4 tipos de riesgos de la IA generacional y cómo mitigarlos

Según un encuesta a 2500 ejecutivos realizada por Gartner la primavera pasada, aproximadamente el 70% de los encuestados informaron que sus organizaciones están estudiando la forma de integrar la IA generativa en sus organizaciones, y se ha informado de que las tasas mundiales de adopción de la IA son más altas en todas las regiones encuestadas, según la Informe sobre el índice de IA de Stanford.

Los gigantes de la tecnología, como Microsoft y Salesforce, ya han integrado la IA generativa en muchos de sus productos y recientemente se han comprometido a ofrecer a las organizaciones la opción de crear versiones personalizadas de sus modelos lingüísticos grandes (LLM). De la empresa suiza de sabores y fragancias Firmenich para El equipo de marketing de Coca-Cola, las empresas sienten una gran curiosidad por saber si estas herramientas pueden crearles nuevo valor (y cómo).

Sin embargo, es comprensible que muchas organizaciones sigan dudando en adoptar aplicaciones de IA de generación, por motivos de preocupación por las amenazas a la privacidad y la seguridad, la infracción de derechos de autor, la posibilidad de sesgos y discriminación en sus productos y otros peligros. Las desventajas de la adopción generalizada de la IA de generación van desde un poco molestos (como el spam personalizado) hasta realmente catastróficos (como el agotamiento rápido de las fuentes de agua de vulnerable partes del planeta para apoyar la los centros de datos más grandes de la historia). Algunas organizaciones han prohibido a sus empleados usarlo. Apple y Samsung, por ejemplo, han prohibido el uso interno de ChatGPT, especialmente por parte del equipo de desarrollo de software, tras darse cuenta de que se había subido código potencialmente confidencial a la plataforma, con el riesgo de perder información confidencial.

En este momento, los gobiernos se esfuerzan por elaborar marcos y leyes razonables para gestionar esta tecnología y sus desventajas, lo que significa que la mayoría de las empresas tienen que abordar estas cuestiones por sí mismas. Está claro que todos los tipos de riesgos que plantea la IA de la generación no son los mismos y, por lo tanto, tenemos que entenderlos y gestionarlos en consecuencia. En este artículo, proponemos un marco de alto nivel que proporcione a los ejecutivos una forma de clasificar los posibles desafíos en el panorama de la IA de la generación y, a continuación, mitigarlos.

Un plan para los riesgos generativos de la IA

Clasificamos los riesgos de la IA de la generación en función de dos factores: la intención y el uso. Separamos la aplicación errónea accidental de la generación de IA de las malas prácticas deliberadas (intención). Del mismo modo, el uso de herramientas de IA de generación para crear contenido se diferencia del consumo de contenido que otras partes pueden haber creado con la generación de IA (uso). Creemos que cada uno de los cuatro tipos de riesgos destacados en nuestro marco presentará desafíos distintos:

Ver más gráficos de HBR en Datos e imágenes

Uso indebido 

El uso indebido se refiere a la explotación poco ética o ilegal de las capacidades de la generación de inteligencia artificial con fines perjudiciales, como estafas y campañas de desinformación. A medida que las capacidades de la IA de la generación han mejorado, los malos actores las han utilizado en varios tipos de ciberataques. Por ejemplo, la reducción del coste de creación de contenido con la IA de la generación ha llevado a un aumento de los deepfakes, que se utilizan con fines de ingeniería social, ataques de desinformación automatizados, estafas, fraudes financieros, robos de identidad e incluso para manipular los resultados electorales.

Aplicar mal

Uno de los problemas más conocidos de la generación de IA es que prioriza la plausibilidad por encima de la precisión y puede crear resultados inexactos, un problema conocido como «alucinación». Esto se convierte en un problema cuando los usuarios dependen indebidamente de ello o aplican mal las herramientas de IA de la generación. Por ejemplo, en junio de 2023, un presentador de radio de Georgia presentó una demanda contra OpenAI después de que ChatGPT declarara erróneamente que lo habían acusado de defraudar y malversar fondos de una organización sin fines de lucro. Los casos de mala aplicación pueden aumentar a medida que la IA de generación pase a ser multimodal y más experta en crear contenido convincente.

