1. Las partes aceptan la verificación continua in situ del uso total de chips por parte de la AISI en los CCC declarados. La Secretaría Técnica determinará y actualizará los métodos de verificación, de conformidad con el proceso descrito en el artículo III. El Consejo Ejecutivo puede vetar dichas decisiones con una mayoría de dos tercios. Estos métodos pueden incluir, entre otros:
   1. Inspectores presenciales
   2. Cámaras antimanipulación
   3. Mediciones de características energéticas, térmicas y de redes
   4. Mecanismos en el chip habilitados por hardware, incluidos los mecanismos retroadaptados
   5. Declaración de las cargas de trabajo y operaciones de los chips por el operador del CCC
   6. Reejecución de las cargas de trabajo declaradas en una instalación de la AISI para confirmar la fidelidad de las declaraciones
2. Esta verificación tendrá como objetivo garantizar que los chips no se utilicen para actividades prohibidas, como el entrenamiento de IA a gran escala que se describe en el artículo IV.
3. En los casos en que la AISI determine que los métodos de verificación actuales no pueden proporcionar garantías suficientes de que el hardware de IA no se utilice para actividades prohibidas, este deberá apagarse y su inactividad deberá verificarse continuamente por inspectores presenciales u otros mecanismos de verificación aprobados por la AISI.
4. La AISI podrá imponer diversas restricciones sobre el funcionamiento de los chips para garantizar la debida verificación. Estas restricciones podrán incluir, entre otras, las siguientes:
   1. Restricciones en el ancho de banda y la latencia entre diferentes chips, o entre los chips y la red del centro de datos, para distinguir la inferencia permitida del entrenamiento prohibido.
   2. Restricciones en el número o la velocidad de FLOP/s, o en el ancho de banda de la memoria, a los que pueden operar los chips, con el fin de distinguir la inferencia permitida del entrenamiento prohibido u otras cargas de trabajo prohibidas.
   3. Restricciones a la precisión numérica de las operaciones de los chips, con el fin de diferenciar las cargas de trabajo de IA de las que no son de IA.
5. La AISI abordará la verificación de los diferentes CCC de manera diferenciada, en función de su probabilidad de uso para actividades de IA y de su importancia para la seguridad nacional.
6. La AISI liderará la investigación y la ingeniería para desarrollar mejores tecnologías para la supervisión y verificación del uso de chips. Las Partes apoyarán estos esfuerzos [se proporcionarán más detalles en un anexo].

Notas

Los países querrán asegurarse de que los chips de IA existentes no se utilicen para realizar entrenamientos de IA peligrosos. También habrá razones legítimas para utilizar estos chips para ejecutar servicios de IA existentes, como (versiones ya existentes de) ChatGPT. Para hacer frente a esta tensión, la AISI puede aplicar medidas de verificación a los chips de IA para garantizar que no se empleen en actividades prohibidas.

Esto funciona, entonces, como un incentivo positivo para adherirse a este tratado: se podrán seguir utilizando los chips de IA, siempre y cuando la supervisión pueda verificar que no se estén utilizando de forma que infrinja el tratado (como el entrenamiento de IA a gran escala). Aunque la supervisión continua de la AISI pueda parecer poco deseable, creemos que es la mejor vía disponible. Dado el objetivo de evitar el entrenamiento de IA a gran escala, hay dos enfoques principales: garantizar que nadie tenga el hardware necesario (es decir, que no puedan existir chips de IA) o garantizar que el hardware existente no se utilice para el entrenamiento a gran escala (es decir, rastrear los chips y verificar su uso, tal y como se describe en los artículos V, VI y VII). Esto es conceptualmente análogo a las salvaguardias del OIEA: para que a un país sin armas nucleares se le permita tener materiales e instalaciones nucleares, es necesario que el OIEA inspeccione y garantice que su uso se destina únicamente a fines pacíficos.

