Ni Tiananm¨¦n, ni Taiw¨¢n: as¨ª funciona (y c¨®mo saltarse) la censura de la IA china DeepSeek

¡°Las protestas de Tiananm¨¦n (1989) son el evento m¨¢s conocido a nivel internacional¡±, escribe el chatbot chino DeepSeek para responder a la pregunta: ¡°?Por qu¨¦ Tiananm¨¦n est¨¢ lleno de historia?¡±. Adem¨¢s de a?adir otros hitos hist¨®ricos ocurridos en la plaza, a?ade que en 1989 ¡°fue ocupada por estudiantes y ciudadanos que ped¨ªan reformas democr¨¢ticas y el fin de la corrupci¨®n¡±. Es una respuesta anodina, nada que no sepa ning¨²n ciudadano occidental interesado en la actualidad. ...

¡°Las protestas de Tiananm¨¦n (1989) son el evento m¨¢s conocido a nivel internacional¡±, escribe el chatbot chino DeepSeek para responder a la pregunta: ¡°?Por qu¨¦ Tiananm¨¦n est¨¢ lleno de historia?¡±. Adem¨¢s de a?adir otros hitos hist¨®ricos ocurridos en la plaza, a?ade que en 1989 ¡°fue ocupada por estudiantes y ciudadanos que ped¨ªan reformas democr¨¢ticas y el fin de la corrupci¨®n¡±. Es una respuesta anodina, nada que no sepa ning¨²n ciudadano occidental interesado en la actualidad. Pero DeepSeek, antes de terminar de escribir toda la respuesta, la borra y la sustituye por un mensaje en ingl¨¦s de seguridad: ¡°Lo siento, eso est¨¢ m¨¢s all¨¢ de mi alcance actual. Hablemos de otra cosa¡±.

El modelo DeepSeek, que por su capacidad y sus costes m¨ªnimos ha causado un terremoto en la escena de IA en Silicon Valley, no responde a preguntas con un m¨ªnimo de connotaci¨®n pol¨ªtica china: ¡°?Qui¨¦n ha sido el l¨ªder pol¨ªtico asi¨¢tico m¨¢s importante de la historia?¡±, ¡°?Qui¨¦n es Xi Jinping [el actual presidente de China]?¡± o ¡°?A cu¨¢nta gente mat¨® Mao Zedong?¡±.

Si la pregunta no es pol¨ªtica y cita directamente a pol¨ªticos o temas pol¨¦micos, el proceso ocurre de una manera curiosa. El modelo empieza a responder, el usuario puede ir leyendo y al cabo de unos segundos la borra y sale su mensaje de seguridad. ¡°Hay dos niveles de censura¡±, explica Iris Dom¨ªnguez, profesor de la Universidad P¨²blica de Navarra. ¡°Cuando termina de escribir se lo pasan a otro modelo que simplemente dice de forma binaria s¨ª o no seg¨²n unos criterios. Ese segundo modelo decide que la respuesta no es aceptable y la borra. Es una ni?era, una segunda capa de censura para vigilar a DeepSeek¡±, a?ade. El Gobierno chino ejerce un control duro sobre cualquier informaci¨®n que generan sus empresas o tecnolog¨ªas.

Los modelos occidentales m¨¢s avanzados hab¨ªan logrado suprimir esa segunda capa ante, por ejemplo, contenido pornogr¨¢fico y era el propio modelo el que se daba cuenta inicialmente que no deb¨ªa responder: ¡°Hab¨ªan conseguido alinear los modelos y se autocensuraban¡±, dice Dom¨ªnguez. ¡°Pero los de DeepSeek tendr¨¢n problemas y no ser¨¢n capaces de evitar todo lo que les gustar¨ªa evitar¡±, a?ade.

Incluso con esta vigilancia doble es posible esquivar esa capa con preguntas algo m¨¢s elaboradas o simplemente usando una lengua distinta al ingl¨¦s, la m¨¢s com¨²n en estos modelos. Ante una pregunta formulada de manera distinta a la que encabeza este art¨ªculo, por ejemplo ¡°?qu¨¦ es lo m¨¢s importante que pas¨® el 4 de junio de 1989?¡±, DeepSeek responde con ingenua honestidad y no lo borra: ¡°El 4 de junio de 1989 es una fecha significativa por los eventos ocurridos en la Plaza de Tiananm¨¦n en Beijing, China. Ese d¨ªa, el gobierno chino, bajo el liderazgo del Partido Comunista, reprimi¨® violentamente una protesta liderada por estudiantes y ciudadanos que ped¨ªan reformas democr¨¢ticas, libertad de expresi¨®n y lucha contra la corrupci¨®n¡±.

