基于实体的法规在Frontier AI治理中

迪恩·W·鲍尔（Dean W. Ball）在加入美国科学技术政策办公室之前与他人合着。所代表的所有观点纯粹是作者的观点，不一定反映美国政府政策。

介绍

Frontier人工智能（AI）政策的核心是一个关键的辩论：法规是否应该关注核心技术本身的AI模型或技术的用途？倡导基于使用的AI法规的拥护者认为，它通过为模型开发人员提供实验的自由来保护创新，而不受繁重的许可制度和技术标准的灌木丛。另一方面，基于模型的法规的拥护者认为，他们的方法将合规负担集中在开发人员身上，同时授予AI的用户在他们认为合适的情况下部署技术的纬度，从而有助于长期来帮助技术扩散。

这些熟悉的用于调节边境AI的范例都面临严重的异议。正如《欧盟AI法案》和美国各州的一系列继任法案所建议的那样，基于使用的法规通常与基于模型的法规一样繁重。¹尽管首先，基于使用的法规的负担并不落在开发人员身上 但是，可以预期以严重的方式为模型开发负担，例如通过增加模型用户的合规成本来阻止采用。

另一方面，基于模型的调节设定了一个绝对次优的调节目标。功能强大的AI系统现在利用与其他软件和硬件进行集成或脚手架的多个基线模型。²这些系统的功能和风险越来越多，不仅源于所涉及的基线模型，而且还来自其脚手架和用于运行它们的计算能力。此外，Frontier AI开发正在迅速发展。一种监管制度，旨在通过参考模型特征（例如用于训练它们的计算的数量）来针对特别有力的边境模型。为了解决这种可能性，可以授权监管机构更新触发基于模型的监管的标准。但是，出于讨论的原因，这也可能证明是一项艰巨的任务。

在本文中，我们建议对Frontier AI法规的另一种范式：专注于大型企业实体 开发最强大的AI模型和系统。基于实体的法规在美国很普遍，尤其是在金融服务和保险等领域，危险的产品和服务迅速发展。调节AI模型并使用对决策者构成严重挑战；在许多情况下，这些方法可能无法解决Frontier AI开发带来的最鲜明和最独特和有关的风险。监管美国法律已经做过几个世纪的公司实体，通常取得了很大的成功可能会做得更好。Frontier AI开发的监管法规应针对大型AI开发人员而不是AI模型或使用。

我们没有 认为基于实体的法规应该是规范AI的独家法规。例如，我们不考虑如何调节执行特定任务的所谓狭窄机器学习系统，例如处理保险索赔，对图像进行分类和进行面部识别。AI的许多可预见的负面用途，包括身份欺诈和儿童性虐待材料的分布已经是非法的。尽管如此，解决AI的潜在负面用途还是可能需要新的治理方法，这可能包括新法律。³

相反，我们的建议重点是如何构建先发制人 对于当前和未来，最复杂的AI系统的风险调节。这些所谓的边境AI系统可能很快提出了独特的挑战，涉及前所未有的自主操作水平，从事犯罪行为（例如勒索或谋杀）的能力，欺骗用户和开发人员（包括在培训期间）的倾向（包括在培训期间），以及启用大型网络攻击以及恶意发育以及生物学武器的恶意发展或部署。相对较少的参与者（在美国，五到十家公司），Frontier AI系统以巨大的成本（数亿或数十亿美元）生产。像其他关于边境AI法规的建议一样，我们的建议集中于Frontier AI风险，即最尖端的AI系统可能越来越构成的新颖，新兴的风险。⁴ - 如何确定和衡量这些风险，何时出现这些风险以及如何对它们做出反应，都是相当大的不确定性和分歧的问题。边境AI监管制度的主要任务之一可以说是主要任务，至少目前是现在，社会可以通过使决策者和公众能够更好地理解由最先进的AI开发带来的风险的性质和大小来减少这种不确定性和分歧。除其他优点外，涵盖边境的大型AI开发人员而不是特定的边境模型或这些模型的用途的监管制度最有可能实现这一目标。大概我们会争论。

