خطة الاتحاد الأوروبي لإجبار تطبيقات الرسائل على فحص مخاطر CSAM تحذر ملايين من الإيجابيات الزائفة، حذر الخبراء

صدمة مثيرة من قبل المشرعين في الاتحاد الأوروبي لشرعياً يلزمون منصات الرسائل بمسح الاتصالات الخاصة للمواطنين للكشف عن مواد إساءة معلوماتية للأطفال (CSAM) يمكن أن تؤدي إلى ملايين من النتائج الإيجابية الزائفة يومياً، حذر مئات الخبراء الأمنيين والمتخصصين في الخصوصية في رسالة مفتوحة يوم الخميس.

تزداد القلق بشأن اقتراح الاتحاد الأوروبي منذ اقتراحته لخطة المسح لمادة CSAM قبل عامين - مع الخبراء المستقلين، والمشرعين عبر البرلمان الأوروبي وحتى مشرف حماية البيانات الخاص بالكتلة من بين الذين صدحوا بالإنذار.

لن يتطلب اقتراح الاتحاد الأوروبي فقط من المنصات الرقمية التي تتلقى أمر كشف CSAM المسح للمادة المعروفة CSAM، ولكن سيتعين أيضاً عليها استخدام تقنيات مسح اكتشاف غير محددة لمحاولة اكتشاف مواد CSAM غير المعروفة وتحديد نشاط تأطير الأطفال أثناء حدوثه - مما أدى إلى اتهام المشرعين بالتهور على مستوى تصورات السحر التكنولوجي.

يجادل النقاد بأن الاقتراح يطلب المستحيل من الناحية التقنية ولن يحقق الهدف المعلن من حماية الأطفال من الاعتداء. بدلاً من ذلك، يقولون إنه سيخلق الفوضى في أمان الإنترنت وخصوصية مستخدمي الويب عن طريق إجبار المنصات على نشر مراقبة شاملة لجميع مستخدميها باستخدام تقنيات محفوفة بالمخاطر ولم تُثبت فعاليتها، مثل المسح على الجانب العميل.

يقول الخبراء إنه لا يوجد تقنية قادرة على تحقيق ما يطلبه القانون دون أن تتسبب في المزيد من الضرر من النفع. ومع ذلك ، يواصل الاتحاد الأوروبي المضي قدمًا.

الجهاز الرقابي الأوروبي يسأل عن السرية المحيطة بمقترح المسح لكسر تشفير CSAM

تناولت الرسالة المفتوحة الأخيرة التعديلات المقترحة لتنظيم المسح المسح لمادة CSAM التي قدمها مؤخرًا المجلس الأوروبي، والذي يرى الموقعون أنه لا يعالج العيوب الجوهرية في الخطة.

يتضمن موقعو الرسالة - بعدد يصل إلى 270 في وقت الكتابة - مئات من الأكاديميين، بما في ذلك خبراء الأمن المعروفين مثل البروفيسور بروس شنيير من كلية هارفارد كينيدي والدكتور ماثيو د. غرين من جامعة جونز هوبكنز، إلى جانب مجموعة صغيرة من الباحثين العاملين لدى شركات تكنولوجيا مثل IBM و Intel و Microsoft.

في رسالة مفتوحة سابقة (الشهر الماضي)، حذر 465 أكاديميًا من أن تقنيات الكشف التي تعتمد عليها اقتراحات التشريع معرضة لخطورة كبيرة على الهجمات وسوف تؤدي إلى ضعف كبير في الحمايات الحيوية التي يوفرها التشفير من النهاية إلى النهاية (E2EE) في الاتصالات.

قليل جدًا من الجدية للاقتراحات المعارضة

في الخريف الماضي، اجتمع أعضاء البرلمان الأوروبي لمقاومة بشكل موحد بنهج معدل بشكل كبير - الذي سيحد من المسح إلى الأفراد والمجموعات التي يشتبه بالفعل فيها بالتحرش الجنسي للأطفال؛ تحديد المعروف والمجهول للمواد CSAM، وإزالة متطلب مسح التدريب؛ وإزالة أية مخاطر لل (E2EE) من خلال تقييدها بالمنصات التي ليست مشفرة من النهاية إلى النهاية. ولكن المجلس الأوروبي، الجهة الثانية المشرعة المعنية بصنع القوانين الاتحادية الأوروبية، لم تتخذ موقفا بعد من المسألة، وحيث توضع سيحسم على شكل القانون النهائي.

