Connect with us

Tankeledere

Styringsgapet: Hvorfor AI-regulering alltid vil være etter teknologien

mm
Published
Updated

Innovasjon utvikler seg i maskinens hastighet, mens styring beveger seg i menneskets hastighet. Ettersom AI-tilpasningen vokser eksponentielt, er reguleringen etter, noe som er ganske typisk når det gjelder teknologi. Verden over, regjeringer og andre enheter kjemper for å regulere AI, men fragmenterte og uegne tilnærminger er vanlige.

Del av utfordringen er at det ikke finnes noen slik ting som apolitisk teknisk design. Det finnes en rekke reguleringer og forslag, fra Den europeiske unions AI-akt til USAs reguleringssandkasser, hver med sin egen filosofi. Mens AI-styring i seg selv følger innovasjon, er den virkelige utfordringen å håndtere sikkerhet og politikk ansvarlig innenfor denne forsinkelsen.

Naturen til gapet: Innovasjon først, tilsyn senere

Reguleringsforsinkelse er en uunngåelig biprodukt av teknologisk fremgang. For eksempel, utviklet Henry Ford ikke Model T med en primær fokus på vegsikkerhet og vegregler. Reguleringsmønster følger historisk innovasjon; nylige eksempler inkluderer dataprivacy, blockchain og sosiale medier. AI sin raske utvikling overstiger policydannelse og gjennomføring. Med andre ord, har vognen vært foran hesten i en stund.

Del av utfordringen er at politikere ofte reagerer på skade i stedet for å forutse risiko, noe som skaper sykluser av reaktiv styring. Problemet er ikke forsinkelsen i seg selv, men mangelen på adaptive mekanismer for å holde tritt med nye trusselmodeller, og mangelen på vilje til å kompromittere en konkurransefordel for sikkerhets skyld. Det er et “kappløp til bunnen” scenario; vi eroderer vår egen kollektive sikkerhet for lokal konkurransefordel.

Globalt patchwork av AI-styring representerer fragmenterte filosofier

De eksisterende store AI-styrings tilnærminger i verden varierer stort.

I EU, AI-akten som ble introdusert i fjor, er veldig mye etikk- og risikobasert. AI-bruk vurderes etter risikonivå, med noen som anses som uakseptable og derfor forbudte risikoer. USA, på den andre siden, har tatt en mer regulerings-sandkasse-modell som betoner innovasjonsfleksibilitet. Noen kan beskrive det som en utskjæring for innovasjon, mens kritikere kan kalle det en blank check.

Det finnes også Hiroshima-prosessen, som inneholder global koordineringshensikt, men begrenset oppfølging; hver G7-nasjon er fortsatt fokusert på domestic AI-dominans.

I USA, er saken i stor grad blitt overlatt til delstatene, noe som effektivt sikrer en mangel på effektiv regulering. Den føderale regjeringen gjør dette av og til nettopp på grunn av hvor ueffektivt det kan være. Delstatene skaper nye sandkasser for å lokke til seg teknologiselskaper og investeringer, men det er usannsynlig at det vil være noen meningsfull regulering på delstatsnivå; bare unntak gitt.

Storbritannia har vært i en domestic og internasjonal kamp for å etablere seg som hardt uavhengig etter Brexit. Gjennom deregulering og regjeringens “Leveling Up”-skjema, er introduksjonen av reguleringssandkasser ingen overraskelse. Storbritannias regjering vil at Storbritannia skal være en dominant AI-supermakt for både intern og ekstern politisk fordel og stabilitet.

EU fokuserer mer på forbrukersikkerhet, men også på styrken til det felles markedet. Dette har mening, gitt EUs historie med patchwork-regulering. Felles overholdelse, normer og grenseoverskridende handel er nøkkel til å gjøre EU til det det er. De trenger likevel reguleringssandkasser, men også at hver medlemsstat må ha en i drift samme dato.

Disse er bare noen få slike reguleringer, men argumenterbart de mest fremtredende. Hovedpoenget er at det finnes uensartede rammer som mangler felles definisjoner, gjennomføringsmekanismer og grenseoverskridende samarbeid. Dette etterlater gap for angripere å utnytte.

Den politiske naturen til protokoller

Ingen AI-regulering kan noen gang være virkelig nøytral; hver designvalg, vegger og regulering reflekterer underliggende regjerings- eller korporative interesser. AI-regulering har blitt et geopolitisk verktøy; nasjoner bruker det til å sikre økonomisk eller strategisk fordel. Chip-eksportkontroller er et nåværende eksempel; de tjener som indirekte AI-styring.

Den eneste reguleringen som effektivt er introdusert så langt, har vært for å hemme en marked. Den globale kappløpet for AI-overlegenhet holder styring som et mekanisme for konkurranse i stedet for samarbeidende sikkerhet.

Sikkerhet uten grenser, men styring med dem

Det store torne problemet her er at AI-aktiverte trusler overstiger grenser mens regulering forblir innenfor. I dag inkluderer de raskt utviklende truslene både angrep på AI-systemer og angrep som bruker AI-systemer. Disse truslene krysser jurisdiksjoner, men regulering forblir isolert. Sikkerhet blir isolert i en hjørne mens truslene krysser hele internettet.

Vi begynner allerede å se misbruk av legitime AI-verktøy av globale trusselaktører som utnytter svake sikkerhetskontroller. For eksempel, har det vært sett ondsinnet aktivitet med bruk av AI-nettverkstverktøy som er mer som nettverkstklonere og kan lett misbrukes til å spinne opp phishing-infrastruktur. Disse verktøyene har blitt brukt til å etterligne innloggingsider for alt fra populære sosiale medietjenester til nasjonale politi-myndigheter

Før styringsrammeverk reflekterer AI sin grenseoverskridende struktur, vil forsvarerne forbli begrenset av fragmenterte lover.

Fra reaktiv regulering til proaktivt forsvar

Reguleringsforsinkelse er uunngåelig, men stagnasjon ikke. Vi trenger adaptive, prediktive styring med rammer som utvikler seg med teknologien; det handler om å gå fra reaktiv regulering til proaktivt forsvar. Ideelt sett ville dette se ut som:

  • Utvikling av felles internasjonale standarder for AI-risikoklassifisering.
  • Utvidet deltakelse i standardsettning utover store regjeringer og korporasjoner. Internett-styring har søkt (med blandet suksess) å bruke en multistakeholder-modell over en multilateral en. Selv om det er ufullkomment, har det hatt en enorm innvirkning på å gjøre internett til et verktøy for alle og minimere sensur og politiske nedtak.
  • Fremme av mangfold i tanke i styring.
  • En mekanisme for hendelsesrapportering og gjennomsiktighet. En mangel på reguleringer vil ofte også bety en mangel på rapporteringskrav. Det er usannsynlig at det vil være et krav om å informere offentligheten om skade fra feil eller designvalg innenfor reguleringssandkasser i nær fremtid.

Mens styringsgapet aldri vil forsvinne, kan samarbeidende, gjennomsiktige og inklusive rammer forhindre at det blir en permanent sårbarhet i global sikkerhet.

mm

Ginny Spicer er en Cyber Threat Analyst hos Netcraft, der hun sporer nye trusler og kampanjer. Hennes bakgrunn er i nettverksanalyse og nasjonal trussel forskning. Hun er 2026 president for HTCIA's Silicon Valley kapittel, en styremedlem for Deep Packet Inspection Consortium, og en av Internet Society's 2025 ungdoms ambassadører.