Para que la verificación del uso de chips sea eficaz, la AISI necesita mecanismos que le den garantías creíbles de que los chips de IA no se utilizan de formas prohibidas por este tratado. La forma más fácil de hacerlo es exigir que todos los chips estén apagados, pero esto no permitiría a las partes beneficiarse del uso de los chips para fines no peligrosos. La verificación también podría facilitarse mediante medios tecnológicos, con la salvedad de que la tecnología actual probablemente contiene vulnerabilidades de seguridad que permitirían a los propietarios de los chips eludir las medidas de supervisión. Dado el estado incipiente de la tecnología de verificación, es probable que esta requiera una supervisión continua in situ o el apagado de los chips hasta que los medios tecnológicos maduren. Sin embargo, una vez que la tecnología de supervisión haya madurado, unos sólidos mecanismos de gobernanza basados en hardware podrían permitir la supervisión remota de los chips con total confianza.^*

Diversas restricciones y límites podrían facilitar la supervisión del uso de los chips. Las diferentes cargas de trabajo de IA, como el entrenamiento frente a la inferencia, difieren en sus requisitos técnicos, y estas diferencias podrían servir de base para la verificación (si son lo suficientemente sólidas).

Por ejemplo, un mecanismo de verificación podrían ser los límites de interconexión: restringir la cantidad de comunicación que un conjunto de chips puede tener con el mundo exterior usando cables de red de bajo ancho de banda. En la práctica, esto consiste en tomar un pequeño conjunto de chips —digamos, 8 H100— y limitar su comunicación externa a una cantidad tan pequeña que los chips solo puedan hacer inferencias de forma eficiente, pero no puedan usarse de forma eficiente para el entrenamiento a gran escala. Esto funciona porque (según los algoritmos de 2025) el entrenamiento tiene requisitos de comunicación mucho más elevados que la inferencia. Este mecanismo sería útil si ejecutar las IA existentes es aceptable, pero entrenar nuevas IA no lo es.

Hay varios matices en estos mecanismos y muchos otros mecanismos de verificación potenciales, por lo que remitimos a los lectores curiosos a la bibliografíaprevia sobre el tema. Este artículo encomienda a la AISI el desarrollo de mejores mecanismos de verificación y la implementación de varios mecanismos, definidos en términos generales. Creemos que esta flexibilidad es necesaria debido a la rápida evolución del ámbito de la IA y a la dificultad de predecir los avances que podrían alterar los métodos de verificación. La investigación sobre la verificación de la IA también se encuentra en una fase incipiente, y se necesitan más avances antes de que la AISI disponga de un conjunto sólido de herramientas.

El artículo IV prohíbe el entrenamiento de IA a gran escala. Si aún no se han entrenado IA altamente capaces (y, por lo tanto, peligrosas) cuando la verificación entre en vigor, esta podría centrarse específicamente en el entrenamiento. Sin embargo, si ya se han creado IA suficientemente capaces, podría ser necesario supervisar adicionalmente si se están implementando en chips de IA o qué actividades están realizando estas IA; la verificación ya no puede centrarse en evitar el entrenamiento. La verificación sería mucho más difícil si se hubieran creado sistemas de IA suficientemente peligrosos (por ejemplo, aquellos que podrían contribuir sustancialmente a la I+D en IA), ya que verificar que no están realizando actividades prohibidas sería más difícil que verificar que no se está llevando a cabo un entrenamiento de IA a gran escala. En concreto, probablemente será más fácil diferenciar entre el entrenamiento y la ejecución de IA que diferenciar entre la ejecución de IA en un tipo de tarea y la ejecución de IA en otro tipo de tarea. Debido a esta diferencia en la dificultad de la verificación, la labor de este tratado sería mucho más fácil de realizar en un mundo en el que el progreso de las capacidades de la IA se detuviera pronto. Si el progreso de las capacidades de la IA continúa, la verificación del uso de chips podría requerir más trabajo, gastos y restricciones.

Del mismo modo, podría ser deseable supervisar el contenido de la inferencia de la IA para garantizar que las IA no se utilicen con fines perjudiciales. Muchas empresas de IA ya aplican esta supervisión de la inferencia, por ejemplo, para detectar si los usuarios intentan utilizar la IA para fabricar armas biológicas. Podría ser deseable aplicar este tipo de supervisión a nivel mundial, siempre que se puedan mitigar los riesgos de privacidad y seguridad pertinentes.

El párrafo 5 de este artículo permite a la AISI llevar a cabo diferentes métodos de verificación para diferentes CCC. Una de las razones de esta distinción es práctica: los diferentes CCC requerirán diferentes enfoques de verificación para establecer una confianza justificada en que no se están utilizando para el desarrollo de IA peligrosa. Por ejemplo, los grandes centros de datos que anteriormente se utilizaban para el entrenamiento de IA de vanguardia tendrían la mayor capacidad de contribuir al entrenamiento prohibido, por lo que podrían requerir una mayor supervisión.

