Como de costume com a regulamentação tecnológica, acho que muitos projetos de lei e projetos de IA já estão obsoletos e atrasados em relação à tecnologia. Suposições de alguns anos atrás levaram a dependências de caminho das quais é difícil desviar. Muitos avanços na IA hoje vêm do pós-treinamento, andaimes, uso de ferramentas e escalabilidade por computação por inferência: isso significa que, mesmo que os modelos melhorem ao longo dos anos, não são apenas os laboratórios que ultrapassam a fronteira do que é efetivamente possível, mas muitas empresas inovando nos modelos. Além disso, muitas mitigações como filtros, classificadores, mecanismos de supervisão etc. não são aplicadas ao modelo, mas sim ao andaime de software – como resultado, muitas propostas legais que esperam que os danos sejam mitigados no nível do modelo não são muito eficazes. As pessoas perceberam isso com viés há alguns anos, e agora novamente com muitas outras preocupações. Para mim, esses desenvolvimentos confirmam que (a) primeiro, o ônus deve recair sobre mostrar que as leis existentes e a negligência são insuficientes – muito poucos fazem isso; (b) quando não existem e existem lacunas, é melhor optar por uma regulação baseada em resultados para permitir que uma cadeia complexa de atores negocie as mitigações/intervenções adequadas; (c) isso exigirá conhecimento do domínio e considerar as leis, códigos setores existentes e etc. - ou seja, não alguns requisitos horizontais abstratos; (d) segurança de peso do modelo, avaliações que servem como caveat emptor e requisitos básicos de transparência ainda podem fazer sentido no nível do modelo; (e) você precisa de reguladores capazes que compreendam suficientemente profundamente como a IA é usada em seus setorais. Mas sim, você não vai 'mitigar' ameaças ofensivas de cibersegurança ou fraudes assistidas por IA ajustando o modelo. Abordagens baseadas em entidades também não resolvem nada disso e apenas assumem que você pode restringir o risco (e as mitigações associadas) a alguns dos mesmos atores, no estilo da UE. O problema é que a solução adequada não é particularmente atraente, e basicamente não vem acompanhada da satisfação de "já abordamos todos os tipos de riscos com uma única intervenção em grande escala." E que fazer dessa forma exigirá enfrentar a realidade da superregulamentação em muitos setores, e a escassez em outros (cibersegurança, biologia? depende do seu modelo específico de ameaça).