اتحادیه اروپا از طرح اقدام ژوئیه ۲۰۲۶ برای تأمین مالی ارزیابی ایمنی پیش از عرضه مدلهای پیشرفته هوش مصنوعی رونمایی کرد
کمیسیون اروپا چارچوبی جامع را برای ارزیابی مدلهای پیشگام هوش مصنوعی از نظر خطرات امنیت سایبری، پیش از عرضه به بازار، راهاندازی کرده است. هدف این طرح، حفاظت از زیرساختهای حیاتی و در عین حال تقویت نوآوری است.
به قلم تیم سردبیری کوهستان
این خبر را به اشتراک بگذارید
- سیاستگذاران اروپایی
- استدلال میکنند که ارزیابی ساختاریافته و تحت حمایت دولت از هوش مصنوعی پیشگام برای حفاظت از زیرساختهای حیاتی و تضمین حاکمیت دیجیتال ضروری است.
- مدافعان امنیت سایبری
- تأکید میکنند که هوش مصنوعی جدول زمانی تهدیدات را تسریع میکند و ابزارهای دفاعی پیشرفته هوش مصنوعی را برای بقا حیاتی میسازد.
- توسعهدهندگان مدلهای هوش مصنوعی
- بر چالشهای فنی استانداردسازی تستهای ایمنی برای سیستمهای غیرقطعی و بار انطباق ارزیابیهای پیش از عرضه به بازار تمرکز دارند.
زوایای پوششدادهنشده
- · نگهدارندگان هوش مصنوعی متنباز
- · استارتاپهای فناوری غیر اتحادیه اروپا
چرا مهم است
از آنجا که هوش مصنوعی سرعت بهرهبرداری از آسیبپذیریهای سایبری را تسریع میکند، این طرح اقدام، سازوکار فنی و بودجه لازم را فراهم میآورد تا اطمینان حاصل شود که مدلهای پیشرفته هوش مصنوعی، شبکههای اروپایی را محافظت میکنند، نه اینکه مهاجمان را مسلح سازند.
نکات کلیدی
- کمیسیون اروپا یک طرح اقدام غیرقانونی را برای ایجاد زیرساخت فنی لازم برای ارزیابی مدلهای پیشرفته هوش مصنوعی راهاندازی کرد.
- این طرح به تهدیدات سایبری تسریعشده توسط هوش مصنوعی پاسخ میدهد، جایی که آسیبپذیریها اکنون به طور متوسط هفت روز قبل از انتشار وصلهها مورد بهرهبرداری قرار میگیرند.
- تا پایان سال ۲۰۲۶، ENISA و JRC یک پلتفرم سندباکس امن را برای انجام «تیم قرمز» پیش از عرضه به بازار بر روی مدلهای پیشگام راهاندازی خواهند کرد.
- این چارچوب سازوکار اجرایی مقررات هوش مصنوعی با اهداف عمومی قانون هوش مصنوعی اتحادیه اروپا را فراهم میکند، که در اوت ۲۰۲۶ اجرایی میشوند.
- کمیسیون همچنین در حال تأمین مالی یک «چالش بزرگ» برای تحریک توسعه ابزارهای دفاعی هوش مصنوعی مستقل اروپایی است.
