Penekanan pada organisasi untuk menambal kerentanan merupakan ‘perhatian utama’ bagi Joseph Stephens dari NCSC.
Komisi Eropa dan beberapa negara anggota UE, termasuk Irlandia, sedang melakukan pembicaraan dengan Anthropic mengenai Mythos, ketika negara-negara di seluruh dunia berupaya melindungi infrastruktur penting mereka yang rentan dari risiko dunia maya.
“Kami telah melakukan kontak langsung dengan mereka,” kata direktur ketahanan Pusat Keamanan Siber Nasional (NCSC) Joseph Stephens kepada SiliconRepublic.com, merujuk pada Anthropic, yang kantor pusatnya di Eropa berbasis di Irlandia.
“Tetapi kami bekerja melalui sistem Eropa karena ada kekuatan yang lebih besar dalam melakukan pendekatan yang terkoordinasi.” Stephens berbicara kepada SiliconRepublic.com selama acara ZeroDayCon baru-baru ini di Dublin.
Mythos mengirimkan gelombang kejutan ke seluruh industri setelah peluncuran terbatasnya untuk memilih bisnis besar lebih dari sebulan yang lalu. Langkah Anthropic mendapat banyak pujian dari para ahli, termasuk dari Stephens, yang meminta penyedia model AI terdepan lainnya untuk melakukan hal yang sama.
Apakah kendali di luar batas?
Perkembangan Mythos, klaim Anthropic, tidak disengaja, namun hanya merupakan hasil dari “konsekuensi hilir dari perbaikan umum dalam kode, penalaran, dan otonomi”.
Dan tidak diragukan lagi, negara tidak mempunyai kekuasaan yang besar dalam hal mengendalikan kemajuan teknologi atau mengelola cara penyebarannya – setidaknya pada tahap awal.
Meningkatnya kekhawatiran terhadap risiko keamanan siber yang disebabkan oleh AI tidak hanya terbatas pada Mythos saja. Secara keseluruhan, faktor-faktor ini menciptakan lingkungan yang sulit bagi para legislator ketika mereka berupaya mengejar inovasi-inovasi baru yang berkembang lebih cepat dibandingkan sebelumnya.
“Kita harus menyadari apa yang bisa dan tidak bisa dilakukan oleh negara Irlandia,” kata Stephens. “Kami tidak bisa menghentikan perusahaan seperti Anthropic yang berbasis di AS untuk merilis atau tidak merilis modelnya.”
Peluncuran Mythos menimbulkan guncangan sehingga NCSC – untuk pertama kalinya – mengeluarkan pernyataan mengenai rilis produk tertentu.
Sementara itu, negara-negara di seluruh dunia, termasuk AS, Inggris, Kanada, dan Jepang, dengan cepat mengundang Anthropic ke diskusi mengenai kemungkinan penerapan model tersebut guna meningkatkan keamanan infrastruktur penting mereka.
Namun, selain pemerintah dan perusahaan besar, perusahaan rintisan dan UKM yang memiliki sumber daya terbatas untuk meningkatkan keamanan siber mereka adalah kelompok yang paling berisiko.
“Kekhawatiran utama saat ini adalah tekanan yang mungkin ditimbulkan (Mythos) pada organisasi yang kini harus memperbarui semua produk dan layanan digital mereka,” kata Stephens.
Ironisnya, AI mungkin berguna dalam situasi seperti ini.
Akankah UU AI UE membantu?
Stephens menyerukan upaya bersama antar negara untuk menghasilkan pendekatan peraturan umum seputar model tersebut.
“Undang-undang AI memungkinkan kami memastikan bahwa produk yang masuk ke pasar kami dibuat dengan cara yang aman dan terjamin,” katanya. “Eropa telah benar-benar mendorong kemajuan dalam UU AI… (tetapi) kita tidak dapat mengatur jalan keluarnya.”
Batasan antara mengatur dan menghambat inovasi adalah sesuatu yang masih dicari oleh UE.
Pemerintah berupaya untuk memperbaiki sebagian dari peraturan yang berlebihan ini melalui serangkaian peraturan yang disederhanakan dan dikonsolidasikan. Awal bulan ini, blok tersebut mengadopsi aturan sementara baru mengenai UU AI.
Undang-Undang AI berlaku untuk bisnis yang melakukan penjualan ke UE, atau jika hasil AI digunakan di UE. Peraturan penting ini berupaya untuk menyeimbangkan pengelolaan risiko teknologi ini sekaligus memberikan manfaat bagi UE atas potensinya.
Menurut pakar hukum Dr TJ McIntyre, model seperti Mythos dapat diatur dengan dampak ekstrateritorial, namun hanya jika model tersebut dijual ke UE atau jika keluarannya dijual ke wilayah tersebut.
McIntyre adalah profesor madya di Sutherland School of Law di University College Dublin.
“Tidak jelas apakah AI Act akan berlaku jika Mythos dibatasi secara geografis untuk digunakan di luar UE,” jelasnya.
Namun, UU tersebut “dirancang untuk mengatasi ‘kemampuan siber yang bersifat ofensif, seperti cara mengaktifkan penemuan kerentanan, eksploitasi, atau penggunaan operasional’ sebagai jenis risiko sistemik,” katanya – sehingga, “secara teori”, UE dapat mengambil tindakan berdasarkan UU AI.