Re: [nexa] Bruce Schneier sulla "Open Source AI" di OSI

[Stefano Maffulli]

On Nov 12, 2024, at 11:06 PM, Claudio Agosti <claudio.ago...@hermescenter.org> wrote: ciao Stefano! grazie per l'email, ha chiarito alcuni punti interessanti e comprendo la tua posizione. Tuttavia mi rimane un dubbio nell'intersezione tra la leggittimità che conferisce l'OSI, e la vaghezza che c'è nell'AIAct. Grazie, mi dai l’occasione per toccare altri due temi molto importanti. Faccio riferimento al fatto che un sistema open source secondo l'AIAct, NON sia vincolato ad obblighi di conformità. Onestamente su questo tema non penso ci sia  ancora sufficiente chiarezza. Per l’AI Act, come per il Cyber Resilience Act, c’è una distinzione tra attività commerciali e non, e quindi le mega aziende dovrebbero sempre avere obblighi di compliance (come per il CRA, appunto): c’è distinzione tra sviluppo e messa in opera. Dal Art. 2 8. This Regulation does not apply to any research, testing or development activity regarding AI systems or AI models prior to their being placed on the market or put into service.  12. This Regulation does not apply to AI systems released under free and open-source licences, unless they are placed on the market or put into service as high-risk AI systems or as an AI system that falls under Article 5 or 50. Il punto 12 è interessante perché fa riferimento a una licenza di un sistema. Ma ora sappiamo che un “sistema IA” non ha *una* licenza perché composto da elementi eterogenei (architettura del modello, pesi/parametri, codice per inference) che potrebbero avere diversi accordi, contratti e licenze. Finora non ho trovato una risposta chiara che spieghi l’intenzione del legislatore. Stiamo aspettando che la Commissione si insedi per fare domande a chi può dare risposte autorevoli. Comprendo che che tu stia cercando di far recuperare quello svantaggio di cui parli, ma inevitabilmente uno degli effetti sarà quello di dare il bollino di "open source" a cose che alla fine open non sono. E questo porterà a degli abusi che sfrutteranno questa ambiguità. Su questa caratterizzazione non sono affatto d’accordo: ci sono sempre stati programmi che sono Open Source, nonostante si poggino su componenti che non sono Open Source (Blender su Mac, per esempio). Quest’idea di purezza “all the way down” nelle definizioni di OSI e di FSF non esiste in pratica: ricordati il dibattito feroce in Debian ogni volta che si dibatte di firmware, per esempio. OSI l’ha spiegato in questo post https://opensource.org/blog/how-we-passed-the-ai-conundrums che si può riassumere ricordando le eccezioni nella GPL per le librerie di sistema, compilatori e la Lesser GPL. Nel processo di co-design della definizione è emerso da conversazioni con chi le AI Open Source le sviluppa —Eleuther AI, LLM360, AI2, TII/Falcon, Mozilla, prof. Liang, Kapoor, i data scientist di Linagora e vari altri (non teorici sconosciuti chiusi in una stanza) che il succo dell’innovazione e le possibilità di collaborazione stanno nel codice usato per “data processing and filtering” e il codice dell’addestramento. Nella fase di validazione della Definizione abbiamo provato che questo approccio pare funzionare: LLama è out, Pythia è in. Ora viene il resto (vedi sotto). Quando questi abusi avverranno, non credo si criticherà l'AIAct, ma bensì la OSAID, che arriva dopo, e legittima condizioni impreviste. Mi chiedevo se hai avuto modo di rifletterci e se vedi soluzioni che al momento a me sfuggono. Ci abbiamo riflettuto eccome :) Primo, al momento non vediamo come ci potrebbero essere abusi della Definizione (altrimenti non l’avremmo rilasciata) ma allo stesso tempo mettiamo enfasi sul fatto che questa è solo versione 1.0* e problemi potrebbero emergere.  Cosa sappiamo finora: - La Definizione è considerata molto restrittiva dagli operatori commerciali, fortemente ostacolata da VC e aziende che non vogliono rivelare i loro “trucchi segreti” usati per l’addestramento e per costruire dataset. - La fase di validazione è stata breve, limitata a una dozzina di sistemi e va estesa per trovare dove sono i buchi. Stiamo raccogliendo idee per la prossima fase. /stef * la prima versione della Free Software Definition aveva 3 libertà. La quarta, la prima (numerata 0, tanto è fondamentale) è apparsa ben 10 anni dopo la prima pubblicazione. La OSD stessa aveva 9 punti, non 10, e per 5 anni dalla pubblicazione ancora veniva aggiornata.