Comme d'habitude avec la réglementation technologique, je pense que de nombreux projets de loi et lois sur l'IA sont déjà obsolètes et en retard par rapport à la technologie. Des hypothèses d'il y a quelques années ont conduit à des dépendances de chemin dont il est difficile de s'écarter. De nombreux gains en IA aujourd'hui proviennent de l'après-formation, de l'échafaudage, de l'utilisation d'outils et de l'échelle de calcul d'inférence : cela signifie que même si les modèles s'améliorent au fil des ans, ce ne sont pas seulement les laboratoires qui poussent la frontière de ce qui est effectivement possible, mais de nombreuses entreprises qui innovent sur les modèles. De plus, de nombreuses atténuations comme les filtres, les classificateurs, les mécanismes de supervision, etc. ne sont pas appliquées au modèle mais à l'échafaudage logiciel - en conséquence, de nombreuses propositions légales s'attendant à ce que les préjudices soient atténués au niveau du modèle ne sont pas très efficaces. Les gens ont réalisé cela avec le biais il y a quelques années, et maintenant encore avec de nombreuses autres préoccupations. Pour moi, ces développements confirment que (a) d'abord, le fardeau devrait être de montrer que les lois existantes et la négligence sont insuffisantes - très peu le font jamais ; (b) quand ce n'est pas le cas et que des lacunes existent, il vaut mieux opter pour une réglementation basée sur les résultats pour permettre à une chaîne complexe d'acteurs de négocier les atténuations/interventions appropriées ; (c) faire cela nécessitera une expertise sectorielle et de prendre en compte les lois, codes, etc. spécifiques au secteur existants - c'est-à-dire pas des exigences horizontales abstraites ; (d) la sécurité des poids des modèles, les évaluations qui servent de caveat emptor, et les exigences de transparence de base pourraient encore avoir du sens au niveau du modèle ; (e) vous avez besoin de régulateurs compétents qui comprennent comment l'IA est utilisée dans leurs secteurs suffisamment en profondeur. Mais oui, vous n'allez pas "atténuer" les menaces de cybersécurité offensives ou la fraude assistée par l'IA en ajustant le modèle. Les approches basées sur les entités ne résolvent rien de tout cela non plus et supposent simplement que vous pouvez réduire le risque (et les atténuations associées) à quelques mêmes acteurs, à la manière de l'UE. Le problème est que la solution appropriée n'est pas particulièrement séduisante, et ne vient fondamentalement pas avec la satisfaction de "nous avons abordé toutes sortes de risques par une seule intervention à grande échelle." Et que le faire de cette manière nécessitera de faire face à la réalité de la sur-réglementation dans de nombreux secteurs, et à la rareté dans d'autres (cyber, bio ? cela dépend de votre modèle de menace spécifique).