Uma equipa da Microsoft afirma ter utilizado Inteligência Artificial para descobrir uma vulnerabilidade do tipo “dia zero” (termo que se refere a uma ameaça recentemente identificada) nos sistemas de biossegurança usados para evitar o uso indevido de ADN.
Estes sistemas de triagem são concebidos para impedir que pessoas comprem sequências genéticas que possam ser utilizadas para criar toxinas ou agentes patogénicos mortais. Mas agora, investigadores liderados pelo cientista-chefe da Microsoft, Eric Horvitz, dizem ter descoberto uma forma de contornar essas proteções de um modo até então desconhecido pelos defensores.
A equipa descreveu o seu trabalho hoje na revista Science.
Horvitz e a sua equipa concentraram-se em algoritmos de IA generativa que propõem novas formas de proteínas. Esses tipos de programas já estão a impulsionar a procura por novos medicamentos em startups bem financiadas, como a Generate Biomedicines e a Isomorphic Labs, uma empresa spin-off do Google.
O problema é que tais sistemas são potencialmente de «duplo uso». Podem empregar os seus conjuntos de treino para gerar tanto moléculas benéficas quanto prejudiciais.
A Microsoft afirma que iniciou, em 2023, um teste de red teaming (estratégia de simulação de ataques) para avaliar o potencial de duplo uso da IA, com o objetivo de determinar se o «projeto adversarial de proteínas por IA» poderia ajudar bioterroristas a fabricar proteínas nocivas.
A salvaguarda que a Microsoft testou é aquilo a que se chama software de triagem de biossegurança. Para fabricar uma proteína, os investigadores normalmente precisam encomendar a sequência de ADN correspondente a um fornecedor comercial, que depois pode ser inserida numa célula. Esses fornecedores utilizam softwares de triagem para comparar os pedidos recebidos com toxinas ou agentes patogénicos conhecidos. Uma correspondência próxima dispara um alerta.
Para conceber o seu ataque, a Microsoft usou vários modelos generativos de proteínas (incluindo o seu, chamado EvoDiff) para redesenhar toxinas, alterando a sua estrutura de modo a que escapassem ao software de triagem, mas prevendo-se que mantivessem a sua função letal intacta.
Os investigadores afirmam que o exercício foi inteiramente digital e que nunca produziram proteínas tóxicas. Isso foi feito para evitar qualquer perceção de que a empresa estivesse a desenvolver armas biológicas.
Antes de publicar os resultados, a empresa afirma ter alertado o governo dos EUA e os fabricantes de software, que já corrigiram os seus sistemas, embora algumas moléculas desenhadas por IA ainda possam escapar à deteção.
“O patch é incompleto, e o estado da arte está a mudar. Mas isto não é algo pontual. É o início de testes ainda mais intensos”, diz Adam Clore, diretor de Investigação e Desenvolvimento em tecnologia da Integrated DNA Technologies, um grande fabricante de ADN, que é coautor do relatório da Microsoft. “Estamos, de certo modo, numa corrida armamentista.”
Para garantir que ninguém faça mau uso da investigação, dizem os autores, não divulgaram parte do seu código nem revelaram quais proteínas tóxicas pediram à IA para redesenhar. No entanto, algumas proteínas perigosas são bem conhecidas, como a ricina — um veneno encontrado nas sementes de mamona — e os príons infecciosos que causam a doença das vacas loucas.
“Esta descoberta, combinada com os rápidos avanços na modelação biológica potenciada pela IA, demonstra a clara e urgente necessidade de procedimentos de triagem de síntese de ácidos nucleicos reforçados, acompanhados por um mecanismo fiável de aplicabilidade e verificação”, afirma Dean Ball, bolseiro da Foundation for American Innovation, um think tank (instituição de investigação) em São Francisco.
Ball observa que o governo dos EUA já considera a triagem de encomendas de ADN uma linha-chave de segurança. Em maio, num decreto executivo sobre segurança em investigação biológica, o presidente Trump pediu uma reformulação geral desse sistema, embora, até agora, a Casa Branca não tenha divulgado novas recomendações.
Outros duvidam que a síntese comercial de DNA seja o melhor ponto de defesa contra agentes mal-intencionados. Michael Cohen, pesquisador de segurança em IA na Universidade da Califórnia, Berkeley, acredita que sempre haverá maneiras de disfarçar sequências e que a Microsoft poderia ter tornado seu teste mais difícil.
“O desafio parece fraco e suas ferramentas corrigidas falham muito,” diz Cohen. “Parece haver uma relutância em admitir que em breve teremos de nos afastar desse suposto ponto de estrangulamento, por isso devemos começar a procurar um terreno que realmente possamos defender.”
Cohen afirma que a biossegurança provavelmente deveria ser incorporada aos próprios sistemas de IA, seja diretamente ou por meio de controles sobre que informações eles fornecem.
Mas Clore diz que monitorar a síntese de genes ainda é uma abordagem prática para detectar ameaças, já que a fabricação de DNA nos EUA é dominada por algumas empresas que trabalham em estreita colaboração com o governo. Em contraste, a tecnologia usada para construir e treinar modelos de IA é mais difundida. “Você não consegue recolocar esse gênio de volta na garrafa,” diz Clore. “Se você tem recursos para tentar nos enganar para que produzamos uma sequência de DNA, provavelmente também pode treinar um grande modelo de linguagem.”
Antonio Regallado