Zoals gebruikelijk met technologie-regulering, denk ik dat veel AI-wetsvoorstellen en conceptwetten al verouderd en achter de technologie aanlopen. Aannames van een paar jaar geleden hebben geleid tot padafhankelijkheden waar moeilijk van af te wijken is. Veel winst in AI vandaag de dag komt van post-training, scaffolding, het gebruik van tools en het schalen van inferentiecomputing: dit betekent dat zelfs als modellen in de loop der jaren verbeteren, het niet alleen de laboratoria zijn die de grens van wat effectief mogelijk is verleggen, maar veel bedrijven die innoveren op de modellen. Bovendien worden veel mitigaties zoals filters, classifiers, toezichtmechanismen, enz. niet op het model toegepast, maar op de software scaffold - als gevolg hiervan zijn veel juridische voorstellen die verwachten dat schade op modelniveau wordt gemitigeerd, niet erg effectief. Mensen realiseerden zich dit een paar jaar geleden met bias, en nu weer met veel andere zorgen. Voor mij bevestigen deze ontwikkelingen dat (a) eerst de last moet liggen bij het aantonen dat bestaande wetten en nalatigheid onvoldoende zijn - zeer weinigen doen dit ooit; (b) wanneer dat niet het geval is en er hiaten bestaan, ben je beter af met uitkomstgerichte regulering om een complexe keten van actoren in staat te stellen de juiste mitigaties/interventies te onderhandelen; (c) dit zal domeinexpertise vereisen en rekening houden met bestaande sector-specifieke wetten, codes, enz. - dat wil zeggen, niet enkele abstracte horizontale vereisten; (d) modelgewichtbeveiliging, evaluaties die dienen als caveat emptor, en basisvereisten voor transparantie kunnen nog steeds zinvol zijn op modelniveau; (e) je hebt capabele toezichthouders nodig die begrijpen hoe AI in hun sectoren diep genoeg wordt gebruikt. Maar ja, je gaat geen 'mitigeren' van offensieve cyberbeveiligingsbedreigingen of AI-geassisteerde fraude door het model aan te passen. Entiteit-gebaseerde benaderingen lossen dit ook niet op en gaan er gewoon van uit dat je het risico (en de bijbehorende mitigaties) kunt beperken tot een paar dezelfde actoren, EU-stijl. Het probleem is dat de juiste oplossing niet bijzonder aantrekkelijk is, en in wezen niet komt met de voldoening van "we hebben allerlei risico's aangepakt door een enkele grootschalige interventie." En dat het op deze manier doen zal vereisen dat je de realiteit van overregulering in veel sectoren en schaarste in andere (cyber, bio? hangt af van je specifieke dreigingsmodel) onder ogen ziet.