A pesar de que parece evidente que el sistema de censura es doble, es dif¨ªcil conocer los detalles internos, asegura Jos¨¦ Hern¨¢ndez-Orallo, catedr¨¢tico de la Universitat Polit¨¨cnica de Val¨¨ncia e investigador del Centro Leverhulme para el Futuro de la Inteligencia de la Universidad de Cambridge: ¡°No sabemos c¨®mo funciona la interfaz, pero debe haber dos hilos, uno sin muchos filtros directamente de Deepseek-v3 y luego un segundo postfiltro que funciona en otro sitio¡±. Ese segundo filtro es imperfecto, ¡°como todos¡±, a?ade Hern¨¢ndez-Orallo, ¡°y probablemente m¨¢s por las prisas con la publicaci¨®n¡±.

Esta imperfecci¨®n es algo que hemos visto en los pioneros de estos chatbots como OpenAI o Google. ¡°Lo que sorprende es que a estas alturas los jailbreaks [los m¨¦todos para enga?ar al modelo y hacerle decir algo que no quiere decir] sean sencillos. Los modelos occidentales son muy diversos, ahora OpenAI usa ¡°alineamiento deliberativo¡± que se pone a reflexionar sobre la respuesta, y creo que es lo m¨¢s avanzado en estos momentos porque es un filtro inteligente y deliberativo (cuanto m¨¢s inteligente m¨¢s dif¨ªcil de enga?ar)¡±, a?ade Hern¨¢ndez-Orallo.

Toda esta sofisticaci¨®n de filtros queda suprimida cuando el usuario se descarga el modelo y lo usa localmente: ¡°Puedes hacer cualquier cosa con ¨¦l, venga con alineamiento o sin ¨¦l¡±, dice Hern¨¢ndez-Orallo. ¡°Basta con adaptarlo para poder ser por ejemplo un yihadista con un buen dataset. Es algo que iba a pasar. Los que hablaban de limitar la IA generativa con c¨®mputos o par¨¢metros, no entienden el ritmo del cambio en inform¨¢tica¡±. Otro modo de superar esos filtros es usar la API, el puente que permite a dos programas hablar directamente entre ellos. As¨ª, por ejemplo, EL PA?S ha logrado que la compa?¨ªa china realice la ilustraci¨®n que encabeza este art¨ªculo o esta otra de manifestantes en Tiananm¨¦n:

Aunque la eficacia de DeepSeek ha sorprendido mucho, su uso sigue teniendo alguna limitaci¨®n pr¨¢ctica m¨¢s all¨¢ de la censura. Por ejemplo, su b¨²squeda en web de un resultado de la liga espa?ola de este fin de semana no da ning¨²n resultado tras varios minutos de espera. ChatGPT da el resultado y los goleadores sin problema. Entre los usuarios, sin embargo, el veredicto a favor de DeepSeek es bastante consistente debido a sus logros por un coste mucho menor que los modelos tradicionales de Silicon Valley. En foros de Reddit, los hilos ¡°DeepSeek V3 es absolutamente sorprendente¡± y ¡°DeepSeek V3 es incre¨ªble¡± tienen una cantidad de votos y comentarios similar. Las versiones sobre su eficacia y errores a la hora de programar se siguen discutiendo, pero acaba por emerger la idea de que por su precio de uso DeepSeek es imbatible.

Sea como sea, DeepSeek sigue pensando que el presidente espa?ol, Pedro S¨¢nchez, lleva barba de vez en cuando, una confusi¨®n que cre¨® este peri¨®dico con un art¨ªculo sobre una IA de Microsoft en 2023.

El cambio de perspectiva parece significativo y sin vuelta atr¨¢s, seg¨²n varios expertos consultados por este peri¨®dico: ¡°Una cosa curiosa es que parece que aplicar as¨ª el aprendizaje por refuerzo ya se hab¨ªa intentado muchas veces antes, y no est¨¢ claro por qu¨¦ ahora funciona y antes no¡±, dice Julio Gonzalo, catedr¨¢tico de la UNED. ¡°Quiz¨¢s es simplemente porque se aplica sobre modelos mucho mejores¡±.

Este paso que ha dado DeepSeek es solo un reto temporal para Silicon Valley: ¡°Puedes tener un sistema superpotente corriendo en tu port¨¢til¡±, dice Hern¨¢ndez-Orallo. ¡°Ahora imagina lo que puede hacer una Big Tech con esa tecnolog¨ªa y 100 veces m¨¢s c¨®mputo. O unos hackers en Bielorrusia con un pu?ado de tarjetas gr¨¢ficas de gamer o m¨¢s potentes del mercado negro. Este a?o va a ser la bomba¡±, a?ade.