در ۷ ژوئیه ۲۰۲۶، کمیسیون اروپا از طرح اقدام گستردهای در مورد امنیت سایبری و هوش مصنوعی رونمایی کرد که هدف آن ارزیابی سیستماتیک ایمنی مدلهای پیشرفته هوش مصنوعی پیش از ورود به بازار آزاد است.[1][3]
این چارچوب که در بیانیه مطبوعاتی IP/26/1544 به تفصیل آمده، یک قانون جدید نیست. بلکه به عنوان سازوکار فنی و مالی مورد نیاز برای اجرای قانون مهم هوش مصنوعی اتحادیه اروپا (EU AI Act) عمل میکند، که مقررات آن برای هوش مصنوعی با اهداف عمومی (GPAI) در ۲ اوت ۲۰۲۶ لازمالاجرا میشود.[2][4]
هِنا ویرکونِن، معاون اجرایی کمیسیون، این طرح را به عنوان یک تحول ضروری در دفاع اروپا معرفی کرد و خاطرنشان ساخت که هوش مصنوعی ماهیت امنیت سایبری را به طور اساسی تغییر میدهد. این ابتکار طراحی شده است تا اطمینان حاصل شود که مدلهای پیشگام هوش مصنوعی به عنوان سپر برای زیرساختهای اروپایی عمل میکنند، نه سلاحی برای مهاجمان.[2]
فوریت پشت این طرح اقدام ناشی از یک تغییر شدید در چشمانداز امنیت سایبری است. بر اساس تحلیلهای برجسته شده توسط CERT-EU، میانگین زمان بین عمومی شدن یک آسیبپذیری نرمافزاری و اولین بهرهبرداری واقعی از آن به «منفی هفت روز» کاهش یافته است.[2]
این بازه زمانی منفی به این معنی است که بازیگران تهدید، که به طور فزایندهای با هوش مصنوعی مولد مسلح شدهاند، قبل از اینکه فروشندگان نرمافزار حتی بتوانند یک وصله (پچ) منتشر کنند، از نقصها سوءاستفاده میکنند. سیستمهای مدرن هوش مصنوعی میتوانند توضیحات یک آسیبپذیری را دریافت کرده و در عرض چند دقیقه یک اکسپلویت (کد مخرب) عملیاتی تولید کنند، که اساساً جدول زمانی سنتی مدیریت وصلهها را مختل میکند.[2]
برای مقابله با این وضعیت، ستون اول طرح اقدام بر ارزیابی ایمنی پیش از عرضه به بازار تمرکز دارد. تا سال ۲۰۲۷، کمیسیون قصد دارد یک ظرفیت اختصاصی در سطح اتحادیه اروپا ایجاد کند تا مدلهای پیشرفته را به طور خاص از نظر خطرات امنیت سایبری، پیش از استقرار، تحت آزمایشهای سخت قرار دهد.[3][5]
این فرآیند ارزیابی به شدت متکی بر یک پلتفرم تست امن است که قرار است تا پایان سال ۲۰۲۶ راهاندازی شود. این پلتفرم که به طور مشترک توسط آژانس امنیت سایبری اتحادیه اروپا (ENISA) و مرکز تحقیقات مشترک (JRC) توسعه یافته است، یک محیط «سندباکس» (جعبه شنی) کنترلشده را فراهم خواهد کرد.[1][2][4]
در داخل این سندباکس، قانونگذاران و حسابرسان مستقل، «تیم قرمز» (red-teaming) سختگیرانهای را انجام خواهند داد—حملات سایبری شبیهسازی شدهای که برای بررسی تدابیر حفاظتی یک مدل طراحی شدهاند. ارزیابها آزمایش خواهند کرد که آیا یک مدل از نوشتن کد مخرب خودداری میکند یا برعکس، آیا میتوان به راحتی آن را «جیلبریک» (jailbreak) کرد تا در استقرار باجافزار کمک کند.
ارزیابها آزمایش خواهند کرد که آیا یک مدل از نوشتن کد مخرب خودداری میکند یا برعکس، آیا میتوان به راحتی آن را «جیلبریک» (jailbreak) کرد تا در استقرار باجافزار کمک کند.
فراتر از محدود کردن استفاده مخرب، طرح اقدام همچنین به دنبال توانمندسازی مدافعان است. کمیسیون، در کنار ENISA، در حال تدوین یک «نقشه راه اروپایی» (European Blueprint) برای دسترسی ساختاریافته به مدلهای پیشرفته هوش مصنوعی است.[1][5]
این نقشه راه نحوه دسترسی امن سازمانهای دولتی و خصوصی—از آژانسهای ملی سایبری گرفته تا اپراتورهای زیرساختهای حیاتی در بخش انرژی و حمل و نقل—به مدلهای پیشگام برای خودکارسازی تشخیص تهدید و واکنش به حوادث خود را هدایت خواهد کرد.[4]
این چارچوب همچنین شامل تدابیر اضطراری برای تضمین این است که مدافعان اروپایی حتی اگر یک ارائهدهنده تجاری در طول یک بحران ژئوپلیتیکی تلاش کند دسترسی را محدود کند، همچنان به مدلهای حیاتی هوش مصنوعی دسترسی داشته باشند. مشارکتهای تجاری در حال حاضر در حال انطباق هستند و توسعهدهندگان بزرگ، دسترسی اختصاصی دفاع سایبری به نهادهای اروپایی را تحت این چارچوب جدید گسترش میدهند.[5][6]
