Connect with us

Tankeledere

Styringsgapet: Hvorfor AI-regulering alltid vil være etter teknologien

mm
Published
Updated

Innovasjon utvikler seg i maskinens hastighet, mens styring beveger seg i menneskets hastighet. Ettersom AI-adoptsjon vokser eksponentielt, er reguleringen etter teknologien, noe som er ganske vanlig når det gjelder teknologi. Verden over, regjeringer og andre enheter kjemper for å regulere AI, men fragmenterte og uevensrette tilnærminger er vanlige.

Del av utfordringen er at det ikke finnes noe slikt som apolitisk teknisk design. Det finnes en rekke reguleringer og forslag, fra EU’s AI-lov til USAs reguleringssandkasser, hver med sin egen filosofi. Mens AI-styring i seg selv alltid vil være etter innovasjonen, er den virkelige utfordringen å håndtere sikkerhet og politikk ansvarlig innenfor denne forsinkelsen.

Styringsgapets natur: Innovasjon først, tilsyn senere

Reguleringsforsinkelse er et uunngåelig biprodukt av teknologisk fremgang. For eksempel, var Henry Ford ikke opptatt av vegsikkerhet og vegregler da han utviklet Model T. Reguleringsmønster har historisk fulgt innovasjon; nyere eksempler inkluderer dataprivacy, blockchain og sosiale medier. AI sin raske utvikling overstiger politisk dannelse og gjennomføring. Med andre ord, har vognen vært foran hesten i en stund.

Del av utfordringen er at politikerne ofte reagerer på skade i stedet for å forutse risiko, noe som skaper sykluser av reaktiv styring. Problemet er ikke forsinkelsen i seg selv, men mangelen på adaptive mekanismer for å holde tritt med nye trusler, og mangelen på vilje til å ofre en konkurransefordel for sikkerhets skyld. Dette er et “kappløp til bunnen”-scenario; vi er i ferd med å undergrave vår egen kollektive sikkerhet for lokale konkurransefordeler.

Globalt patchwork av AI-styring representerer fragmenterte filosofier

De eksisterende store AI-styrings tilnærminger i verden varierer mye.

I EU, AI-loven som ble introdusert i fjor, er veldig mye basert på etikk og risiko. AI-bruk vurderes etter risikonivå, og noen anses som uakseptable og derfor forbudt risiko. USA, på den andre siden, har tatt en mer reguleringsmodell som betoner innovasjonsfleksibilitet. Noen kan beskrive det som en unntak for innovasjon, mens kritikere kan kalle det en blank check.

Det finnes også Hiroshima-prosessen, som inneholder global koordineringshensikt, men begrenset oppfølging; hver G7-nasjon er fortsatt fokusert på domestisk AI-dominans.

I USA, er saken i stor grad blitt overlatt til delstatene, noe som effektivt sikrer en mangel på effektiv regulering. Den føderale regjeringen gjør dette av og til nettopp på grunn av hvor ineffektivt det kan være. Delstatene oppretter nye sandkasser for å lokke teknologiselskaper og investeringer, men det er usannsynlig at det vil være noen meningsfull regulering på delstatsnivå; bare unntak gitt.

Storbritannia har vært i en domestisk og internasjonal kamp for å etablere seg som en uavhengig nasjon etter Brexit. Gjennom deregulering og regjeringens “Leveling Up”-plan, er innføringen av reguleringssandkasser ikke overraskende. Storbritannias regjering vil ønske at Storbritannia skal være en dominant AI-supermakt for både intern og ekstern politisk fordel og stabilitet.

EU fokuserer mer på forbrukersikkerhet, men også på styrken til sin fellesmarked. Dette har mening, gitt EU’s historie med patchwork-regulering. Felles overholdelse, normer og grenseoverskridende handel er nøkkel til å gjøre EU til det det er. De trenger likevel reguleringssandkasser, men også at hver medlemsstat må ha en i drift samme dato.