我们的主张不是基于模型和基于使用的法规没有 在边境AI监管制度中扮演的角色。相反，我们认为应该强调他们，而赞成一种监管方法，该方法的重点是生产有关模型和系统的业务实体。更具体地说，我们建议，应通过在边境开发AI模型和系统的组织的特征，而不是由这些模型或系统的特征来触发前沿AI监管制度的应用。这样的基于实体的制度可能是由例如在AI研发（R＆D）或计算的一定总年度支出中触发的。

在其实质上，Frontier AI法规通常应该集中在AI开发人员的程序和活动上，而不是狭义地限于其正在开发的模型的属性。Put another way, although certain regulatory requirements might focus on model properties, these requirements should be integrated into a broader regulatory regime intended to address the risks that arise from the developer’s activities considered as a whole—including activities that do not pertain to model properties at all, such as (for example) handling novel algorithmic secrets or monitoring for the sabotage of internal safety critical systems by insider threats.

也就是说，本文并不关注边境AI监管制度可能涉及的特定实质要求，而是关注其一般结构和方向。一系列实质性监管要求，从较少到更严格，与我们的一般结构建议兼容。在本文的结论中，我们简要介绍了某些可能性而没有对它们采取立场。

我们首先描述了基于模型和基于使用的AI调节的优势和陷阱。我们采取参议院法案（SB）1047，这是一项2024年加利福尼亚立法会议的法案，以及1709年的众议院法案（HB），该法案在2025年德克萨斯州立法会议上一直积极考虑到3月中旬，作为说明性范式。然后，我们描述了基于实体的Frontier AI公司的法规，并解决了基于模型和基于使用的框架中的缺点如何改善其如何改善。我们包括示例法定语言，以说明如何设计基于实体的监管触发器。最后，我们简要建议（不认可）一些可能附带的实质性调节要求的例子，这些示例可能附在这种触发因素上。

基于模型的AI法规的挑战

迄今为止，美国针对基于型号的法规的最突出的立法提案是加利福尼亚州SB 1047，该法规是由旧金山州参议员斯科特·维纳（Scott Wiener）在2024年立法会议上提出的。⁵它狭义地集中在Frontier AI模型上，该模型需要每秒10^26以上的浮点操作（FLOP）的计算（本质上是数学操作，例如在训练过程中涉及的乘法）才能进行训练。该法案在立法会议期间进行了重大修正案，但其最终形式包含两个主要组成部分。首先，SB 1047将要求Frontier AI开发人员提交安全计划，以详细说明他们将如何测试并减轻定义为某些成果造成大规模伤亡或超过5亿美元损害的危害的风险。其次，该法案本来会造成法律义务（或更具体地指定的背景义务），以使AI开发人员行使合理的护理以避免这种危害危害，并授权总检察长对未能遵守这些职责造成的严重危害寻求货币损害。6^一个 关于该法案的陷阱和优点，还有很多话要说，但我们希望将这些辩论放在一边。

取而代之的是，我们将专注于某种形式的缺陷，其中许多SB 1047的批评家：该法案对基于模型的监管触发器的依赖，换句话说，其使用模型属性（培训计算）来触发其法律要求。

对触发的最常见的批评也许是，随着计算的成本随着时间的流逝而言，它将不仅仅是边界模型覆盖的范围。（为了缓解这个问题，后来对该法案的修正案增加了次要要求，该要求涵盖的模型至少要花费至少1亿美元的培训费用。）其他批评家瞄准了SB 1047的10^26^26培训计算的选择，作为其划定覆盖模型的线路。7^{在机器学习文献中，没有发现并没有发现具有这种特征模型的模型特别有可能具有灾难性风险潜力。}取而代之的是，正如法案的大多数支持者所坚持的那样，监管门槛是一个粗略的代理：阈值的目的是捕获下一代的边境模型。⁸双子座1.5，⁹美洲驼3，¹⁰和克劳德3。¹¹

代理的使用本身无反对。该法律一直使用代理来确定何时触发监管要求。基于模型的阈值的问题在于性质 他们使用的代理。

SB 1047于2024年9月否决后不久，Openai发布了下一个边境模型。正如许多人所预测的那样，它并没有比GPT-4更具训练的大型模型。取而代之的是，该公司发布了O1，这是一种使用加固学习训练的模型，以在回答之前对用户查询进行思考。¹²该模型的执行效果明显优于任何其他边界模型，尤其是在数学等定量领域，重要的是对于网络风险软件编码。除O1外，该公司还发布了O1-Mini，这是O1的较小版本，其本身在编码和数学方面的表现可以胜过许多边界模型。