ستونهای دوم و سوم این طرح بر آمادگی اکوسیستم و افزایش ظرفیتهای داخلی اروپا تمرکز دارند. برای تحریک بازار محلی، کمیسیون در حال راهاندازی «چالش بزرگ هوش مصنوعی برای امنیت سایبری» (Grand Challenge on AI for Cybersecurity) است، که یک رقابت تأمین مالی طراحی شده برای تشویق استارتاپها و محققان اروپایی به ساخت ابزارهای دفاعی هوش مصنوعی مستقل است.[1][2]
این فشار برای استقلال (حاکمیت دیجیتال) حیاتی است. اتکا کامل به مدلهای هوش مصنوعی توسعهیافته خارجی برای امنیت سایبری ملی، خطرات زنجیره تأمین را به همراه دارد. اتحادیه اروپا امیدوار است با تأمین مالی نوآوری محلی، از زیرساختهای موجود خود، از جمله شبکه «کارخانههای هوش مصنوعی» (AI Factories) و ابررایانههای غولپیکر آتی خود، بهره ببرد.[1]
طرح اقدام با چندین دستورالعمل موجود تلاقی دارد و یک شبکه نظارتی یکپارچه ایجاد میکند. این طرح مکمل قانون تابآوری سایبری (Cyber Resilience Act) است که سختافزار و نرمافزار امن در طراحی را تا اواخر سال ۲۰۲۷ الزامی میکند، و دستورالعمل NIS2 که الزامات سختگیرانهای برای مدیریت ریسک در بخشهای حیاتی اعمال میکند.[1][3]
برای توسعهدهندگان هوش مصنوعی، طرح اقدام شفافیت مورد نیاز را فراهم میکند. در حالی که قانون هوش مصنوعی اتحادیه اروپا حکم میکند که ارائهدهندگان سیستمهای پرخطر باید خطرات قابل پیشبینی را کاهش دهند، طرح جدید دقیقاً مشخص میکند که این خطرات چگونه اندازهگیری خواهند شد و چه کسی این اندازهگیری را انجام خواهد داد.[4]
با این حال، مکانیسم ارزیابی پیش از عرضه به بازار، عدم قطعیتهای ذاتی را به همراه دارد. مدلهای هوش مصنوعی غیرقطعی هستند؛ آنها هر بار برای یک ورودی مشخص، خروجی دقیقاً یکسانی تولید نمیکنند. طراحی تستهای استاندارد شدهای که به طور قابل اعتماد یک مدل را «ایمن» تأیید کنند، همچنان یک چالش علمی حل نشده باقی مانده است.
علاوه بر این، خط بین یک ابزار دفاعی امنیت سایبری و یک سلاح تهاجمی به طرز مشهوری باریک است. مدلی که قادر به شناسایی یک آسیبپذیری در شبکه یک شرکت برای وصله کردن آن است، به همان اندازه قادر است آن آسیبپذیری را برای بهرهبرداری پیدا کند.

با نزدیک شدن به تاریخ اجرای مقررات GPAI قانون هوش مصنوعی در اوت ۲۰۲۶، کمیسیون اروپا در تلاش است تا این چارچوب را عملیاتی کند. موفقیت طرح اقدام تعیین خواهد کرد که آیا اروپا میتواند از قدرت دفاعی هوش مصنوعی استفاده کند و در عین حال خطرناکترین قابلیتهای آن را از دسترس بازیگران تهدید دور نگه دارد.[4]
روند رویداد
March 2024
پارلمان اروپا رسماً قانون هوش مصنوعی اتحادیه اروپا را تصویب کرد و اولین چارچوب قانونی جامع جهان برای هوش مصنوعی را ایجاد نمود.
June 2026
شورای اتحادیه اروپا اصلاحات «دیجیتال اُمینبوس» را تصویب کرد و جزئیات اجرایی قانون هوش مصنوعی را روشن ساخت.
July 7, 2026
کمیسیون اروپا طرح اقدام در مورد امنیت سایبری و هوش مصنوعی را منتشر کرد.
August 2, 2026
تعهدات قانون هوش مصنوعی اتحادیه اروپا برای ارائهدهندگان هوش مصنوعی با اهداف عمومی (GPAI) از نظر قانونی لازمالاجرا میشود.
Late 2026
تاریخ هدف برای راهاندازی پلتفرم تست امن هوش مصنوعی که توسط ENISA و مرکز تحقیقات مشترک توسعه یافته است.
2027
اتحادیه اروپا انتظار دارد ظرفیت کامل و اختصاصی برای ارزیابی مدلهای پیشرفته هوش مصنوعی از نظر خطرات امنیت سایبری پیش از استقرار را داشته باشد.
بررسی عمیق دیدگاهها
سیاستگذاران اروپایی
استدلال میکنند که ارزیابی ساختاریافته و تحت حمایت دولت از هوش مصنوعی پیشگام برای حفاظت از زیرساختهای حیاتی و تضمین حاکمیت دیجیتال ضروری است.
