O problema da expiração da garantia
Responsabilidade quando a confiança por trás de um agente de IA implantado decai silenciosamente
Garantias são afirmações feitas num ponto no tempo. Uma certificação de segurança diz que, na data de avaliação e face ao modelo de ameaça então em vigor, o sistema cumpria os requisitos. Uma validação clínica diz que, durante o estudo e na população analisada, os resultados do agente estavam dentro de limites aceitáveis. Um relatório de atestação diz que, quando a auditoria ocorreu, a configuração de hardware e software correspondia à linha de base.
Nenhuma destas afirmações garante que as condições subjacentes se mantenham estáveis. Ainda assim, são frequentemente tratadas como se isso acontecesse.
No cruzamento da segurança pós-quântica
Garantias criptográficas são particularmente vulneráveis à expiração porque as condições que tornam um algoritmo seguro são externas ao próprio algoritmo. Um esquema de assinatura aprovado como resistente a quantum há três anos pode enfrentar hoje capacidades adversárias substancialmente diferentes. A normalização pós-quântica continua a evoluir, e a meia-vida de uma garantia criptográfica raramente é acompanhada.
A lacuna de responsabilidade é precisa: os responsáveis autorizaram a implantação com base numa certificação que codificava confiança adequada ao modelo de ameaça de então. Se esse modelo mudou materialmente e ninguém reavaliou a certificação, a conversa de autorização já não é sustentada pela garantia invocada.
No cruzamento de hardware
Garantias de segurança de hardware expiram de duas formas. A primeira é o fim de suporte: avales do fabricante, monitorização de vulnerabilidades e atualizações de firmware terminam em datas definidas. A segunda é mais subtil: hardware válido no momento da implantação pode tornar-se inválido pela descoberta de vulnerabilidades na própria classe de componentes.
Em nenhum dos casos o registo de responsabilidade se corrige sozinho. A cadeia de atestação reflete o estado na data de avaliação; sem comparação regular com o estado atual, a erosão não é detetada.
No cruzamento dos cuidados no mundo físico
Garantias clínicas expiram contra um fundo diferente: a acumulação de prova real que diverge das condições controladas do estudo original. Um agente autorizado para diagnóstico ou apoio a cuidados foi validado numa população, com protocolos e base clínica daquele período.
À medida que é implantado em populações mais amplas, com perfis demográficos diferentes e orientações clínicas revistas, o perfil que justificou a autorização pode mudar enquanto a autorização formal continua a ser citada.
Desenhar para consciência de expiração
O problema não se resolve apenas adicionando datas de validade, embora isso ajude. A exigência mais profunda é tratar garantias como afirmações vivas com condições de validade contínua. Os registos devem guardar não só a conclusão da avaliação, mas também o modelo de ameaça, a base de prova, as características da população e a geração de hardware.
A parte mais difícil é que nada se parte no momento da expiração. O agente continua a produzir resultados e decisões continuam a ser tomadas. A resposta estrutural é integrar o acompanhamento de expiração na arquitetura de responsabilidade desde o início.
Certificações, atestações e autorizações podem permanecer formalmente válidas depois de a confiança prática decair. A responsabilidade exige acompanhar as condições de cada garantia e compará-las continuamente com o estado atual.