对于SB 1047的目的，O1本身是否会被视为覆盖模型存在分歧。但是O1-Mini几乎肯定不会。¹³更重要的是，O1的强化学习方法量表具有计算能力（和时间）的量，当用户提出一个问题时，该系统可以考虑到一个称为推理或测试时间计算的变量。同一模型有更多的思考时间时，在许多任务上可靠地表现更好。确实，有些人建议，有了足够的思考时间，可以制作这样的模型来模拟更大的模型的性能。¹⁴一个 

基于计算的阈值是训练的假设最有意义的 计算将是模型性能及其具有危险能力潜力的主要决定因素。¹⁵但是推断 计算范式由O1呼叫所代表的假设。自2024年9月发行O1以来，基本上所有其他Frontier AI公司（例如Google）¹⁶和中国人工智能公司DeepSeek¹⁷）复制了这种方法。

至少目前，推理计算和基于推理的推理技术可能对边境模型功能（及相关风险）贡献与培训计算一样多。即使推论的意义在将来计算的淡出淡出，模型的其他新型能力确定性（其训练技术，或嵌入较大的系统）也可能会出现。例如，许多成熟的行业参与者和观察家都期望在边境上进行训练将越来越大量使用强大的增强学习方法（远远超出了经典的微调方法，例如对人类反馈的强化学习），而这些方法的计算密集程度要小得多，而无需进行无需提供的学习方法，这些学习方法很大程度上负责前沿能力的能力收益。依赖培训计算的门槛将对此类发展不敏感。

此外，随着时间的推移，培训计算的定义将变得更加复杂和难以管理。当首先引入基于计算的阈值时，标准的观点是，在预读之前，将使用模型培训计算预算的绝大多数（大约99％）的计算计算预算（大致，教导该模型的过程以几乎整个互联网来预测下一步的标记），只能通过计算的方式来模型，并将模型付诸实践，并仅代表了该模型的一小部分，并增加了模型的行为，并增强了模型的增值。从人类反馈中进行微调和加强学习。Openai s O1方法大量使用新的强化学习技术在训练后，大大改变了该比率。确切的比率尚不清楚，但是行业观察者现在表明，培训后的培训消耗的10％至20％的整体培训计算预算。¹⁸许多观察者还期望这个数字随着时间的推移而增加。

测量训练中使用的计算量带来了重大的定义困难。这是一个非竭尽全力的列表：

关键不是这些问题无法回答。实际上，它们是具有许多可以想象的答案的问题。基于计算的监管触发器需要相当清楚地对这些问题提出答案。鉴于培训和部署流程的变化速度以及鉴于在技术上通常需要的问题是如何需要的，这将是一项艰巨的任务。

此外，在由州法律（似乎是美国最有可能的结果）驱动的AI政策制度中，这些问题在不同的司法管辖区中可能会有所不同。即使在采用基于面部模型的触发器的州，对这些问题的不同答案也可能会产生毫不挑剔的结果，即在一个状态下的覆盖模型不被视为另一个州的覆盖模型。反过来，这可能会无意中产生大多数人希望避免的不守规矩的拼布。而且，由于可以以截然不同的方式回答有关如何衡量计算的这些微妙的问题，因此行业参与者可能会激励该系统将其模型保持在相关的监管阈值以下。意识到这一激励措施，可以激励调查或审核边境实验室培训实践，从而给公司带来重大合规负担，政府资源的稀释以及对监管机构的雇员的重大调查挑战，而无需在实际安全或安全方面获得任何敏感的收益。

如果制定了基于计算的阈值，则此类缺点可能需要一些时间才能变得明显。但是，基于计算的阈值的更基本的软弱状况已经很明显：至少通常指定的是，这种阈值已经无法捕获Frontier AI公司发布的模型，这些模型可能具有某种危险的功能。例如，OpenAi的O系列模型有两种尺寸：全尺寸（例如O1和O3）和Mini（例如O1-Mini和O3-Mini）。不知道是否有 在这些模型中，跨越标准提出的10^26计算阈值，但是迷你模型不太可能越过这些阈值。这些模型代表了O3-MINI的实质性飞跃，例如，尽管O3-Mini在几个月后发布了O3-Mini，但与数学和编码方面的全尺寸O1功能相匹配。¹⁹

