Connect with us

Styringsgapet: Hvorfor AI-regulering altid vil være efter teknologiens udvikling

Tankeledere

Styringsgapet: Hvorfor AI-regulering altid vil være efter teknologiens udvikling

mm
Published
Updated

Innovation udvikler sig i maskinehastighed, mens styring sker i menneskehastighed. Da AI-adoptionsvæksten eksponentielt øges, er reguleringen bagefter, hvilket er ret typisk, når det kommer til teknologi. Verden over kæmper regeringer og andre enheder for at regulere AI, men fragmenterede og uregelmæssige tilgange er almindelige.

Del af udfordringen er, at der ikke findes noget som apolitisk teknisk design. Der er en række regler og forslag, fra EU’s AI-lov til USA’s reguleringssandkasser, hver med sin egen filosofi. Mens AI-styring i sig selv altid er efter innovation, er den virkelige udfordring at håndtere sikkerhed og politik ansvarligt inden for denne forsinkelse.

Styringsgapets natur: Innovation først, tilsyn senere

Reguleringsforsinkelse er et uundgåeligt biprodukt af teknologisk fremgang. For eksempel var Henry Ford ikke ved at udvikle Model T med fokus på vej sikkerhed og trafikregler. Reguleringsmønstre følger historisk innovation; nyere eksempler omfatter databeskyttelse, blockchain og sociale medier. AI’s hurtige udvikling overhaler politikdannelse og gennemførelse. Med andre ord har vognen været foran hesten i en længe tid.

Del af udfordringen er, at politikere ofte reagerer på skade i stedet for at forudse risiko, hvilket skaber cykler af reaktiv styring. Problemet er ikke forsinkelsen i sig selv, men manglen på tilpasningsmekanismer til at følge med nye trusler, og manglen på vilje til at afbalancere konkurrencefordel til fordel for sikkerhed. Det er et “kapløb til bunden”-scenarie; vi undergraver vores egen kollektive sikkerhed for lokal konkurrencefordel.

Globalt patchwork af AI-styring repræsenterer fragmenterede filosofier

De eksisterende store AI-styrings tilgange i verden varierer meget.

I EU er AI-loven, der blev introduceret sidste år, meget baseret på etik og risiko. AI-brug vurderes efter risikoniveau, og nogle anses for uacceptable og derfor forbudte risici. USA har derimod valgt en mere reguleringsmodel, der fremhæver innovationsfleksibilitet. Nogle kunne beskrive det som en undtagelse for innovation, mens kritikere måske kalder det en blank check.

Der er også Hiroshima-processen, der indeholder global koordinationshensigt, men begrænset gennemførelse; hver G7-nation er stadig fokuseret på domestic AI-dominans.

I USA er sagen overvejende blevet overladt til delstaterne, hvilket effektivt sikrer en mangel på effektiv regulering. Den føderale regering gør dette nogen gange præcis på grund af, hvor ineffektiv det kan være. Delstaterne opretter nye sandkasser for at tiltrække tech-virksomheder og investeringer, men det er usandsynligt, at der vil være nogen meningsfuld regulering på delstatsniveau; kun undtagelser bevilget.

Storbritannien har været i en domestic og international kamp for at etablere sig som stærkt uafhængig efter Brexit. Gennem deregulering og regeringens “Leveling Up”-skema er introduktionen af reguleringssandkasser ikke overraskende. Storbritanniens regering vil gerne have Storbritannien som en dominant AI-supermagt til både intern og ekstern politisk fordel og stabilitet.

EU er mere fokuseret på forbrugersikkerhed, men også på styrken af deres fælles marked. Dette giver mening, givet EU’s historie med patchwork-regulering. Fælles overholdelse, normer og grænseoverskridende handel er nøgle til at gøre EU til, hvad det er. De kræver stadig reguleringssandkasser, men også, at hver medlemsstat skal have en operativ på samme dato.

Disse er kun få af disse regler, men sandsynligvis de mest fremtrædende. Hovedpointen er, at der er forskellige rammer, der mangler fælles definitioner, gennemførelse mekanismer og grænseoverskridende interoperabilitet. Dette efterlader huller for angribere at udnytte.

Protokollernes politiske natur

Ingen AI-regulering kan nogensinde være virkelig neutral; hver designvalg, sikkerhedsforanstaltning og regulering reflekterer underliggende regerings- eller virksomhedsinteresser. AI-regulering er blevet et geopolitisk værktøj; nationer bruger det til at sikre økonomisk eller strategisk fordel. Chip-eksportkontroller er et nuværende eksempel; de fungerer som indirekte AI-styring.

Den eneste regulering, der effektivt er indført hidtil, er til at bevidst hindre en marked. Den globale kapløb om AI-overlegenhet holder styring som en mekanisme for konkurrence i stedet for fælles sikkerhed.

Sikkerhed uden grænser, men styring med dem

Det store problem her er, at AI-aktiverede trusler overskrider grænser, mens regulering forbliver begrænset. I dag omfatter de hurtigt udviklende trusler både angreb på AI-systemer og angreb, der bruger AI-systemer. Disse trusler overskrider jurisdiktioner, men regulering forbliver isoleret. Sikkerhed bliver indespærret i en hjørne, mens truslerne overskrider hele internettet.

Vi begynder allerede at se misbrug af legitime AI-værktøjer af globale trusselsaktører, der udnytter svage sikkerheds kontroller. For eksempel er der set ondsindet aktivitet med brug af AI-siteskabelon-værktøjer, der mere ligner sitesklonere og kan let misbruges til at oprette phishing-infrastruktur. Disse værktøjer er blevet brugt til at efterligne login-sider for alt fra populære sociale medier til nationale politi-myndigheder

Indtil styringsrammerne reflekterer AI’s grænseoverskridende struktur, vil forsvarere forblive begrænsede af fragmenterede love.

Fra reaktiv regulering til proaktiv forsvar

Reguleringsforsinkelse er uundgåelig, men stagnation er det ikke. Vi har brug for tilpasningsdygtig, prædictiv styring med rammer, der udvikler sig med teknologien; det handler om at gå fra reaktiv regulering til proaktiv forsvar. Ideelt set ville dette se ud som:

  • Udvikling af fælles internationale standarder for AI-risikoklassificering.
  • Udvidet deltagelse i standardindstillingen ud over store regeringer og virksomheder. Internetstyring har søgt (med blandede resultater) at bruge en multistakeholder-model i stedet for en multilateral. Selv om det er uperfekt, har det haft en stor indvirkning på at gøre internettet til et værktøj for alle og minimere censur og politisk lukning.
  • Fremme af diversitet i tankegang i styring.
  • En mekanisme for incidentrapportering og gennemsigtighed. En mangel på regler vil ofte også betyde en mangel på rapporteringskrav. Det er usandsynligt, at der vil være et krav om at underrette offentligheden om skader fra fejl eller designvalg inden for reguleringssandkasser i nær fremtid.

Selv om styringsgapet aldrig vil forsvinde, kan samarbejdende, gennemsigtige og inklusive rammer forhindre, at det bliver en permanent sårbarhed i global sikkerhed. Det er sandsynligt, at der vil være et krav om at underrette offentligheden om skader fra fejl eller designvalg inden for reguleringssandkasser i nær fremtid.

mm

Ginny Spicer er en Cyber Threat Analyst hos Netcraft, hvor hun sporer nye trusler og kampagner. Hendes baggrund er i netværksanalyse og nationale trusler. Hun er præsident for HTCIA's Silicon Valley-kapitel i 2026, bestyrelsesmedlem for Deep Packet Inspection Consortium og en af Internet Societys 2025 Youth Ambassadører.