידע של הלקוחות המשתמשים בצ'אטבוט. בד בבד, בכוונת הנציבות האירופית לחוקק את חוק ה-AI Act, שעשוי להגדיר צ'אטבוטים כמערכות בינה מלאכותית המציבות רמת סיכון גבוהה לבטיחותם וזכויותיהם של אזרחים. המשמעות היא שהחברות המפתחות של הצ'אטבוטים, דוגמת OpenAIו-גוגל, יצטרכו למלא שורה של דרישות רגולטוריות מחמירות, כמו הבטחת יכולתם של מפעילים אנושיים להשפיע על אופן פעילותם, בטרם ישווקו באופן מסחרי.
שת"פ הדוק עם המגזר הפרטי
בארה"ב, לעומת זאת, מעדיף הממשל הפדראלי לקבוע את עקרונות הרגולציה על השימוש ב-ChatGPT, תוך שיתוף פעולה הדוק עם המגזר הפרטי והאקדמיה. הדבר ניכר למשל, בהתחייבות שהעניקו לבית הלבן חברות הטכנולוגיה הגדולות במאי 2023, בהן גוגל ומיקרוסופט, להשתתף בהערכה פומבית על מודלים של בינה מלאכותית, שצפויה להתקיים בכנס DEFCON 31 באוגוסט הקרוב. כנסי DEFCON השנתיים הינם מהכנסים הגדולים בעולם בתחום אבטחת הסייבר וההתחייבות תאפשר לאלפי מומחים בתחומי טכנולוגיה, להעריך באופן מעמיק סוגיות אבטחה הקשורות בהם. ככל והממשל מגביל את השימוש ב-ChatGPT, הוא אינו עושה זאת באופן גורף, אלא ביחס לשימוש של סוכנויות ממשלתיות בלבד. הדבר ניכר ביוזמות הקרן הלאומית למדע (NSF) והמשרד לניהול ולתקציב (OMB), שמטרתן לקבוע עקרונות מנחים להסדרת הרכש והשימוש ב-ChatGPT על-ידי הממשל.
גם ביפן כינסה הממשלה פאנל הכולל מנהלי חברות, חוקרים מהאקדמיה ומומחי משפט, שאמון על בחינת האפשרות לקדם רגולציה על ה-ChatGPT ואמצעי בינה מלאכותית יוצרת נוספים. הבית הלבן הודיע בחודש מאי האחרון כי בכוונת ה-NSF (הקרן הלאומית למדע) להקים שבעה מרכזי מחקר חדשים, שיאגדו את כלל הגופים העוסקים בקידום הפיתוח, הייצור והרכש של מערכות מבוססות בינה מלאכותית. מטרת יוזמות כאלה היא לאפשר הפריה הדדית בין המגזר הציבורי לפרטי. עבור החברות הפרטיות, יוזמות אלה עשויות, למשל, להעניק להן גישה ליכולות ולנתונים (למשל, מצד גורמי צבא וביטחון) שפותחים בפניהן אפשרות לשפר את השירותים המוצעים על-ידן. הממשלה, מצידה, תוכל לא רק לקבל משוב מהמגזר הפרטי בנושא גיבוש העקרונות לשימוש ב-ChatGPT, אלא גם להבין לעומק מהם צרכי המחקר של השוק וכיצד ניתן לקדמם באופן מיטבי.
בד בבד, היוזמות לניסוח כללים לשימוש האחראי בבינה המלאכותית, מגיעות גם מהחברות המפתחות את הצ'אטבוטים. לאחרונה במסגרת עדות בפני הקונגרס האמריקני, קרא מנכ"ל חברת OpenAI, סם אלטמן, לממשל בארה"ב לגבש רגולציה מקיפה לשימוש בבינה מלאכותית, ברמה הלאומית והבין-לאומית.
לגבש עקרונות מדיניות רחבים
בישראל, שאלת הסדרת השימוש ב-ChatGPT זכתה עד כה להתייחסות חלקית מצד הממשלה. באפריל פורסם, כי מערך הסייבר הלאומי החל לגבש המלצות לשימוש ב-ChatGPT, שתחילה יועדו למשרדי הממשלה. ההמלצות המסתמנות מתמקדות בעיקר בהעלאת המודעות לסכנות הגלומות בצ'אטבוט, קריאה למשרדי הממשלה להשתמש בשירות הפרמיום בתשלום של הצ'אטבוט, ChatGPT Plus, ובהטמעת אמצעי הגנה נקודתיים. לדוגמה, כלים לבלימת מתקפות סייבר מבוססות בינה מלאכותית. אולם, לנוכח ההתפשטות המהירה של השימוש ב-ChatGPT והסכנות הגלומות בו, תצטרך ישראל לגבש עקרונות מדיניות רחבים יותר.
להעדיף את הגישה האמריקנית
בבחינת הגישות המתפתחות להסדרת השימוש ב-ChatGPT, על ישראל להעדיף את הגישה האמריקנית. זאת לא רק לנוכח מספרן המתרחב של חברות ישראליות העוסקות בתחום הבינה המלאכותית היוצרת (Generative AI), אליו משתייכים הצ'אטבוטים, אלא מפני שמדיניות ישראלית ברוח זו עשויה לתת מענה לבעיה רחבה יותר, הקיימת במחקר בבינה מלאכותית בארץ. על-פי דו"ח מטעם רשות החדשנות מדצמבר 2020, בישראל קיימים ליקויים משמעותיים בארבעת המרכיבים הנחוצים לקידום המחקר בתחום הבינה המלאכותית - תשתיות, הון אנושי, רגולציה ונגישות לנתונים. בעקבות זאת, בעוד שישראל, בהשוואה בין-לאומית, מדורגת במקום גבוה בכל הקשור לפיתוחים מסחריים בבינה מלאכותית, התשתיות ועקרונות המדיניות שלה מצויים במקומות נמוכים. דבר זה עלול לפגוע בחדשנות הישראלית, גם בתחומים בהם התבלטה ישראל לטובה בעבר. מתן מענה לסוגיה הבוערת של ה-ChatGPT עשוי, אפוא, להתחיל להאיץ את הטיפול באתגרים רחבים יותר, המעכבים את המשך התפתחות החדשנות הישראלית.
נכון להיום, הדבר יכול לבוא לידי ביטוי בעיקר דרך שתי יוזמות: בטווח הזמן הקצר, משרדי הממשלה הרלוונטיים יכולים לארגן האקתונים למציאת פתרונות להתמודדות עם הסכנות הפוטנציאליות של ה-ChatGPT. האקתון מהסוג הזה התקיים בהובלת ממשלת קנדה בפברואר ומרץ האחרונים והתמקד בנושא הפצת מידע כוזב מבוסס ChatGPT. בטווח הארוך, יכולה הממשלה להקצות מימון עבור יוזמות מחקר משותפות למגזר הציבורי, האקדמיה והמגזר הפרטי.
דורון פלדמן הוא חוקר ומרכז תחום הסייבר בסדנת יובל נאמן למדע, טכנולוגיה וביטחון ודוקטורנט בביה"ס למדע המדינה באוניברסיטת תל-אביב. אופיר בראל הוא חוקר בסדנת יובל נאמן למדע, טכנולוגיה וביטחון באוניברסיטת תל-אביב. המחברים מבקשים להודות לעוזרת המחקר של הסדנה, ניצן הררי, שסייעה בכתיבת המאמר
