Familiarizando-se com a IA generativa – riscos, recompensas e regulamentação

A Inteligência Artificial (IA) faz parte da consciência coletiva da humanidade desde que o HAL 9000 infernizou a vida dos astronautas em Uma Odisseia no Espaço, de 1968. Mas a tecnologia revolucionária que iria melhorar nossas vidas não passou de uma simples promessa por mais de cinco décadas, com seu uso ainda longe de nosso dia a dia, até o lançamento dos primeiros modelos de LLM (large language model) e sistemas de IA Generativa (GenAI) disponíveis publicamente.

Rapidamente os sistemas de GenAI se multiplicaram e se tornaram um acessório comum nos ambientes profissionais mais diversos, dos escritórios de advogados às agências de publicidade e design. O potencial de aumento de produtividade é gigantesco, assim como o de economia de tempo e dinheiro, e por isso está sendo adotada com entusiasmo. Certamente ninguém tem medo dos futuros hollywoodianos estilo “ascensão das máquinas”, mas é fato que muitos profissionais estão preocupados com os efeitos adversos que a IA representa em suas profissões. Mas, como acontece com a maioria das tecnologias emergentes, as recompensas trazem novos riscos.

Ninguém sabe ainda até onde o desenvolvimento de IA pode avançar, e que outros modelos irão surgir. Além da IA Generativa, mais conhecida, hoje está em desenvolvimento, por exemplo, a IA Preditiva. Há receios, justificados, sobre segurança, privacidade e potenciais usos para ações que contrariem os direitos humanos e a vida em sociedade. Nessa linha, o Parlamento Europeu recentemente apresentou planos para a primeira lei abrangente do mundo, enquanto a Comissão Federal de Comércio (FTC) dos Estados Unidos lançou investigação sobre danos ao consumidor e práticas de segurança no ChatGPT da OpenAI, provavelmente o sistema mais famoso e utilizado. Podemos esperar ações similares de outros países.

No Brasil, o governo publicou um documento inicial em julho deste ano, e o Senado Federal pôs em discussão um projeto de regulamentação abrangente, que prevê a criação de uma espécie de Autoridade nacional de Inteligência Artificial, subordinada à Agência Nacional de Proteção de Dados (ANPD).

Leia também: Workiva: plataforma de automação de relatórios quer crescer cinco vezes em dois anos no Brasil 

Mas com milhões de pessoas já usando essas tecnologias diariamente, não dá para esperar pelas regulações. Não raro, esse processo leva anos. Diante disso, é necessário entender como as ferramentas de GenAI estão mudando a maneira como trabalhamos – e os potenciais riscos que elas representam.

Por que a “geração IA” (finalmente) veio para ficar

Apesar de todo o entusiasmo e bastante marketing, os modelos de IA não são novidade, sendo usados há bastante tempo em sistemas diversos. Uma das indústrias que há mais tempo faz uso de modelos baseados em IA é a de segurança digital. As redes neurais em uso hoje têm suas raízes em modelos estatísticos e de aprendizado do início dos anos 2000. No entanto, o ritmo da evolução aumentou consideravelmente após o surgimento das primeiras redes capazes de aprender modelos generativos ao invés de discriminativos. Mais recentemente, o desenvolvimento de modelos de transformadores pré-treinados generativos (GPT) acessíveis fez com que a tecnologia consolidasse firmemente seu lugar.

Avançando para 2024, há um GPT para quase todas as tarefas, desde redação, design e geração de imagens até programação, manipulação de dados e criação de sites. O ChatGPT da OpenAI, o modelo mais popular do mundo, foi lançado em 2022, e conseguiu mais de um milhão de usuários nos primeiros dois meses. Hoje, o serviço recebe mais de 1,6 bilhão de visitas mensais, superando Netflix e Pinterest. Ele é usado por funcionários de todos os setores para debater ideias, resumir textos complicados, criar e verificar códigos e gerar todos os tipos de conteúdo original. Mas embora seja o mais popular, o ChatGPT é apenas uma das muitas ferramentas generativas de IA em uso regular no local de trabalho. Outro, o DALLE-E, produz arte gerada por IA, criando imagens detalhadas e de alta qualidade em segundos.

A GenAI acelera significativamente procedimentos manuais e demorados e aperfeiçoa o trabalho humano, seja analisando texto, fornecendo informações ou gerando conjuntos de dados. Todas essas e várias outras ações podem ser inestimáveis para uma força de trabalho cada vez mais enxuta e sobrecarregada. Mas a IA generativa está indo além. De certa forma está democratizando tarefas antes altamente qualificadas, e sendo tratada por muitos como uma substituta para profissões altamente especializadas, além de uma espécie de guru que nunca erra.

Grandes poderes, maiores riscos

Não há dúvida sobre a capacidade da GenAI de oferecer ganhos significativos de produtividade, mas ela representa um risco às organizações que não pode ser ignorado, embora seja ainda relativamente incipiente e não ter alcançado uma escala tão massiva. Nenhum modelo de IA é totalmente confiável, para ser mais preciso.

