Google insta desenvolvedores de aplicativos Android de terceiros a incorporar recursos de inteligência artificial generativa (GenAI) de forma responsável.
A nova orientação do gigante de buscas e publicidade é um esforço para combater conteúdos problemáticos, incluindo conteúdo sexual e discursos de ódio, criados por meio de tais ferramentas.
Para tanto, aplicativos que geram conteúdo usando IA devem garantir que eles não criem Conteúdo Restrito, ter um mecanismo para usuários reportarem ou sinalizarem informações ofensivas e comercializá-los de maneira que represente com precisão as capacidades do app.
Também está sendo recomendado aos desenvolvedores de aplicativos que testem rigorosamente seus modelos de IA para garantir que respeitem a segurança e a privacidade do usuário.
"Certifique-se de testar seus aplicativos em vários cenários de usuários e protegê-los contra prompts que possam manipular o recurso de IA generativa para criar conteúdo prejudicial ou ofensivo", disse Prabhat Sharma, diretor de confiança e segurança para o Google Play, Android e Chrome.
O desenvolvimento vem como uma investigação recente da 404 Media encontrou vários aplicativos na Apple App Store e no Google Play Store que anunciavam a capacidade de criar imagens nuas não consentidas.
A adoção rápida de tecnologias de IA nos últimos anos também levou a preocupações mais amplas de privacidade e segurança relacionadas a dados de treinamento e segurança do modelo, fornecendo aos atores maliciosos uma maneira de extrair informações sensíveis e adulterar os modelos subjacentes para retornar resultados inesperados.
Além disso, a decisão da Meta de usar informações públicas disponíveis em seus produtos e serviços para ajudar a melhorar suas ofertas de IA e ter a "melhor tecnologia de recomendação do mundo" levou a organização austríaca de privacidade noyb a apresentar uma reclamação em 11 países europeus alegando violação das leis de privacidade GDPR na região.
"Esta informação inclui coisas como posts públicos ou fotos públicas e suas legendas", anunciou a empresa no mês passado.
No futuro, também poderemos usar as informações que as pessoas compartilham ao interagir com nossos recursos de IA generativa, como a Meta AI, ou com um negócio, para desenvolver e melhorar nossos produtos de IA.
Especificamente, noyb acusou a Meta de transferir o ônus para os usuários (ou seja, torná-lo opt-out em vez de opt-in) e falhar em fornecer informações adequadas sobre como a empresa planeja usar os dados do cliente.
A Meta, por sua vez, observou que estará "contando com a base legal de 'Interesses Legítimos' para o processamento de certos dados de primeira e terceira partes na Região Europeia e no Reino Unido para melhorar a IA e construir experiências melhores.
Os usuários da UE têm até 26 de junho para optar por não participar do processamento, o que podem fazer enviando uma solicitação.
Enquanto a gigante da tecnologia fez questão de esclarecer que a abordagem está alinhada com a forma como outras empresas de tecnologia estão desenvolvendo e melhorando suas experiências de IA na Europa, a autoridade norueguesa de proteção de dados Datatilsynet disse estar "duvidosa" sobre a legalidade do processo.
"Na nossa visão, o mais natural teria sido pedir consentimento aos usuários antes de seus posts e fotos serem usados dessa maneira", disse a agência em um comunicado. "O Tribunal de Justiça Europeu já deixou claro que a Meta não tem 'interesse legítimo' para sobrepor o direito dos usuários à proteção de dados quando se trata de publicidade", disse Max Schrems, do noyb.
No entanto, a empresa está tentando usar os mesmos argumentos para o treinamento de tecnologia de 'IA indefinida'. O Recall da Microsoft Enfrenta Mais Escrutínio A última confusão regulatória da Meta também chega em um momento em que um recurso alimentado por IA próprio da Microsoft chamado Recall recebeu reações rápidas devido a riscos de privacidade e segurança que podem surgir como resultado da captura de screenshots das atividades dos usuários em seus PCs Windows a cada cinco segundos e transformá-los em um arquivo pesquisável.
O pesquisador de segurança Kevin Beaumont, em uma nova análise, descobriu que é possível para um ator malicioso implantar um ladrão de informações e exfiltrar o banco de dados que armazena as informações extraídas das capturas de tela.
O único pré-requisito para realizar isso é que o acesso aos dados requer privilégios de administrador na máquina do usuário.
"Recall permite que agentes de ameaças automatizem a raspagem de tudo que você já viu em segundos", disse Beaumont.
"[A Microsoft] deveria recolher Recall e retrabalhá-lo para ser o recurso que merece ser, entregue em uma data posterior," finaliza Beaumont.
Outros pesquisadores demonstraram de forma semelhante ferramentas como TotalRecall que tornam o Recall propenso ao abuso e extraem informações altamente sensíveis do banco de dados.
"O Windows Recall armazena tudo localmente em um banco de dados SQLite não criptografado, e as capturas de tela são simplesmente salvas em uma pasta no seu PC", disse Alexander Hagenah, que desenvolveu TotalRecall.
Até 6 de junho de 2024, TotalRecall foi atualizado para não exigir mais direitos de administrador, usando um dos dois métodos que o pesquisador de segurança James Forshaw delineou para contornar o requisito de privilégio de administrador para acessar os dados do Recall.
"Ele só é protegido por estar 'listado de acesso' para o SISTEMA e, portanto, qualquer escalonamento de privilégios (ou não-fronteira de segurança *cof*) é suficiente para vazar as informações", disse Forshaw.
A primeira técnica envolve se passar por um programa chamado AIXHost.exe, adquirindo seu token, ou, ainda melhor, aproveitando os privilégios do usuário atual para modificar as listas de controle de acesso e ganhar acesso ao banco de dados completo.
Dito isso, vale a pena ressaltar que o Recall está atualmente em prévia e a Microsoft ainda pode fazer mudanças no aplicativo antes de se tornar amplamente disponível para todos os usuários no final deste mês.
Espera-se que seja ativado por padrão para PCs compatíveis com Copilot+.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...