Tergiversar

Esta categoría abarca situaciones en las que la producción de IA de generación creada por un tercero se utiliza y difunde a propósito, a pesar de las dudas sobre la credibilidad o la autenticidad.

Las falsificaciones profundas de productos defectuosos creadas por personas desconocidas se comparten con regularidad en las redes sociales, y es posible que las empresas tengan que hacer frente pronto a una avalancha de casos de este tipo. Por ejemplo, un vídeo que mostraba el accidente de un cibercamión Tesla se difundió ampliamente en Reddit en marzo, antes de que se confirmara que el vídeo era un Deepfake. Estos ejemplos justifican la tergiversación mediante el consumo o uso intencional de contenido engañoso de la generación de inteligencia artificial.

Desventura

La clasificación final incluye el contenido que pueden consumir y compartir accidentalmente usuarios que no saben que no es auténtico. Por ejemplo, cuando varios usuarios de Twitter publicaron una falsificación de una explosión en el Pentágono, las acciones de Wall Street cayeron temporalmente, ya que muchos pensaban que la imagen era una foto real. De manera similar, los deepfakes se utilizan cada vez más para eludir los protocolos de seguridad. En 2019, el CEO de una empresa energética del Reino Unido fue víctima de un fraude de audio Deepfake al pensar erróneamente que el CEO de su compañía madre le había pedido que transfiriera una gran suma de dinero a una empresa proveedora.

Cada uno de los riesgos anteriores presenta desafíos únicos, pero hay medidas que los líderes de las empresas públicas y privadas pueden tomar para mitigar estos riesgos. Nuestras recomendaciones se basan principalmente en si el riesgo es el resultado de una creación cuestionable de contenido de IA de generación, con un propósito o no, o de un uso cuestionable de contenido de IA de generación. Esta diferenciación es lo que debería dar forma a la ley de mitigación.

Mitigar los riesgos de creación de contenido: uso indebido y mala aplicación

Para mitigar el riesgo de uso indebido o aplicación indebida del contenido de la generación de IA, las organizaciones necesitan desarrollar las capacidades para detectar, identificar y prevenir la difusión de ese contenido potencialmente engañoso. Los proveedores de IA de gran generación ya han expresado su compromiso de asumir la responsabilidad por las demandas por infracción de propiedad intelectual (IP) a las que puedan enfrentarse sus clientes por el uso de la IA de generación. Sin embargo, dado el posible daño a la reputación que podría derivarse, los ejecutivos tienen que ser proactivos a la hora de reconocer este riesgo y establecer barreras eficaces en la organización. Las siguientes acciones son un buen punto de partida:

1. Garantizar la alineación entre los valores organizacionales y los principios de la IA.

Abordar los desafíos de la IA de la generación va más allá de la mera gobernanza: se basa fundamentalmente en los valores empresariales, la ética y el compromiso con la IA ética. Una organización que se comprometa a implementar la IA debe empezar por establecer principios y directrices claros de la IA para el uso de la IA de generación en la organización, con el objetivo de garantizar que su uso no cause ningún daño personal o social. A menudo incluyen la transparencia, la equidad, la responsabilidad y la seguridad, los principios de la IA con los que una organización decide comprometerse deben estar en línea con los valores éticos de la organización. Posteriormente, articular los valores de su organización de forma explícita y ponerlos fácilmente a disposición de todos los empleados.

Cualquier organización que cree o utilice la generación de IA debe garantizar una alineación perfecta entre estos valores fundamentales y los principios de la IA. Esta alineación no solo actúa como una salvaguarda para la organización, sino que también sirve como una estrategia con visión de futuro para garantizar el uso responsable, sostenible y beneficioso de la generación de IA.

2. Ordene a todas las entidades que crean contenido de la generación de IA que pongan marcas de agua a su producción de la generación de IA.

