OpenAI mungkin telah melanggar undang-undang keselamatan AI baru di California dengan merilis model coding terbarunya, menurut tuduhan dari kelompok pengawas AI.
Pelanggaran ini berpotensi membuka perusahaan ke denda jutaan dolar, dan kasus ini bisa menjadi tes pertama yang menetapkan preseden untuk ketentuan undang-undang baru tersebut.
Juru bicara OpenAI membantah posisi kelompok pengawas itu, mengatakan kepada Fortune bahwa perusahaan “yakin dengan kepatuhan kami terhadap hukum keselamatan frontier, termasuk SB 53.”
Kontroversi ini berpusat pada GPT-5.3-Codex, model coding terbaru OpenAI yang dirilis pekan lalu. Model ini adalah bagian dari upaya OpenAI untuk merebut kembali kepemimpinannya dalam coding berbasis AI dan, menurut data benchmark yang dirilis OpenAI, menunjukkan kinerja yang jauh lebih tinggi pada tugas coding dibandingkan versi model sebelumnya dari OpenAI maupun pesaing seperti Anthropic. Namun, model ini juga menimbulkan kekhawatiran keamanan siber yang belum pernah terjadi sebelumnya.
CEO Sam Altman mengatakan model ini adalah yang pertama mencapai kategori risiko “tinggi” untuk keamanan siber dalam Kerangka Kesiapsiagaan perusahaan, sebuah sistem klasifikasi risiko internal yang digunakan OpenAI untuk rilis model. Ini berarti OpenAI pada dasarnya mengklasifikasikan model ini sebagai cukup mampu dalam coding untuk berpotensi memfasilitasi kerusakan siber yang signifikan, terutama jika diotomatisasi atau digunakan dalam skala besar.
Kelompok pengawas AI The Midas Project mengklaim OpenAI gagal mematuhi komitmen keselamatannya sendiri—yang sekarang mengikat secara hukum di bawah undang-undang California—dengan peluncuran model berisiko tinggi yang baru ini.
SB 53 California, yang mulai berlaku pada Januari, mewajibkan perusahaan AI besar untuk menerbitkan dan mematuhi kerangka keselamatan mereka sendiri, merinci bagaimana mereka akan mencegah risiko katastropik—yang didefinisikan sebagai insiden yang menyebabkan lebih dari 50 kematian atau kerusakan properti senilai $1 miliar—dari model mereka. Undang-undang ini juga melarang perusahaan-perusahaan ini membuat pernyataan menyesatkan tentang kepatuhan.
Kerangka keselamatan OpenAI memerlukan pengamanan khusus untuk model dengan risiko keamanan siber tinggi yang dirancang untuk mencegah AI bertindak di luar kendali dan melakukan hal-hal seperti bertindak menipu, menyabotase penelitian keselamatan, atau menyembunyikan kemampuannya yang sebenarnya. Namun, perusahaan tidak menerapkan pengamanan ini sebelum meluncurkan GPT-5.3-Codex meskipun menyatakan model itu “berisiko tinggi,” menurut The Midas Project.
OpenAI mengatakan interpretasi The Midas Project terhadap kata-kata dalam Kerangka Kesiapsiagaannya salah, meskipun perusahaan juga mengatakan bahwa kata-kata dalam kerangka itu “ambigu” dan berusaha menjelaskan maksud kata-kata dalam kerangka itu dengan pernyataan dalam laporan keselamatan yang dirilis bersama GPT-5.3-Codex. Dalam laporan keselamatan itu, OpenAI mengatakan bahwa pengamanan ekstra hanya diperlukan ketika risiko siber tinggi terjadi “bersamaan dengan” otonomi jangka panjang—kemampuan untuk beroperasi secara mandiri dalam periode yang lama. Karena perusahaan percaya GPT-5.3-Codex tidak memiliki otonomi ini, mereka mengatakan pengamanan tidak diperlukan.
“GPT-5.3-Codex menyelesaikan proses pengujian dan tata kelola penuh kami, seperti dirinci dalam kartu sistem yang dirilis publik, dan tidak menunjukkan kemampuan otonomi jangka panjang berdasarkan evaluasi proksi dan dikonfirmasi oleh penilaian ahli internal, termasuk dari Grup Penasihat Keselamatan kami,” kata juru bicara itu. Perusahaan juga telah mengatakan, bagaimanapun, bahwa mereka tidak memiliki cara definitif untuk menilai otonomi jangka panjang sebuah model dan karenanya mengandalkan tes yang mereka yakini dapat bertindak sebagai proksi untuk metrik ini sambil berupaya mengembangkan metode evaluasi yang lebih baik.
Namun, beberapa peneliti keselamatan membantah interpretasi OpenAI. Nathan Calvin, wakil presiden urusan negara dan penasihat umum di Encode, mengatakan dalam sebuah posting di X: “Alih-alih mengakui bahwa mereka tidak mengikuti rencana mereka atau memperbaruinya sebelum rilis, sepertinya OpenAI mengatakan bahwa kriterianya ambigu. Dari membaca dokumen terkait … itu tidak terlihat ambigu bagi saya.”
The Midas Project juga mengklaim bahwa OpenAI tidak dapat membuktikan secara definitif bahwa model itu tidak memiliki otonomi yang diperlukan untuk tindakan ekstra, karena model sebelumnya perusahaan yang kurang canggih sudah memuncaki benchmark global untuk penyelesaian tugas otonom. Kelompok itu berargumen bahwa bahkan jika aturannya tidak jelas, OpenAI seharusnya memperjelasnya sebelum merilis model tersebut.
Tyler Johnston, pendiri Midas Project, menyebut potensi pelanggaran itu “sangat memalukan mengingat betapa rendahnya standar minimum yang ditetapkan SB 53: pada dasarnya hanya mengadopsi rencana keselamatan sukarela pilihan Anda dan berkomunikasi dengan jujur tentang itu, mengubahnya sesuai kebutuhan, tetapi tidak melanggar atau berbohong tentang itu.”
Jika penyelidikan dibuka dan tuduhan terbukti akurat, SB 53 mengizinkan hukuman substansial untuk pelanggaran, berpotensi mencapai jutaan dolar tergantung pada tingkat keparahan dan durasi ketidakpatuhan. Seorang perwakilan dari Kantor Jaksa Agung California mengatakan kepada Fortune bahwa departemen mereka “berkomitmen untuk menegakkan hukum negara kami, termasuk yang diberlakukan untuk meningkatkan transparansi dan keselamatan di ruang AI yang sedang berkembang.” Namun, mereka mengatakan departemen tidak dapat berkomentar, bahkan untuk mengonfirmasi atau menyangkal, penyelidikan potensial atau yang sedang berlangsung.
Diperbarui, 10 Feb: Kisah ini telah diperbarui untuk memindahkan pernyataan OpenAI bahwa mereka yakin mematuhi undang-undang AI California lebih tinggi dalam kisah ini. Judulnya juga telah diubah untuk memperjelas bahwa OpenAI membantah tuduhan dari kelompok pengawas. Selain itu, kisah ini telah diperbarui untuk memperjelas bahwa pernyataan OpenAI dalam laporan keselamatan GPT-5.3-Codex dimaksudkan untuk mengklarifikasi apa yang perusahaan katakan sebagai bahasa yang ambigu dalam Kerangka Kesiapsiagaannya.