Som vanlig med teknologiregulering mener jeg at mange AI-lovforslag og lovutkast allerede er utdaterte og ligger bak teknologien. Antakelser fra noen år siden førte til stiavhengigheter som er vanskelige å avvike fra. Mange fremskritt innen AI i dag kommer fra ettertrening, stillasbygging, verktøybruk og skalering av inferensberegning: dette betyr at selv om modellene forbedres over årene, er det ikke bare laboratoriene som utfordrer grensen for hva som faktisk er mulig, men mange selskaper som innoverer på modellene. I tillegg anvendes mange avbøtende tiltak som filtre, klassifikatorer, tilsynsmekanismer osv. ikke på modellen, men på programvarens stillaser – som et resultat er mange lovforslag som forventer skader på modellnivå ikke særlig effektive. Folk innså dette med skjevhet for noen år siden, og nå igjen med mange andre bekymringer. For meg bekrefter disse utviklingene at (a) først bør bevisbyrden ligge på å vise at eksisterende lover og uaktsomhet er utilstrekkelige – svært få gjør dette; (b) når de ikke er det og det finnes hull, er det bedre å bruke resultatbasert regulering for å la en kompleks kjede av aktører forhandle frem passende tiltak/tiltak; (c) dette vil kreve domeneekspertise og vurdering av eksisterende sektorspesifikke lover, koder osv. – altså ikke noen abstrakte horisontale krav; (d) modellvektsikkerhet, evalueringer som fungerer som forbeholdsmottaker, og grunnleggende krav til åpenheten kan fortsatt være fornuftig på modellnivå; (e) du trenger dyktige regulatorer som forstår hvordan KI brukes i deres bransjer dypt nok. Men ja, du kommer ikke til å 'dempe' offensive cybersikkerhetstrusler eller AI-assistert svindel ved å justere modellen. Entitetsbaserte tilnærminger løser heller ikke dette og antar bare at du kan begrense risikoen (og tilhørende tiltak) til noen få aktører, EU-stil. Problemet er at den riktige løsningen ikke er spesielt sexy, og i bunn og grunn ikke gir tilfredsstillelsen av «vi har håndtert alle slags risikoer gjennom én enkelt storskala intervensjon.» Og at det å gjøre det på denne måten vil kreve at man konfronterer realiteten med overregulering i mange sektorer, og mangel i andre (cyber, bio? avhenger av din spesifikke trusselmodell).