Medir el progreso de la seguridad de la IA es una pregunta que mucha gente se está haciendo. 1. La mejor medida es la cantidad de recompensas ganadas, junto con alguna forma de medir el impacto de los errores. Algunas tablas de clasificación de recompensas son basadas en puntos como HackerOne; otras son basadas en pagos, ambas son útiles. Si tu herramienta no puede encontrar críticos en vivo o 0 días, es inútil. 2. Comparación lado a lado con una auditoría reciente. ¿Qué % de Críticos / Altos / Medios fueron encontrados por la herramienta de IA? No uses un repositorio público antiguo con una auditoría publicada porque a menudo está en el conjunto de entrenamiento. 3. Los conjuntos de datos abiertos no son efectivos para la evaluación comparativa. Es fácil alcanzar el máximo con esos. Se ve mucho con los modelos de frontera; el modelo con la mejor evaluación no es necesariamente el que mejor funciona. Personalmente, creo que la mejor medida es cualitativa. Ejecuta la herramienta en una base de código que sabes que tiene errores conocidos: ¿te gustan los hallazgos que ves de la herramienta de IA, te gusta la calidad del informe? La mejor herramienta producirá informes que parecen indistinguibles de una revisión manual.