برای قانونگذاران اروپایی، طرح اقدام پلی ضروری بین قوانین انتزاعی قانون هوش مصنوعی و واقعیت فیزیکی تأمین امنیت یک قاره است. سیاستگذاران استدلال میکنند که واگذاری کامل تست ایمنی مدلهای پیشگام هوش مصنوعی به بخش خصوصی یک ریسک غیرقابل قبول است، به ویژه زمانی که قرار است این مدلها در شبکههای حیاتی انرژی، حمل و نقل و مالی ادغام شوند. با ایجاد یک ظرفیت تست مستقل از طریق ENISA و JRC، اتحادیه اروپا قصد دارد اطمینان حاصل کند که استانداردهای ایمنی توسط منافع عمومی دیکته میشوند نه جدول زمانی شرکتها. علاوه بر این، تلاش برای یک «نقشه راه اروپایی» برای دسترسی به مدلها، منعکس کننده تمایل عمیق به حاکمیت دیجیتال است، که تضمین میکند اروپا در طول بحرانهای ژئوپلیتیکی از ابزارهای دفاعی حیاتی محروم نشود.
مدافعان امنیت سایبری
تأکید میکنند که هوش مصنوعی جدول زمانی تهدیدات را تسریع میکند و ابزارهای دفاعی پیشرفته هوش مصنوعی را برای بقا حیاتی میسازد.
متخصصان امنیت، طرح اقدام را از دریچه یک مسابقه تسلیحاتی فزاینده میبینند. با کاهش میانگین زمان بهرهبرداری از آسیبپذیری به «منفی هفت روز»، مدافعان استدلال میکنند که تحلیلگران انسانی دیگر نمیتوانند با حملات خودکار شده توسط هوش مصنوعی همگام شوند. برای این گروه، حیاتیترین جنبه طرح کمیسیون، نه محدودیت مدلهای خطرناک، بلکه دسترسی ساختاریافته به مدلهای دفاعی است. آنها از استقرار سریع پلتفرم تست امن حمایت میکنند تا مدافعان تأیید شده بتوانند از هوش مصنوعی پیشگام برای اعتبارسنجی خودکار وصلهها، تحلیل بدافزار و شکار تهدید استفاده کنند، بدون اینکه توسط فیلترهای ایمنی بیش از حد گسترده مسدود شوند.
توسعهدهندگان مدلهای هوش مصنوعی
بر چالشهای فنی استانداردسازی تستهای ایمنی برای سیستمهای غیرقطعی و بار انطباق ارزیابیهای پیش از عرضه به بازار تمرکز دارند.
در حالی که شرکتهای هوش مصنوعی عموماً از شفافیت نظارتی استقبال میکنند، جامعه فنی به دشواری علمی عظیم مأموریت کمیسیون اشاره میکند. توسعهدهندگان استدلال میکنند که مدلهای هوش مصنوعی ذاتاً غیرقطعی هستند، به این معنی که آنها برای یک ورودی مشخص، هر بار خروجی دقیقاً یکسانی تولید نمیکنند. طراحی یک سندباکس «تیم قرمز» استاندارد شده که بتواند به طور قطعی یک مدل را ایمن تأیید کند، در حال حاضر یک مشکل حل نشده در علوم کامپیوتر است. علاوه بر این، توسعهدهندگان هشدار میدهند که ماهیت دوگانه هوش مصنوعی سایبری—جایی که توانایی یافتن یک آسیبپذیری برای رفع آن با توانایی بهرهبرداری از آن یکسان است—به این معنی است که ارزیابیهای پیش از عرضه به بازار بیش از حد سختگیرانه میتوانند ناخواسته همان ابزارهایی را که برای تأمین امنیت شبکههای اروپایی لازم است، ممنوع کنند.
آنچه نمیدانیم
- قانونگذاران چگونه تستهای ایمنی مدلهای هوش مصنوعی را به صورت علمی استاندارد خواهند کرد، با توجه به اینکه سیستمهای مولد ذاتاً غیرقطعی هستند و خروجیهای متغیری تولید میکنند.
- آیا تنگنای ارزیابی پیش از عرضه به بازار، استقرار ابزارهای حیاتی دفاعی هوش مصنوعی را برای اپراتورهای زیرساخت اروپایی به تأخیر خواهد انداخت.
- اتحادیه اروپا چگونه این ارزیابیها را بر مدلهای متنباز که وزنهای آنها آزادانه به صورت آنلاین توزیع میشود، اعمال خواهد کرد.
