L’intelligenza artificiale può progettare tossine in grado di eludere i controlli di sicurezza.
Un team di Microsoft afferma di aver utilizzato l’intelligenza artificiale per scoprire una vulnerabilità “zero day” nei sistemi di biosicurezza utilizzati per prevenire l’uso improprio del DNA.
Questi sistemi di screening sono progettati per impedire l’acquisto di sequenze genetiche che potrebbero essere utilizzate per creare tossine o agenti patogeni letali. Ma ora i ricercatori guidati dal capo scienziato di Microsoft, Eric Horvitz, affermano di aver scoperto come aggirare le protezioni in un modo precedentemente sconosciuto ai difensori.
Il team ha descritto il proprio lavoro oggi sulla rivista Science.
Horvitz e il suo team si sono concentrati su algoritmi di IA generativa che propongono nuove forme proteiche. Questi tipi di programmi stanno già alimentando la ricerca di nuovi farmaci in startup ben finanziate come Generate Biomedicines e Isomorphic Labs, uno spin-off di Google.
Il problema è che tali sistemi sono potenzialmente “a duplice uso”. Possono utilizzare i loro set di addestramento per generare sia molecole benefiche che molecole dannose.
Microsoft afferma di aver avviato nel 2023 un test di “red teaming” sul potenziale duplice uso dell’IA, al fine di determinare se la “progettazione proteica avversaria dell’IA” potesse aiutare i bioterroristi a produrre proteine dannose.
La misura di sicurezza che Microsoft ha attaccato è quella che viene definita software di screening per la biosicurezza. Per produrre una proteina, i ricercatori devono in genere ordinare una sequenza di DNA corrispondente da un fornitore commerciale, che possono poi installare in una cellula. Questi fornitori utilizzano un software di screening per confrontare gli ordini in arrivo con tossine o agenti patogeni noti. Una corrispondenza stretta fa scattare un allarme.
Per progettare il suo attacco, Microsoft ha utilizzato diversi modelli proteici generativi (tra cui il proprio, chiamato EvoDiff) per riprogettare le tossine, modificandone la struttura in modo da eludere il software di screening, ma mantenendo intatta la loro funzione letale.
I ricercatori affermano che l’esercizio è stato interamente digitale e che non hanno mai prodotto proteine tossiche. Ciò per evitare qualsiasi percezione che l’azienda stesse sviluppando armi biologiche.
Prima di pubblicare i risultati, Microsoft afferma di aver allertato il governo degli Stati Uniti e i produttori di software, che hanno già aggiornato i loro sistemi, anche se alcune molecole progettate dall’intelligenza artificiale possono ancora sfuggire al rilevamento.
“La patch è incompleta e lo stato dell’arte sta cambiando. Ma non si tratta di un’operazione una tantum. È l’inizio di ulteriori test”, afferma Adam Clore, direttore della ricerca e sviluppo tecnologico presso Integrated DNA Technologies, un grande produttore di DNA, che è coautore del rapporto Microsoft. “Siamo in una sorta di corsa agli armamenti”.
Per assicurarsi che nessuno faccia un uso improprio della ricerca, i ricercatori affermano che non stanno divulgando parte del loro codice e non hanno rivelato quali proteine tossiche hanno chiesto all’intelligenza artificiale di riprogettare. Tuttavia, alcune proteine pericolose sono ben note, come la ricina, un veleno presente nei semi di ricino, e i prioni infettivi che sono la causa della malattia della mucca pazza.
“Questa scoperta, insieme ai rapidi progressi nella modellizzazione biologica basata sull’intelligenza artificiale, dimostra la chiara e urgente necessità di migliorare le procedure di screening della sintesi degli acidi nucleici, abbinate a un meccanismo affidabile di applicazione e verifica”, afferma Dean Ball, membro della Foundation for American Innovation, un think tank di San Francisco.
Ball osserva che il governo degli Stati Uniti considera già lo screening degli ordini di DNA una linea chiave di sicurezza. Lo scorso maggio, in un ordine esecutivo sulla sicurezza della ricerca biologica, il presidente Trump ha chiesto una revisione complessiva di tale sistema, anche se finora la Casa Bianca non ha pubblicato nuove raccomandazioni.
Altri dubitano che la sintesi commerciale del DNA sia il miglior punto di difesa contro i malintenzionati. Michael Cohen, ricercatore di sicurezza dell’intelligenza artificiale presso l’Università della California, Berkeley, ritiene che ci saranno sempre modi per mascherare le sequenze e che Microsoft avrebbe potuto rendere il suo test più difficile.
“La sfida sembra debole e i loro strumenti rattoppati falliscono spesso”, afferma Cohen. “Sembra esserci una riluttanza ad ammettere che presto dovremo ritirarci da questo presunto punto di strozzatura, quindi dovremmo iniziare a cercare un terreno che possiamo effettivamente difendere”.
Cohen sostiene che la biosicurezza dovrebbe probabilmente essere integrata nei sistemi di IA stessi, direttamente o tramite controlli sulle informazioni che forniscono.
Ma Clore sostiene che il monitoraggio della sintesi genica sia ancora un approccio pratico per rilevare le minacce biologiche, poiché la produzione di DNA negli Stati Uniti è dominata da poche aziende che lavorano a stretto contatto con il governo. Al contrario, la tecnologia utilizzata per costruire e addestrare i modelli di IA è più diffusa. “Non si può rimettere il genio nella lampada”, afferma Clore. “Se si hanno le risorse per cercare di indurci a creare una sequenza di DNA, probabilmente è possibile addestrare un modello linguistico di grandi dimensioni”.