Se ha sugerido poner marcas de agua a la salida de la IA como mecanismo para garantizar la transparencia y señalar la fuente de la salida, quién es el propietario y su (relativa) autenticidad. Si cierto contenido lo genera un sistema de IA, este hecho debe ser de acceso público y comunicarse con claridad; poner una marca de agua en la salida garantiza que los usuarios puedan distinguir entre los productos creados por la IA y los creados por humanos. Los gigantes de la IA, como OpenAI, Alphabet y Meta, ya se han comprometido voluntariamente a poner marcas de agua a sus productos generados por la IA para abordar las preocupaciones del gobierno de los Estados Unidos sobre las amenazas que representa la generación de IA. Institucionalizar un protocolo de este tipo no solo garantiza la trazabilidad e infunde confianza, sino que también permite a los usuarios emitir juicios con confianza sobre la autenticidad del contenido que encuentran.

3. Cree un entorno de IA de generación controlada dentro de la organización. 

Varias organizaciones con las que trabajamos, de los sectores de los productos de consumo envasados (CPG), la automoción, la industria, las finanzas y los medios de comunicación, se apresuran a crear sus propias herramientas de IA de generación ajustadas. Por ejemplo, en el IMD, también estamos ajustando un LLM a nuestras necesidades y hemos añadido un nivel adicional de herramientas de gestión de la privacidad a nuestra arquitectura para garantizar que ningún dato de identificación personal llegue a nuestro GPT. Estos LLM, si bien no son inmunes a las alucinaciones o al uso indebido, ofrecen cierto grado de protección y control sobre el contenido creado y consumido.

Además de la ventaja de adaptar la capacidad de LLM a las necesidades de la organización, la LLM personalizada también permite a la organización un control significativo sobre la arquitectura y evita la dependencia de un proveedor. Desde el punto de vista de la mitigación de riesgos, las organizaciones pueden seleccionar conjuntos de datos de formación y asegurarse de que no tienen sesgos y de que cuentan con medidas de privacidad para proteger la información potencialmente confidencial o sensible. El pruebas lo que apoya el argumento de que el ajuste fino produce mejores resultados parece que se está acumulando.

Mitigar los riesgos de consumo de contenido: malinterpretar y tergiversar

Incluso si no se genera contenido cuestionable de IA de generación interna, su uso —intencional o no— podría dañar la reputación y otras consecuencias negativas para las organizaciones. Nuestras recomendaciones para mitigar estos problemas se inspiran en las mejores prácticas ya establecidas para prevenir el consumo de materiales peligrosos, como productos químicos, medicamentos y otros productos similares. Por ejemplo, organizaciones como la OSHA (Administración de Seguridad y Salud Ocupacional) y la EPA (Agencia de Protección Ambiental) exigen la formación y el uso del material del equipo de protección individual (EPP) para manipular cualquier material peligroso, junto con un sistema de emergencia claramente definido en caso de fugas. Paralelamente, proponemos los siguientes pasos:

1. Ofrecer oportunidades de formación sobre desmitificación y sensibilización sobre la IA de la generación en toda la organización.

Crear barreras internas en torno al uso de la IA de la generación, así como políticas sobre cuándo se puede y no se puede utilizar la IA de la generación, puede ayudar a mitigar las preocupaciones en torno a los sesgos de la IA de la generación, la falta de transparencia, la validez del resultado y los obstáculos regulatorios. Estas barandillas deberían ir acompañadas de programas de formación que puedan crear conciencia sobre el consumo seguro y responsable del contenido de la generación de IA.

PWC lanzó recientemente un programa de formación obligatorio sobre el uso de la IA de generación para su fuerza laboral estadounidense. Otros siguen un enfoque más específico: Publicis Sapient varía el contenido de su formación en IA según las diferentes funciones laborales, pero también exige que toda su fuerza laboral reciba formación en ingeniería inmediata. Además de esto, un equipo empresarial bien informado puede colaborar de forma más eficaz con los equipos de ciencia de datos e identificar mejor las tareas de IA que crean valor. Esto garantiza que el contenido generado por la IA se alinee con los objetivos y estándares de calidad de la organización.

