Como suele ocurrir con la regulación tecnológica, creo que muchos proyectos de ley y borradores sobre IA ya están obsoletos y rezagados respecto a la tecnología. Suposiciones de hace unos años llevaron a dependencias de camino que son difíciles de desviar. Muchos avances en IA hoy provienen del post-entrenamiento, andamiaje, uso de herramientas y escalado de computación de inferencia: esto significa que, incluso si los modelos mejoran con los años, no son solo los laboratorios quienes empujan la frontera de lo que es efectivamente posible, sino muchas empresas innovando sobre los modelos. Además, muchas mitigaciones como filtros, clasificadores, mecanismos de supervisión, etc., no se aplican al modelo, sino al andamiaje del software; como resultado, muchas propuestas legales que esperan que los daños se mitiguen a nivel del modelo no son muy efectivas. La gente se dio cuenta de esto con el sesgo hace unos años, y ahora nuevamente con muchas otras preocupaciones. Para mí, estos desarrollos confirman que (a) primero, la carga debería estar en demostrar que las leyes existentes y la negligencia son insuficientes - muy pocos lo hacen; (b) cuando no lo son y existen vacíos, es mejor optar por una regulación basada en resultados para permitir que una cadena compleja de actores negocie las mitigaciones/intervenciones apropiadas; (c) hacerlo requerirá experiencia en el dominio y considerar las leyes específicas del sector existentes, códigos, etc. - es decir, no algunos requisitos horizontales abstractos; (d) la seguridad del peso del modelo, evaluaciones que sirvan como caveat emptor, y requisitos básicos de transparencia podrían seguir teniendo sentido a nivel del modelo; (e) necesitas reguladores capaces que entiendan cómo se utiliza la IA en sus verticales lo suficientemente bien. Pero sí, no vas a 'mitigar' las amenazas cibernéticas ofensivas o el fraude asistido por IA ajustando el modelo. Los enfoques basados en entidades tampoco resuelven nada de esto y solo asumen que puedes reducir el riesgo (y las mitigaciones asociadas) a unos pocos mismos actores, al estilo de la UE. El problema es que la solución apropiada no es particularmente atractiva, y básicamente no viene con la satisfacción de "hemos abordado todo tipo de riesgos a través de una única intervención a gran escala." Y que hacerlo de esta manera requerirá enfrentar la realidad de la sobrerregulación en muchos sectores, y la escasez en otros (ciber, biológico? depende de tu modelo de amenaza específico).