Infelizmente, muitos depositam uma fé cega nas ferramentas, assumindo que suas capacidades impressionantes se estendem para uma verificação de fatos impecável. Mas eles erram, e muito. O ChatGPT, por exemplo, pode gerar e trazer informações incorretas em resposta às consultas, como vários usuários já publicaram em comentários nas redes sociais. Há também os casos de vieses. À medida que os modelos de GenAI aprendem com o conteúdo existente, eles também não estão livres de preconceitos. Na verdade, um estudo recente da Bloomberg sugere que eles podem ser tão – ou até mais – tendenciosos do que os humanos. As conclusões das ferramentas refletem os dados que são a elas fornecidos desde a sua aprendizagem.

Depois, há a questão da privacidade e segurança. As ferramentas de GenAI exigem entrada do usuário para gerar uma resposta. Pode ser uma pergunta ou prompt simples, ou uma transcrição ou conjunto de dados de reunião inteira, com informações confidenciais de mercados e produtos, ou mesmo código de programação proprietário. Sem controles apropriados, como você pode ter certeza de que seu pessoal não está inserindo informações de identificação pessoal ou outras informações confidenciais?

Finalmente, há a questão da propriedade e do plágio. Os modelos de IA generativa aproveitam o material existente para gerar novos conteúdos. Se os seus funcionários criam imagens e copiam, como eles podem ter certeza de que não se apropriam demais das fontes originais? Se eles estiverem usando o ChatGPT para gerar código-fonte, a OpenAI tem uma possível reivindicação de sua propriedade? Os legisladores mundo afora irão decidir sobre isso, mas podemos, pelo menos, impedir o roubo de nossos dados, ou a apropriação dos dados de outros em nossas organizações.

Encontrando o equilíbrio certo

O primeiro passo para manter o controle do uso da GenAI em sua organização é a visibilidade, seguindo a máxima de que você não pode proteger o que não vê. Você precisa saber quem está usando essas ferramentas e para o quê. Com essas informações, é possível colocar controles para limitar ou bloquear as interações.

Mas apesar de ser um primeiro passo é também o desafio mais difícil. Poucas organizações têm visibilidade sobre o manuseio de dados por seus colaboradores, o que inclui também o destino deles, se para um pendrive ou disco externo, ou para a nuvem. As ferramentas de GenAI são como um destino a mais, com o agravante de estar completamente fora do controle da organização.

Um problema para a implementação da visibilidade é o foco. É comum que projetos se iniciem com o objetivo de primeiro classificar todos os dados, para depois monitorar. Além de caríssimos, geralmente falham. Foco é essencial, e não é necessariamente apenas sobre o dado, mas também sobre o usuário. Podemos não saber onde estão todos os arquivos ou bases com dados de clientes que são protegidos pela LGPD, mas sabemos os departamentos (e os usuários) que diariamente manuseiam essas informações.

Outro problema é o “onde”. Onde se deve implementar os controles? O local central onde os dados são acessados é a estação de trabalho, o endpoint, e é nele que se deve iniciar. Há uma série de opções, que irão variar de organização para organização, como bloquear por completo as portas USB ou não, mas sempre estará no endpoint.

Em seguida, se perguntar como alguém poderia vazar os dados. USB, como já dito, é uma possibilidade, mas há vários outros métodos. Pode-se enviá-los por e-mail a uma conta pessoal, ou subir à uma nuvem pessoal, ou enviar por algum aplicativo de mensagens. É claro que ocorrerá no endpoint, mas é também interessante ter visibilidade sobre o e-mail com uma solução de DLP (data loss prevention) para correio eletrônico, sobre as atividades nos browsers, nos serviços de nuvem via um CASB, ou sobre as atividades nas ferramentas de GenAI. E aqui voltamos à GenAI. É importante ter visibilidade sobre quais ferramentas estão autorizadas e o que os usuários estão nelas postando.

Um elemento nessa equação que é quase sempre esquecido é o usuário. É possível e desejável que controles também estejam associados às pessoas; levando em conta seus privilégios (o acesso a dados protegidos por regulações, por exemplo), seus resultados dos treinamentos de conscientização e outras atividades. Por exemplo, você pode bloquear o acesso de usuários que falharem no treinamento de conscientização de segurança ou exibirem comportamentos descuidados de segurança.

Quanto mais visibilidade a empresa tiver sobre a atividade, maior será o controle sobre como e até que ponto os colaboradores podem interagir com ferramentas de IA generativa. Ao monitorar e gerenciar seu uso, a companhia pode aprender com seus funcionários sobre como adotar essa tecnologia para maior produtividade e inovação – ao mesmo tempo em que implementa uma abordagem de segurança centrada nas pessoas e com controles mais rígidos em resposta a comportamentos de risco. Podemos não saber até onde irá a “geração IA”, mas podemos garantir até onde irão nossos dados.