Google dringt er bij externe ontwikkelaars van Android-apps op aan om functies voor generatieve kunstmatige intelligentie (GenAI) op een verantwoorde manier te integreren.
De nieuwe richtlijnen van de zoek- en advertentiegigant zijn een poging om problematische inhoud, waaronder seksuele inhoud en haatzaaiende uitlatingen, te bestrijden die via dergelijke tools is gecreëerd.
Daartoe moeten apps die inhoud genereren met behulp van AI ervoor zorgen dat ze geen beperkte inhoud creëren, een mechanisme hebben waarmee gebruikers aanstootgevende informatie kunnen melden of markeren, en deze op de markt brengen op een manier die de mogelijkheden van de app nauwkeurig weergeeft. App-ontwikkelaars wordt ook aanbevolen om hun AI-modellen rigoureus te testen om ervoor te zorgen dat ze de veiligheid en privacy van gebruikers respecteren.
“Zorg ervoor dat u uw apps test in verschillende gebruikersscenario's en bescherm ze tegen aanwijzingen die uw generatieve AI-functie kunnen manipuleren om schadelijke of aanstootgevende inhoud te creëren”, zegt Prabhat Sharma, directeur vertrouwen en veiligheid voor Google Play, Android en Chrome.
De ontwikkeling komt nadat recent onderzoek van 404 Media verschillende apps in de Apple App Store en Google Play Store heeft gevonden die reclame maken voor de mogelijkheid om naaktfoto's zonder wederzijds goedvinden te maken.
Meta's gebruik van openbare gegevens voor AI baart zorgen
De snelle acceptatie van AI-technologieën in de afgelopen jaren heeft ook geleid tot bredere privacy- en beveiligingsproblemen met betrekking tot trainingsgegevens en modelveiligheid, waardoor kwaadwillende actoren een manier hebben gekregen om gevoelige informatie te extraheren en met de onderliggende modellen te knoeien om onverwachte resultaten te behalen.
Bovendien heeft Meta's beslissing om openbare informatie die beschikbaar is in haar producten en diensten te gebruiken om haar AI-aanbod te helpen verbeteren en te beschikken over de 'beste aanbevelingstechnologie ter wereld', de Oostenrijkse privacyorganisatie noyb ertoe aangezet een klacht in te dienen in elf Europese landen wegens schending van de AVG-privacywetten. in de regio.
“Deze informatie omvat zaken als openbare berichten of openbare foto's en hun bijschriften”, maakte het bedrijf eind vorige maand bekend. “In de toekomst kunnen we de informatie die mensen delen bij de interactie met onze generatieve AI-functies, zoals Meta AI, of met een bedrijf, ook gebruiken om onze AI-producten te ontwikkelen en te verbeteren.”
In het bijzonder heeft noyb Meta beschuldigd van het verschuiven van de lasten naar gebruikers (dwz door het opt-out te maken in plaats van opt-in) en er niet in te slagen adequate informatie te verstrekken over hoe het bedrijf van plan is de klantgegevens te gebruiken.
Meta heeft op zijn beurt opgemerkt dat het “zal vertrouwen op de rechtsgrondslag van 'legitieme belangen' voor het verwerken van bepaalde gegevens van eerste en derde partijen in de Europese regio en het Verenigd Koninkrijk” om AI te verbeteren en betere ervaringen op te bouwen. EU-gebruikers hebben tot 26 juni de tijd om zich af te melden voor de verwerking. Dit kunnen zij doen door een verzoek in te dienen.
Terwijl de social media-gigant er een punt van maakte om duidelijk te maken dat de aanpak aansluit bij de manier waarop andere technologiebedrijven hun AI-ervaringen in Europa ontwikkelen en verbeteren, zei de Noorse gegevensbeschermingsautoriteit Datatilsynet dat het “twijfelachtig” is over de wettigheid van het proces.
“Naar onze mening zou het de meest natuurlijke zaak zijn geweest om gebruikers om toestemming te vragen voordat hun berichten en foto's op deze manier worden gebruikt”, aldus het bureau in een verklaring.
“Het Europese Hof van Justitie heeft al duidelijk gemaakt dat Meta geen ‘legitiem belang’ heeft om het recht van gebruikers op gegevensbescherming terzijde te schuiven als het om reclame gaat”, aldus Max Schrems van noyb. “Toch probeert het bedrijf dezelfde argumenten te gebruiken voor de training van ongedefinieerde 'AI-technologie.'”
De terugroepactie van Microsoft wordt meer onder de loep genomen
Meta's nieuwste regelgevende gedoe komt ook op een moment dat Microsoft's eigen AI-aangedreven functie genaamd Recall snelle reacties heeft gekregen vanwege privacy- en veiligheidsrisico's die zouden kunnen ontstaan als gevolg van het elke vijf seconden maken van screenshots van de activiteiten van gebruikers op hun Windows-pc's en het draaien ze in een doorzoekbaar archief.
Beveiligingsonderzoeker Kevin Beaumont ontdekte in een nieuwe analyse dat het voor een kwaadwillende actor mogelijk is om een informatiedief in te zetten en de database te exfiltreren waarin de informatie is opgeslagen die uit de schermafbeeldingen is ontleed. De enige voorwaarde om dit voor elkaar te krijgen is dat voor toegang tot de gegevens beheerdersrechten op de computer van een gebruiker nodig zijn.
“Recall stelt bedreigingsactoren in staat om binnen enkele seconden alles te automatiseren waar je ooit naar hebt gekeken”, aldus Beaumont. “(Microsoft) zou Recall moeten terugroepen en het moeten herwerken zodat het de functie is die het verdient, en op een later tijdstip geleverd wordt.”
Andere onderzoekers hebben op vergelijkbare wijze tools zoals TotalRecall gedemonstreerd die Recall geschikt maken voor misbruik en zeer gevoelige informatie uit de database halen. “Windows Recall slaat alles lokaal op in een niet-versleutelde SQLite-database, en de schermafbeeldingen worden eenvoudigweg opgeslagen in een map op je pc”, zegt Alexander Hagenah, die TotalRecall ontwikkelde.
Vanaf 6 juni 2024 is TotalRecall bijgewerkt zodat er geen beheerdersrechten meer nodig zijn met behulp van een van de twee methoden die beveiligingsonderzoeker James Forshaw schetste om de vereiste van beheerdersrechten te omzeilen om toegang te krijgen tot de Recall-gegevens.
“Het wordt alleen beschermd doordat het (toegangscontrolelijst) is gekoppeld aan SYSTEM en dus is elke escalatie van bevoegdheden (of niet-beveiligingsgrens *hoest*) voldoende om de informatie te lekken,” zei Forshaw.
De eerste techniek houdt in dat je je voordoet als een programma met de naam AIXHost.exe door het token ervan te verwerven, of, nog beter, gebruik te maken van de rechten van de huidige gebruiker om de toegangscontrolelijsten te wijzigen en toegang te krijgen tot de volledige database.
Dat gezegd hebbende, is het de moeite waard erop te wijzen dat Recall momenteel in preview is en dat Microsoft nog steeds wijzigingen in de applicatie kan aanbrengen voordat deze later deze maand breed beschikbaar wordt voor alle gebruikers. Er wordt verwacht dat dit standaard is ingeschakeld voor compatibele Copilot+ pc's.
