Tankeledare

Styrningsgapet: Varför AI-reglering alltid kommer att ligga efter

mm
Published
Updated

Innovation utvecklas i maskinens takt, medan styrning sker i mänsklig takt. Allt eftersom AI-användningen växer exponentiellt, ligger regleringen efter, vilket är ganska typiskt när det gäller teknologi. Världen över kämpar regeringar och andra enheter för att reglera AI, men fragmenterade och ojämna tillvägagångssätt förekommer.

En del av utmaningen är att det inte finns någon sådan sak som apolitisk teknikutveckling. Det finns ett antal regler och förslag, från EU:s AI-lag till USA:s reglerings砂boxar, var och en med sin egen filosofi. Medan AI-styrning ofta följer innovation, är den verkliga utmaningen att hantera säkerhet och politik på ett ansvarsfullt sätt inom ramen för denna fördröjning.

Styrningsgapets natur: Innovation först, tillsyn senare

Regleringsfördröjning är en oundviklig biprodukt av teknologisk utveckling. Till exempel utvecklade Henry Ford inte Modell T med fokus på trafiksäkerhet och vägregler. Regleringsmönster har historiskt följt innovation; nyliga exempel inkluderar dataskydd, blockkedja och sociala medier. AI:s snabba utveckling överträffar policybildning och verkställighet. Med andra ord har vagnen varit före hästen under en tid.

En del av utmaningen är att beslutsfattare ofta reagerar på skada snarare än att förutse risk, vilket skapar cykler av reaktiv styrning. Problemet är inte fördröjningen i sig, utan snarare bristen på anpassningsbara mekanismer för att hålla jämna steg med nya hotmodeller, och bristen på vilja att kompromissa med den konkurrenskraftiga kanten för säkerhets skull. Det är ett “race to the bottom”-scenario; vi undergräver vår egen kollektiva säkerhet för lokal konkurrensfördel.

Globalt patchwork av AI-styrning representerar fragmenterade filosofier

De befintliga stora AI-styrnings tillvägagångssätten i världen skiljer sig mycket.

I EU infördes AI-lagen förra året, som är mycket etik- och riskbaserad. AI-användning bedöms enligt risknivå, och vissa anses vara oacceptabla och förbjudna risker. USA har däremot valt en regleringsmodell som betonar innovationsflexibilitet. Vissa kan beskriva det som ett undantag för innovation, medan kritiker kan kalla det en blank check.

Det finns också Hiroshima-processen, som innehåller global samordning, men begränsad uppföljning; varje G7-nation är fortfarande fokuserad på domestic AI-dominans.

I USA har frågan i stor utsträckning lämnats till delstaterna, vilket i praktiken säkerställer en brist på effektiv reglering. Den federala regeringen gör detta ibland just på grund av hur ineffektiv det kan vara. Delstater skapar nya砂boxar för att locka till sig techföretag och investeringar, men det är osannolikt att det kommer att finnas någon meningsfull reglering på delstatsnivå; endast undantag beviljas.

Storbritannien har varit i en domestic och internationell kamp för att etablera sig som oberoende efter Brexit. Genom avreglering och regeringens “Leveling Up”-schema är införandet av reglerings砂boxar ingen överraskning. Storbritanniens regering vill att Storbritannien ska vara en dominant AI-supermakt för både intern och extern politisk fördel och stabilitet.

EU fokuserar mer på konsumenternas säkerhet, men också på styrkan i den gemensamma marknaden. Detta är logiskt, med tanke på EU:s historia med patchwork-reglering. Delad regelefterlevnad, normer och gränsöverskridande handel är nyckeln till att göra EU till vad det är. De kräver fortfarande reglerings砂boxar, men också att varje medlemsstat måste ha en i drift samma datum.

Dessa är bara några sådana regler, men troligen de mest framträdande. Den viktiga punkten är att det finns ojämna ramverk som saknar gemensamma definitioner, verkställighetsmekanismer och gränsöverskridande interoperabilitet. Detta lämnar luckor för angripare att utnyttja.

Protokollens politiska natur

Ingen AI-reglering kan någonsin vara verkligt neutral; varje designval, skydd och reglering reflekterar underliggande regerings- eller företagsintressen. AI-reglering har blivit ett geopolitiskt verktyg; nationer använder det för att säkra ekonomisk eller strategisk fördel. Chipexportkontroller är ett aktuellt exempel; de fungerar som indirekt AI-styrning.

Den enda reglering som effektivt har införts hittills är att medvetet hindra en marknad. Den globala tävlingen om AI-överlägsenhet håller styrningen som ett mekanism för konkurrens snarare än samarbete för säkerhet.

Säkerhet utan gränser, men styrning med dem

Det stora problemet här är att AI-aktiverade hot överstiger gränser medan reglering förblir instängd. Idag inkluderar de snabbt utvecklande hoten både attacker på AI-system och attacker som använder AI-system. Dessa hot korsar jurisdiktioner, men reglering förblir isolerad. Säkerhet blir isolerad i en hörna medan hot korsar hela internet.

Vi börjar redan se missbruk av legitima AI-verktyg av globala hotaktörer som utnyttjar svaga säkerhetskontroller. Till exempel har skadlig aktivitet setts med användningen av AI-skapande verktyg som är mer som sida-klonare och kan lätt missbrukas för att skapa phishing-infrastruktur. Dessa verktyg har använts för att imitera inloggningsidor för allt från populära sociala medietjänster till nationella polismyndigheter

Tills styrningsramverken reflekterar AI:s gränslösa struktur, kommer försvarare att förbli begränsade av fragmenterade lagar.

Från reaktiv reglering till proaktiv försvar

Regleringsfördröjning är oundviklig, men stagnation är det inte. Vi behöver anpassningsbar, prediktiv styrning med ramverk som utvecklas med teknologin; det handlar om att gå från reaktiv reglering till proaktivt försvar. Idealt sett skulle det se ut så här:

  • Utveckling av gemensamma internationella standarder för AI-riskklassificering.
  • Utvidgad deltagande i standardiseringsprocessen utöver stora regeringar och företag. Internetstyrning har sökt (med blandad framgång) att använda en multistakeholdermodell istället för en multilateral. Även om den är ofullständig, har den haft en stor inverkan på att göra internet till ett verktyg för alla och minimera censur och politiska stängningar.
  • Främjande av mångfald i tänkande i styrning.
  • Ett mekanism för incidentrapportering och transparens. En brist på regleringar kommer ofta att innebära en brist på rapporteringskrav. Det är osannolikt att det kommer att finnas ett krav på att informera allmänheten om skador från misstag eller designval inom reglerings砂boxar inom den närmaste framtiden.

Medan styrningsgapet aldrig kommer att försvinna, kan samarbets-, transparenta och inkluderande ramverk förhindra att det blir en permanent sårbarhet i global säkerhet. Det är troligt att det kommer att finnas ett krav på att informera allmänheten om skador från misstag eller designval inom reglerings砂boxar inom den närmaste framtiden. Medan styrningsgapet aldrig kommer att försvinna, kan samarbets-, transparenta och inkluderande ramverk förhindra att det blir en permanent sårbarhet i global säkerhet.

mm

Ginny Spicer Àr en Cyber Threat Analyst pÄ Netcraft, dÀr hon spÄrar nya hotaktörers taktik och kampanjer. Hennes bakgrund Àr inom nÀtverksanalys och nationell hotforskning. Hon Àr 2026 Ärs president för HTCIA:s Silicon Valley-kapitel, styrelseledamot för Deep Packet Inspection Consortium och en av Internet Societys 2025 Youth Ambassadörer.