Disse er bare noen få slike reguleringer, men kanskje de mest prominente. Hovedpoenget er at det finnes uensartede rammer som mangler felles definisjoner, gjennomføringsmekanismer og grenseoverskridende samarbeid. Dette etterlater hull for angripere å utnytte.

Protokollenes politiske natur

Ingen AI-regulering kan noen gang være virkelig nøytral; hver designvalg, vakt og regulering reflekterer underliggende regjerings- eller korporative interesser. AI-regulering har blitt et geopolitisk verktøy; nasjoner bruker det til å sikre økonomisk eller strategisk fordel. Chip-eksportkontroller er et nåværende eksempel; de tjener som indirekte AI-styring.

Den eneste reguleringen som effektivt er introdusert så langt, er for å hemme en marked. Den globale kappløpet om AI-overlegenhet holder styring som et konkurranseverktøy i stedet for samarbeidende sikkerhet.

Sikkerhet uten grenser, men styring med dem

Det største problemet her er at AI-aktiverte trusler overstiger grenser, mens regulering forblir innenfor grensene. I dag er de raskt utviklende truslene både angrep på AI-systemer og angrep som bruker AI-systemer. Disse truslene krysser jurisdiksjoner, men regulering forblir isolert. Sikkerhet blir isolert i en hjørne, mens truslene krysser hele internettet.

Vi begynner allerede å se misbruk av legitime AI-verktøy av globale truselaktører som utnytter svake sikkerhetskontroller. For eksempel, har det vært sett ondsinnet aktivitet med bruk av AI-nettverkstverktøy som er mer som nettverksklonere og kan lett misbrukes til å spinne opp phishing-infrastruktur. Disse verktøyene har blitt brukt til å etterligne innloggingsider for alt fra populære sosiale medietjenester til nasjonale politiorganisasjoner

Før styringsrammene reflekterer AI sin grenseoverskridende struktur, vil forsvarerne forbli begrenset av fragmenterte lover.

Fra reaktiv regulering til proaktiv forsvar

Reguleringsforsinkelse er uunngåelig, men stagnasjon er det ikke. Vi trenger adaptive, prediktive styring med rammer som utvikler seg med teknologien; det handler om å gå fra reaktiv regulering til proaktivt forsvar. Ideelt sett, ville dette se ut som:

  • Utvikling av felles internasjonale standarder for AI-risikoklassifisering.
  • Utvidet deltakelse i standardsetting utover store regjeringer og korporasjoner. Internettstyring har søkt (med blandet suksess) å bruke en multistakeholdermodell i stedet for en multilateral en. Selv om den er ufullkommen, har den hatt en stor innvirkning på å gjøre internettet til et verktøy for alle og minimere censur og politiske nedleggelse.
  • Fremme av mangfold i tankegang i styring.
  • En mekanisme for hendelsesrapportering og gjennomsiktighet. En mangel på reguleringer vil ofte også bety en mangel på rapporteringskrav. Det er usannsynlig at det vil være et krav om å informere offentligheten om skade fra feil eller designvalg innenfor reguleringssandkasser i nær fremtid.

Selv om styringsgapet aldri vil forsvinne, kan samarbeidende, gjennomsiktige og inklusive rammer forhindre at det blir en permanent sårbarhet i global sikkerhet. ly at det vil være et krav om å informere offentligheten om skade fra feil eller designvalg innenfor reguleringssandkasser i nær fremtid. Mens styringsgapet aldri vil forsvinne, kan samarbeidende, gjennomsiktige og inklusive rammer forhindre at det blir en permanent sårbarhet i global sikkerhet.

mm

Ginny Spicer er en Cyber Threat Analyst hos Netcraft, der hun sporer nye trusler og kampanjer. Hennes bakgrunn er i nettverksanalyse og nasjonal trussel forskning. Hun er 2026 president for HTCIA's Silicon Valley kapittel, en styremedlem for Deep Packet Inspection Consortium, og en av Internet Society's 2025 ungdoms ambassadører.