Quels risques spécifiques une personne, une entreprise ou un gouvernement devrait-il prendre en compte lors de l'utilisation d'un système d'IA, ou en élaborant des règles pour en régir l'utilisation ? Ce n'est pas une question facile à répondre. Si c'est une IA qui contrôle des infrastructures critiques, il y a évidemment un risque pour la sécurité humaine. Mais qu'en est-il d'une IA conçue pour évaluer des examens, trier des CV ou vérifier des documents de voyage au contrôle de l'immigration ? Chacun porte ses propres risques, catégoriquement différents, bien que tout aussi graves.
Pour élaborer des lois régissant l'IA, comme le règlement de l'UE sur l'IA ou le SB 1047 de la Californie, les décideurs ont du mal à parvenir à un consensus sur les risques que les lois devraient couvrir. Pour aider à fournir un guide pour eux, ainsi que pour les parties prenantes de l'industrie et du milieu universitaire de l'IA, les chercheurs du MIT ont développé ce qu'ils appellent un "référentiel des risques liés à l'IA" - une sorte de base de données des risques liés à l'IA.
“C'est une tentative de curation et d'analyse rigoureuses des risques liés à l'IA dans une base de données de risques publiquement accessible, complète, extensible et catégorisée que quiconque peut copier et utiliser, et qui sera tenue à jour avec le temps,” a déclaré Peter Slattery, chercheur au groupe FutureTech du MIT et responsable du projet de référentiel des risques liés à l'IA, à TechCrunch. “Nous l'avons créé maintenant car nous en avions besoin pour notre projet, et nous avions réalisé que beaucoup d'autres en avaient également besoin.”
Slattery explique que le référentiel des risques liés à l'IA, qui comprend plus de 700 risques liés à l'IA regroupés par facteurs causaux (par exemple l'intentionnalité), domaines (par exemple la discrimination) et sous-domaines (par exemple la désinformation et les cyberattaques), est né d'un désir de comprendre les recoupements et les déconnexions dans la recherche sur la sécurité de l'IA. D'autres cadres de risques existent. Mais ils ne couvrent qu'une fraction des risques identifiés dans le référentiel, selon Slattery, et ces omissions pourraient avoir des conséquences majeures pour le développement, l'utilisation et l'élaboration de politique en matière d'IA.
“Les gens peuvent penser qu'il y a un consensus sur les risques liés à l'IA, mais nos résultats suggèrent le contraire,” a ajouté M. Slattery. “Nous avons constaté que les cadres moyens mentionnaient seulement 34% des 23 sous-domaines de risque que nous avons identifiés, et près d'un quart en couvraient moins de 20%. Aucun document ou aperçu ne mentionne tous les 23 sous-domaines de risque, et le plus complet n'en mentionne que 70%. Lorsque la littérature est aussi fragmentée, nous ne devrions pas supposer que nous sommes tous sur la même longueur d'onde en ce qui concerne ces risques.”
Pour construire le référentiel, les chercheurs du MIT ont travaillé avec des collègues de l'Université du Queensland, du Future of Life Institute, de l'Université KU Leuven et de la startup en IA Harmony Intelligence pour fouiller les bases de données académiques et récupérer des milliers de documents relatifs aux évaluations des risques liés à l'IA.
Les chercheurs ont constaté que les cadres de tiers qu'ils ont examinés mentionnaient certains risques plus souvent que d'autres. Par exemple, plus de 70% des cadres incluaient les implications en matière de vie privée et de sécurité liées à l'IA, tandis que seuls 44% abordaient la désinformation. Et alors que plus de 50% discutaient des formes de discrimination et de représentation erronée que l'IA pourrait perpétuer, seuls 12% parlaient de “pollution de l'écosystème d'information” - c'est-à-dire l'augmentation du volume de spams générés par l'IA.
“Une leçon à retenir pour les chercheurs et les décideurs, et toute personne travaillant avec des risques, est que cette base de données pourrait fournir une fondation sur laquelle s'appuyer pour réaliser un travail plus spécifique,” a déclaré M. Slattery. “Avant cela, des personnes comme nous avaient deux choix. Ils pouvaient investir beaucoup de temps pour passer en revue la littérature dispersée afin de développer une vue d'ensemble complète, ou ils pouvaient utiliser un nombre limité de cadres existants, qui pourraient passer à côté de risques pertinents. Maintenant, ils disposent d'une base de données plus complète, donc notre référentiel permettra probablement de gagner du temps et d'améliorer la supervision.”
Mais est-ce que quelqu'un l'utilisera ? Il est vrai que la réglementation de l'IA dans le monde d'aujourd'hui est au mieux un patchwork : un éventail de différentes approches désunies dans leurs objectifs. Si un référentiel des risques liés à l'IA comme celui du MIT avait existé auparavant, aurait-il changé quelque chose ? Aurait-il pu le faire ? C'est difficile à dire.
Une autre question légitime à poser est de savoir si simplement être aligné sur les risques que pose l'IA suffit à inciter à des mesures visant à la réglementer de manière compétente. De nombreuses évaluations de sécurité pour les systèmes d'IA ont des limites importantes, et une base de données des risques ne résoudra pas nécessairement ce problème.
Les chercheurs du MIT prévoient néanmoins d'essayer. Neil Thompson, responsable du laboratoire FutureTech, a déclaré à TechCrunch que le groupe prévoit dans la prochaine phase de recherche d'utiliser le référentiel pour évaluer dans quelle mesure différents risques liés à l'IA sont pris en compte.
“Notre référentiel nous aidera dans la prochaine étape de notre recherche, lorsque nous évaluerons dans quelle mesure différents risques sont pris en compte,” a déclaré M. Thompson. “Nous prévoyons d'utiliser cela pour identifier les lacunes dans les réponses organisationnelles. Par exemple, si tout le monde se concentre sur un type de risque en négligeant d'autres de même importance, c'est quelque chose que nous devrions remarquer et corriger.”