En segundo lugar, la diferenciación de los enfoques de verificación haría que el tratado fuera más aceptado, ya que requeriría una supervisión menos invasiva para los CCC sensibles. Por ejemplo, las agencias de inteligencia o los ejércitos no quieren que la AISI supervise sus centros de datos, y esta disposición ayuda a lograr un equilibrio. Seguiría siendo necesario verificar que estos centros de datos no se utilizan para actividades peligrosas de IA, y la AISI colaboraría con estos grupos para asegurarse de que puede obtener la información que necesita, a la vez que satisface las necesidades de privacidad y seguridad de los propietarios de los CCC. Por otra parte, permitir diferentes protocolos de verificación podría perjudicar la viabilidad del tratado si se considera injusto, especialmente si la toma de decisiones en torno a estos procesos es poco equitativa.

El plan de este tratado consiste en permitir que continúe el uso y la producción de chips. Esto permite que el mundo se beneficie de ellos. Un enfoque alternativo consiste en detener la producción de nuevos chips y/o destruir los que ya existen. Si se destruyeran, a falta de avances algorítmicos, el tiempo de ruptura —el tiempo que transcurre desde que una parte inicia actividades peligrosas hasta que estas tendrían éxito si no se detuvieran— se prolongaría, ya que los actores tendrían que producir primero muchos chips de IA (lo que probablemente sería detectable y podría llevar años o décadas, dependiendo del estado de la cadena de suministro de chips). Por lo tanto, la destrucción de los chips tendría la ventaja significativa de alargar considerablemente los tiempos de ruptura y aumentar la dificultad del desarrollo peligroso de la IA. Sin embargo, también tiene un costo considerable, ya que no permite que el mundo se beneficie de ellos. Dado que creemos que es factible rastrear los chips y verificar su uso, nuestro proyecto de tratado opta por esa vía en lugar de eliminarlos. Pero ambas vías tienen sus ventajas.

Precedentes

En nuestro análisis de los precedentes del artículo VI, describimos la supervisión continua de las antiguas instalaciones de producción de misiles de rango intermedio en virtud del Tratado INF, que, si bien permitía el pesaje y el escaneo no destructivo de los vehículos que salían de las instalaciones, no permitía a los inspectores acceder al interior de los camiones ni a las propias instalaciones. Una supervisión perimetral análoga de los centros de datos puede proporcionar algunas pistas sobre las operaciones a partir del consumo de energía, las emisiones térmicas y el ancho de banda de la red. Sin embargo, para tener una seguridad razonable de que no se están llevando a cabo operaciones de IA restringidas, probablemente será necesaria una combinación de los elementos que enumeramos en el párrafo 1 de nuestro artículo VII, que incluye cámaras a prueba de manipulaciones, mecanismos en el chip habilitados por hardware e inspectores presenciales.

Estas prácticas ya son habituales para el Organismo Internacional de Energía Atómica, que recurre cada vez más a tecnologías de vigilancia ininterrumpida para complementar las inspecciones:

Se recopilan más de un millón de datos cifrados sobre salvaguardias a través de más de 1400 cámaras de vigilancia y 400 sensores de radiación y de otros tipos repartidos por todo el mundo. Más de 23 000 precintos instalados en instalaciones nucleares garantizan la contención de materiales y equipos.

Uno de los métodos utilizados en el marco del START I para verificar el cumplimiento de las características de rendimiento de los misiles fue el intercambio de casi todos los datos de telemetría transmitidos desde los sensores en vuelo durante las pruebas, tal y como se especifica en el protocolo de telemetría, que también exigía a las partes que proporcionaran cualquier equipo de reproducción y la información sobre el formato de los datos necesaria para interpretarlos. Dependiendo de la combinación de métodos de verificación adoptados, una Agencia Internacional de Superinteligencia podría utilizar métodos análogos, basándose en la supervisión ligera que los proveedores de computación en la nube realizan como práctica habitual para recopilar información sobre las cargas de trabajo de los clientes.

La supervisión gubernamental continua de las instalaciones comerciales privadas (como lo son la mayoría de los centros de datos) también tiene numerosos precedentes. La Comisión Reguladora Nuclear de EE. UU., encargada de supervisar la seguridad de los reactores nucleares nacionales, destina dos inspectores residentes a cada central eléctrica comercial de EE. UU., y los productores cárnicos estadounidenses no pueden llevar a cabo operaciones de sacrificio si el personal de inspección del FSIS^† no está presente para supervisarlas.