وقد تقدم المجلس البلجيكي بالتعديل الأخير في مارس، الذي يقود المناقشات نيابة عن ممثلي حكومات الدول الأعضاء في الاتحاد الأوروبي. ولكن في الرسالة المفتوحة حذر الخبراء أن هذا الاقتراح لا يزال لا يعالج العيوب الجوهرية المصاحبة لنهج اللجنة، معتبرين أن التعديلات لا تزال تخلق "قدرات غير مسبوقة للمراقبة والتحكم في مستخدمي الإنترنت" وست "تقوض ... مستقبلًا رقميًا آمنًا لمجتمعنا ويمكن أن تكون لها عواقب كبيرة على العمليات الديمقراطية في أوروبا وخارجها".

التعديلات التي تناقش في الاقتراح المعدلة من قبل المجلس تشمل اقتراح أن يكون لأوامر الكشف استهداف أكثر من خلال تطبيق تصنيف المخاطر وإجراءات التخفيف من المخاطر، ويمكن حماية الأمن السيبراني والتشفير من خلال التأكد من أن المنصات ليست مضطرة لإنشاء وصول إلى البيانات المفككة ومن خلال فحص تقنيات الكشف. ولكن يقترح الخبراء 270 أن هذا يعتبر تلاعباً حول حواف كارثة في الأمان والخصوصية.

من الناحية التقنية، من المحتمل أن يقوم هذا الاقتراح الجديد بتقويض الاتصالات وأنظمة الأمان بالكامل،" يحذر الخبراء. بينما يعتمد على "تقنية كشف معيبة" لتحديد الحالات المهمة من أجل إرسال أوامر كشف أكثر استهدافاً، فإن ذلك لن يقلل من مخاطر القانون الذي يشرع في عصر يفتح فيه "المسح الشامل" لرسائل المستخدمين على الويب، في تحليلهم.

تناولت الرسالة أيضًا اقتراح المجلس لتقليل خطر النتائج الإيجابية الزائفة عن طريق تحديد "شخص مهم" كمستخدم قام بالفعل بمشاركة CSAM أو حاول التدريب على طفل - الأمر الذي يتصور أنه سيتم ذلك من خلال تقدير تلقائي، مثل الانتظار لتلقي ضربة واحدة لـ CSAM المعروفة أو اثنتين لـ CSAM المجهولة / التدريب قبل أن يتم اعتبار المستخدم رسميًا كمشتبه به ويتم الإبلاغ عنه إلى المركز الأوروبي، الذي سيتولى تقديم التقارير عن CSAM.

مليارات المستخدمين، ملايين من النتائج الإيجابية الزائفة

يحذر الخبراء من أن هذا النهج من المرجح أن يؤدي لأعداد هائلة من الإنذارات الزائفة.

“من غير المحتمل بشكل كبير أن يقل عدد النتائج الإيجابية الزائفة بسبب أخطاء التقديرات دون أن تتوقف الكشف عن كفاءة،" عنونوا في رسالتهم. نظرًا للكم الهائل من الرسائل المرسلة في هذه المنصات (بحدود المليارات)، يمكن توقع عدد هائل من الإنذارات الزائفة (بحدود الملايين)،” يشيرون إلى أن من المنتظر أن يتم تطبيق قرار الكشف على المنصات التي ستجذب أمر الكشف يمكن أن تكون لها ملايين أو حتى مليارات المستخدمين، مثل تطبيق WhatsApp المملوك لشركة Meta.

“إذا قد تخيلنا أن لدينا كاشف لـ CSAM والتدريب، كما هو موضح في اقتراح القانون، بنسبة إيجابية زائفة بمقدار 0.1% (أي، مرة واحدة من كل ألف مرة، يصنف خطأ الشيء الغير CSAM كـ CSAM)، وهو أقل بكثير من أي ماكورى معروف حالياً.

“نظرًا لأن مستخدمي WhatsApp يرسلون 140 مليار رسالة يوميًا، حتى لو كانت رسالة واحدة فقط من بين كل مئة من الرسائل التي يتم اختبارها بواسطة هذه الكاشفات، فإنها ستكون 1.4 مليون نتيجة إيجابية زائفة كل يوم. حتى نخفض عدد النتائج الإيجابية الزائفة إلى المئات، إحصائيًا يجب تحديد ما لا يقل عن 5 تكرارات باستخدام صور مختلفة إحصائيًا أو كاشفات. وهذا فقط لـ WhatsApp - إذا اعتبرنا منصات المراسلة الأخرى، بما في ذلك البريد الإلكتروني، فإن عدد التكرارات الضرورية سيزيد بشكل كبير إلى درجة عدم تقليل إمكانية الاحتيال في مشاركة CSAM.”

يعتبر اقتراح من المجلس لتحديد أوامر الكشف لتطبيقات الرسائل المعتبرة "مرتفعة الخطر" كتعديل بلا جدوى، من وجهة نظر الموقّعين، حيث يجادلون بأنه من المحتمل أن يؤثر هذا التصنيف على "عدد كبير جدًا من الأشخاص بشكل عشوائي." هنا يشيرون إلى أن الخصائص القياسية فقط، م