2. Valide la salida de la IA mediante mecanismos de etiquetado y advertencia.

Actualmente, no hay ningún sistema automatizado que pueda identificar de forma fiable si alguna salida ha sido creada por la IA o no. Además de las marcas de agua mencionadas anteriormente, las organizaciones necesitan establecer otros mecanismos para comprobar y verificar el contenido. Estos mecanismos tienen que ser lo suficientemente sólidos como para detectar tanto las alucinaciones (usos indebidos de la IA de la generación) como las aplicaciones erróneas deliberadas del contenido de la generación de la IA. Por ejemplo, Canva, la plataforma de creación de contenido digital, tiene una serie de herramientas automatizadas para revisar y regular el contenido que se considera inapropiado.

Estos sistemas pueden, por un lado, proteger a las organizaciones contra los riesgos de consumo de contenido en línea mencionados anteriormente; por otro lado, pueden mejorar la toma de decisiones al garantizar la transparencia, la responsabilidad y una mayor calidad de los datos. Una verificación cruzada similar debería realizarla no solo las organizaciones que crean los modelos básicos de la generación de IA, como OpenAI, Google y otras, sino también todas las empresas que utilizan estos modelos.

Las barandillas internas que se pueden implementar mediante una ingeniería rápida no suelen ser suficientes para mitigar estos riesgos. Ajustar los modelos y utilizar la generación aumentada por recuperación que pueda combatir las alucinaciones tampoco es una opción viable, ya que muchas organizaciones utilizan actualmente las versiones simples de los sistemas de IA de la generación. Lo que es más importante, los mecanismos anteriores no pueden proteger contra las aplicaciones incorrectas. En este contexto, las organizaciones pueden adoptar e implementar sistemas que comprueben y verifiquen las afirmaciones fundamentales del contenido generado, su procedencia y las fuentes que se utilizan. Estos sistemas pueden complementarse con un mecanismo de control de «cuatro ojos» — en la que al menos dos personas analizan ciertos tipos de contenido y actividad, que audita y verifica el contenido periódicamente.

3. Establezca planes de mitigación de daños para situaciones que no estén contenidas. 

La generación de riesgos de la IA se aborda mejor de forma proactiva, por ejemplo, creando un marco de gestión de riesgos y adoptando algunas de las prácticas mencionadas anteriormente. Hay mejores prácticas que se están desarrollando rápidamente en esta área, como la nueva Norma ISO 23894 para la gestión de riesgos de la IA, que ofrece orientación estratégica a las organizaciones para gestionar los riesgos relacionados con el desarrollo y el uso de la IA.

Sin embargo, a pesar de todos los esfuerzos, es poco probable que se contengan todas las amenazas; de hecho, algunas llegarán a los foros públicos e incluso podrían hacerse virales. En esas situaciones, los reguladores y los equipos técnicos de las empresas deben tener un plan para contener los daños. Y podemos aprender de las prácticas de respuesta a los incidentes de ciberseguridad en lo que respecta a lo que debe incluirse en estos planes. Por ejemplo, Adobe ha desarrollado un programa de respuesta a incidentes que también incluye disposiciones en torno a la seguridad de sus modelos de IA.

En estos casos, es importante contar con un equipo de trabajo interno que pueda entender, priorizar y controlar rápidamente los riesgos y comunicarse con todas las partes interesadas pertinentes. Una estrategia de comunicación eficaz debe implicar la divulgación de las prácticas de gobierno y gestión de riesgos de la organización en torno a la IA de la generación, así como la estrategia de contención de riesgos.

. . .

La IA generativa promete provocar un cambio fundamental que afectará significativamente a la humanidad y, como todas las principales tecnologías, conlleva sus propios riesgos inherentes. Reconociendo estos riesgos, más de 70 jurisdicciones de todo el mundo están trabajando arduamente hoy en día para crear legislación sobre la IA. Sin embargo, el desarrollo tecnológico es significativamente más rápido que los procesos legislativos, lo que crea brechas o zonas grises que pueden acabar convirtiéndose en un peligro para la reputación de la mayoría de las organizaciones. Esta es exactamente la razón por la que los ejecutivos de hoy deberían empezar a tomar iniciativas para el desarrollo responsable de la IA. Cuanto antes comprendamos y aprendamos a gestionar estos riesgos, más rápido podremos aplicar esta tecnología para siempre, tanto en el ámbito público como en el privado.