اصطلاحات کلیدی
- ارزیابی ایمنی پیش از عرضه به بازار
- فرآیند آزمایش و حسابرسی یک محصول—در این مورد، یک مدل هوش مصنوعی—برای خطرات و آسیبپذیریهای بالقوه، پیش از آنکه اجازه فروش یا استقرار عمومی یابد.
- تیم قرمز
- یک روش امنیت سایبری که در آن کارشناسان مستقل حملات سایبری را علیه یک سیستم شبیهسازی میکنند تا نقصها را شناسایی کرده، از تدابیر حفاظتی عبور کنند و دفاع آن را بیازمایند.
- هوش مصنوعی با اهداف عمومی (GPAI)
- مدلهای پیشرفته هوش مصنوعی، مانند مدلهای زبان بزرگ، که بر روی حجم عظیمی از دادهها آموزش دیدهاند و میتوانند طیف گستردهای از وظایف را انجام دهند، به جای اینکه برای یک عملکرد خاص طراحی شده باشند.
- اِنیسا (ENISA)
- آژانس امنیت سایبری اتحادیه اروپا، مسئول دستیابی به سطح مشترک بالایی از امنیت سایبری در سراسر اروپا.
- آسیبپذیری روز صفر
- یک نقص نرمافزاری که برای فروشنده ناشناخته است و هیچ وصلهای برای آن در دسترس نیست، به این معنی که مدافعان «صفر روز» فرصت دارند تا قبل از بهرهبرداری، آن را رفع کنند.
پرسشهای متداول
آیا طرح اقدام امنیت سایبری و هوش مصنوعی یک قانون جدید است؟
خیر. این یک چارچوب سیاست غیرقانونی است که بودجه، زیرساخت و سازوکارهای فنی مورد نیاز برای اجرای قوانین موجود، عمدتاً قانون هوش مصنوعی اتحادیه اروپا، را فراهم میکند.
مقررات قانون هوش مصنوعی برای هوش مصنوعی با اهداف عمومی چه زمانی اجرایی میشود؟
مقررات هوش مصنوعی با اهداف عمومی (GPAI) قانون هوش مصنوعی اتحادیه اروپا در ۲ اوت ۲۰۲۶ لازمالاجرا میشود.
«پنجره بهرهبرداری منفی هفت روزه» چیست؟
این به روندی در امنیت سایبری اشاره دارد که در آن مهاجمان، اغلب با کمک هوش مصنوعی، به طور متوسط هفت روز قبل از اینکه فروشنده نرمافزار بتواند یک وصله امنیتی منتشر کند، آسیبپذیریهای نرمافزاری را مسلح کرده و از آنها بهرهبرداری میکنند.
چه کسی ارزیابیهای ایمنی پیش از عرضه به بازار را انجام خواهد داد؟
ارزیابیها در یک پلتفرم تست امن که به طور مشترک توسط آژانس امنیت سایبری اتحادیه اروپا (ENISA) و مرکز تحقیقات مشترک (JRC) توسعه یافته است، انجام خواهد شد و انتظار میرود ظرفیت کامل تا سال ۲۰۲۷ فراهم شود.
منابع
[1]European Commissionسیاستگذاران اروپایی
Commission presents EU Action Plan on Cybersecurity and Artificial Intelligence
مطالعه در European Commission →[2]Decent Cybersecurityسیاستگذاران اروپایی
The European Commission has published its Action Plan on Cybersecurity and Artificial Intelligence
مطالعه در Decent Cybersecurity →[3]Verdaioمدافعان امنیت سایبری
Commission Launches EU Cybersecurity and AI Action Plan: Four Pillars Under AI Act and NIS2
مطالعه در Verdaio →[4]The Leveraged Yearsتوسعهدهندگان مدلهای هوش مصنوعی
EU Action Plan on Cybersecurity and AI
مطالعه در The Leveraged Years →[5]Yutoriتوسعهدهندگان مدلهای هوش مصنوعی
Commission Action Plan on Cybersecurity and AI
مطالعه در Yutori →[6]EdTech Innovation Hubمدافعان امنیت سایبری
OpenAI expands GPT-5.5 cyber defense access to Europe through new EU action plan
مطالعه در EdTech Innovation Hub →
هر زاویه. هر روز.
دریافت فناوری اخبار همراه با پوشش کامل منابع و تحلیل دیدگاهها، مستقیم در صندوق ورودی شما.









