La Cina accelera la governance degli agenti IA a fronte dei rischi per la sicurezza emergenti

La Cina sta intensificando gli sforzi per regolamentare e mettere in sicurezza gli agenti di intelligenza artificiale (IA), in risposta a un aumento delle vulnerabilità legate alle emergenti tecnologie open source.

L'8 maggio, la Cyberspace Administration of China (CAC), la Commissione Nazionale per lo Sviluppo e la Riforma e il Ministero dell'Industria e della Tecnologia dell'Informazione (MIIT) hanno emanato congiuntamente delle linee guida per l'applicazione standardizzata e lo sviluppo innovativo degli agenti IA, sottolineando chiaramente i principi di sicurezza e controllabilità, nonché di standardizzazione e ordine, in relazione allo sviluppo di tali agenti.

Nel mese di aprile, cinque dipartimenti centrali, tra cui la CAC, hanno introdotto regolamenti sui servizi interattivi antropomorfi basati sull'IA, istituendo un meccanismo di supervisione fondato sul rischio che rende obbligatorie le valutazioni di sicurezza e la registrazione degli algoritmi, e hanno proposto la creazione di una piattaforma di servizi di sicurezza basata sul concetto di "sandbox" per l'IA. Questa iniziativa segna la prima formulazione da parte del Paese del concetto di governance della sandbox per l'IA.

Contemporaneamente, il MIIT e altre autorità hanno pubblicato linee guida volte a standardizzare le revisioni etiche delle tecnologie, richiedendo che i modelli di IA mantengano robustezza, controllabilità, trasparenza e responsabilità. Le autorità stanno inoltre accelerando lo sviluppo di un sistema nazionale di standard per la sicurezza dell'IA, al fine di stabilire regole fondamentali chiare per una crescita solida del settore.

Secondo il China National Vulnerability Database of Information Security (CNNVD), tra il 14 e il 28 aprile sono state registrate ben 111 vulnerabilità associate a OpenClaw. Tali difetti spaziano da errori nel controllo degli accessi a problematiche critiche a livello di codice.

In precedenza, il National Computer Network Emergency Response Technical Team/Coordination Center of China (CNCERT/CC) e il MIIT avevano diramato una serie di avvisi di alto livello riguardanti le vulnerabilità legate a OpenClaw. Anche il National Computer Virus Emergency Response Center ha rilevato un gran numero di pacchetti di skill contraffatte per OpenClaw, contenenti virus Trojan, che pongono seri rischi per la sicurezza dei dati degli utenti e per la stabilità dei sistemi.

Le sfide di sicurezza poste dagli agenti basati sull'IA vengono riconosciute sempre più come una preoccupazione di portata globale. La Open Web Application Security Project (OWASP) Foundation, in un recente rapporto, ha inserito il dirottamento degli obiettivi degli agenti e l'uso improprio dei relativi strumenti tra le minacce principali.

"È probabile che gli agenti del tipo OpenClaw diventino la prossima generazione di sistemi operativi", ha affermato Tian Suning, co-fondatore di AsiaInfo, azienda tecnologica cinese leader nel settore della cybersecurity. Ha osservato che, con il passaggio delle risorse aziendali fondamentali dal personale e dai software tradizionali ai dati e agli agenti, la proprietà e la sicurezza di queste entità digitali sono diventate questioni cruciali.

Le aziende tecnologiche cinesi stanno sviluppando rapidamente svariati sistemi di difesa per mitigare tali rischi. Liu Longwei, CSO di Tuya Smart, fornitore leader di servizi di piattaforma cloud per l'IA, ha rivelato che l'azienda ha dotato l'intera forza lavoro di "dipendenti digitali" basati su versioni modificate di OpenClaw, facendo notare che l'anno scorso l'IA ha generato il 70% del codice dell'azienda. Ciononostante, ha riconosciuto l'ulteriore pressione in termini di sicurezza. L'azienda ha risposto costruendo sei livelli di difesa, che includono il rafforzamento dei sistemi e la sicurezza della filiera di approvvigionamento.

"Consentire ai dipendenti di utilizzare versioni non regolamentate di OpenClaw sul posto di lavoro è rischioso, poiché compromette il controllo sulla sicurezza e sulle minacce legate all'esposizione dei dati", ha affermato Liang Hongwei, esperto tecnologico senior presso Alibaba Cloud. Ha raccomandato un'implementazione cloud elastica e una rigorosa aderenza a principi operativi che privilegino la sicurezza e la conformità, al fine di prevenire fughe di dati.

Anche i fornitori nazionali di soluzioni di sicurezza stanno sfruttando le proprie competenze tecniche per rafforzare la protezione degli agenti IA. La divisione di cybersecurity di AsiaInfo ha introdotto l'Agent Trust Framework (ATF), un modello di governance che integra i concetti di "allineamento delle intenzioni dell'agente" e "co-governance uomo-IA". Questo approccio mira a contenere i rischi derivanti dalla natura aleatoria dell'IA, garantendo che lo sviluppo della produttività dell'IA rimanga entro i confini della conformità normativa.