Google exhorte les développeurs d’applications Android tiers à intégrer les fonctionnalités d’intelligence artificielle générative (GenAI) de manière responsable.
Les nouvelles directives du géant de la recherche et de la publicité visent à lutter contre les contenus problématiques, notamment les contenus à caractère sexuel et les discours de haine, créés via de tels outils.
À cette fin, les applications qui génèrent du contenu à l’aide de l’IA doivent veiller à ne pas créer Contenu restreintdisposent d’un mécanisme permettant aux utilisateurs de signaler ou signaler des informations offensantes, et commercialisez-les d’une manière qui représente fidèlement les capacités de l’application. Il est également recommandé aux développeurs d’applications de tester rigoureusement leurs modèles d’IA pour garantir qu’ils respectent la sécurité et la confidentialité des utilisateurs.
« Assurez-vous de tester vos applications dans différents scénarios d’utilisation et de les protéger contre les invites qui pourraient manipuler votre fonctionnalité d’IA générative pour créer du contenu nuisible ou offensant », Prabhat Sharma, directeur de la confiance et de la sécurité pour Google Play, Android et Chrome, dit.
Le développement fait suite à une enquête récente de 404 Media trouvé plusieurs applications sur l’App Store d’Apple et le Google Play Store qui annonçaient la possibilité de créer des images de nus non consensuelles.
L’utilisation des données publiques par Meta pour l’IA suscite des inquiétudes
L’adoption rapide des technologies d’IA ces dernières années a également conduit à des préoccupations plus larges en matière de confidentialité et de sécurité liées à la sécurité des données de formation et des modèles, offrant aux acteurs malveillants un moyen d’extraire des informations sensibles et de falsifier les modèles sous-jacents pour obtenir des résultats inattendus.
De plus, la décision de Meta d’utiliser les informations publiques disponibles sur ses produits et services pour aider à améliorer ses offres d’IA et avoir le « la meilleure technologie de recommandation au monde » a incité le groupe autrichien de protection de la vie privée noyb à déposer une plainte dans 11 pays européens, alléguant une violation des lois sur la confidentialité du RGPD dans la région.
« Ces informations incluent des éléments tels que des publications publiques ou des photos publiques et leurs légendes », a déclaré la société. annoncé à la fin du mois dernier. « À l’avenir, nous pourrons également utiliser les informations que les gens partagent lorsqu’ils interagissent avec nos fonctionnalités d’IA générative, comme Meta AI, ou avec une entreprise, pour développer et améliorer nos produits d’IA. »
Plus précisément, noyb a accusé Meta de transférer le fardeau sur les utilisateurs (c’est-à-dire de se désinscrire plutôt que de s’inscrire) et de ne pas avoir fourni d’informations adéquates sur la manière dont l’entreprise envisage d’utiliser les données des clients.
Meta, pour sa part, a indiqué qu’elle « s’appuiera sur la base juridique des « intérêts légitimes » pour le traitement de certaines données de première partie et de tiers dans la région européenne et au Royaume-Uni » afin d’améliorer l’IA et de créer de meilleures expériences. Les utilisateurs de l’UE ont jusqu’au 26 juin pour se désinscrire du traitement, ce qu’ils peuvent faire en soumettre une demande.
Alors que le géant des médias sociaux s’est fait un devoir de préciser que l’approche est alignée sur la manière dont d’autres entreprises technologiques développent et améliorent leurs expériences en matière d’IA en Europe, l’autorité norvégienne de protection des données, Datatilsynet, a déclaré qu’elle était « douteuse » quant à la légalité du processus.
« À notre avis, le plus naturel aurait été de demander le consentement des utilisateurs avant que leurs publications et photos soient utilisées de cette manière », estime l’agence. dit dans un rapport.
« La Cour de justice européenne a déjà clairement indiqué que Meta n’avait aucun ‘intérêt légitime’ à outrepasser le droit des utilisateurs à la protection des données lorsqu’il s’agit de publicité », a déclaré Max Schrems de noyb. « Pourtant, l’entreprise essaie d’utiliser les mêmes arguments pour la formation d’une ‘technologie IA’ non définie. »
Le rappel de Microsoft fait l’objet d’un examen plus approfondi
Le dernier brouhaha réglementaire de Meta arrive également à un moment où la propre fonctionnalité basée sur l’IA de Microsoft, appelée Recall, a été lancée. reçu réaction rapide en raison des risques de confidentialité et de sécurité qui pourraient survenir suite à la capture de captures d’écran des activités des utilisateurs sur leurs PC Windows toutes les cinq secondes et à leur transformation en une archive consultable.
Le chercheur en sécurité Kevin Beaumont, dans une nouvelle analyse, a découvert qu’il est possible pour un acteur malveillant de déployer un voleur d’informations et d’exfiltrer la base de données qui stocke les informations analysées à partir des captures d’écran. La seule condition préalable pour y parvenir est que l’accès aux données nécessite des privilèges d’administrateur sur la machine d’un utilisateur.
« Le rappel permet aux auteurs de menaces d’automatiser la suppression de tout ce que vous avez consulté en quelques secondes », Beaumont dit. « [Microsoft] devrait rappeler Recall et le retravailler pour qu’il soit la fonctionnalité qu’il mérite, livrée à une date ultérieure.
D’autres chercheurs ont également démontré des outils comme TotalRecall qui rendent Recall propice aux abus et extraient des informations hautement sensibles de la base de données. « Windows Recall stocke tout localement dans une base de données SQLite non cryptée, et les captures d’écran sont simplement enregistrées dans un dossier sur votre PC », Alexander Hagenah, qui a développé TotalRecall, dit.
Depuis le 6 juin 2024, TotalRecall a été mis à jour pour ne plus nécessiter de droits d’administrateur en utilisant l’une des deux méthodes décrites par le chercheur en sécurité James Forshaw pour contourner l’exigence de privilège d’administrateur afin d’accéder aux données de rappel.
« Il n’est protégé que par le fait d’être [access control list] » envoyé au SYSTÈME et donc toute élévation de privilèges (ou limite de non-sécurité *toux*) est suffisante pour divulguer les informations », Forshaw dit.
La première technique consiste à usurper l’identité d’un programme appelé AIXHost.exe en acquérant son token ou, mieux encore, en profitant des privilèges de l’utilisateur actuel pour modifier les listes de contrôle d’accès et accéder à la base de données complète.
Cela dit, il convient de souligner que Recall est actuellement en version préliminaire et que Microsoft peut encore apporter des modifications à l’application avant qu’elle ne soit largement disponible pour tous les utilisateurs plus tard ce mois-ci. Il devrait être activé par défaut pour les versions compatibles PC Copilot+.