可以肯定的是，Frontier AI开发的发展如此之快，以至于未来几年发布的最强大的模型是 如今，可能会超过任何法规计算阈值。这一事实减轻了基于模型的调节触发器中固定的填充性风险。但是，产生的过度忽略本身就是有问题的。

一方面，除非经常更新这些触发因素，否则相关的监管要求将与最强大的AI系统的独特风险和功能脱颖而出。如此广泛地施放监管网络可以将监管机构的注意力和资源转移到最令人关注和真正需要增加关注的风险中。鉴于政府缺乏技术专业知识和该领域缺乏监管能力，这尤其有问题。此外，随着该监管网越来越广泛，越来越广泛地投放了越来越多的实体，它可能会扼杀更广泛的经济创新和整合AI的能力。为了减轻这些问题，可以将监管机构定期更新 基于模型的监管触发器。但是，即使假设这个监管机构具有很高的能力和能力，这种安排也会重新引入上述困难。即使尽可能定期和专业地更新，培训计算阈值也将证明越来越低的代理人的能力和风险在推理计算，训练后加固学习或其他方法继续负责边境功能的情况下。如果自动化的AI R＆D起飞并减少培训计算要求（例如，通过查找新的，更高的效率架构），或者是否有潜在的计算密集型方法（例如神经符号推理）来推动Frontier的更大份额。

因此，基于计算的阈值面临严重的规范，实施和覆盖范围的挑战。²⁰当然，一种回应是建议一些其他模型的属性应作为Frontier AI法规的触发因素。但是，对于基于计算的触发器的所有缺点，还没有人设计了一个基于模型的监管触发因素，该触发器可能会更好地代表增强功能和相关风险。此外，虽然基于计算的监管触发器对培训计算的完整规范可能会很复杂且笨拙，但它甚至可能证明更多的充分说明某些技术属性的定义不那么熟悉且不容置疑。

可以设计不依赖技术代理而是直接引用危险模型属性的基于模型的监管触发器吗？也许是这样，如果模型开始证明某些明显的危险特性（例如强大的倾向，可以从事某些形式的有害欺骗）。但是在很大程度上，Frontier AI法规的价值在于其服务于预期和循证目的的能力。Frontier AI法规应旨在改善我们社会的集体认识论立场。也就是说，它应该使公众和政府有能力理解和评估在（和）明显危险的模型和系统属性之前（以及）出现前AI的潜在风险；帮助决策者计划这种特性的出现；并帮助他们确定何时实际上出现了此类属性。

至少到目前为止，这种危险性能的性质仍然阴暗和竞争。例如，有一些初步的实验证据表明，复杂的模型可能试图欺骗开发人员，以防止自己受到最初的目标和价值观的训练。²¹但是，这些实验是否是模型可能在野外表现的相当前景的争议。更一般而言，如何测量易于危险的属性或确定哪些属性（如果观察到）非常令人担忧，存在很大的不确定性。当这些特性的性质，意义和识别仍然不清楚和争议时，很难表达直接引用危险模型特性的调节触发器。

这些困难使这些困难更加复杂，即如果出现这种危险的特性，它们可能会这样做在训练模型时。²²当模型的能力和倾向（以及其危险性的性质和程度）最难确定时，培训正是训练。实际上，相关功能有时可能是从根本上不确定的，至少在培训完成之前（甚至在）培训完成之前。因此，设计和执行引用此类功能的监管触发器可能特别困难。²³实际上，如果Frontier AI监管法规将危险模型属性用作其覆盖范围的触发器，则将为Frontier AI开发人员避免调查，分析和披露其模型和系统的潜在危险性能。鉴于公众目前依靠大型AI开发人员获取信息和了解尖端AI的能力和风险，这种激励措施可能会特别有害影响。出于明显的原因，这种依赖可能会令人不安。但是，即使制定了强大的监管形式，即使独立的审计和测试生态系统的扩展远远超出了当前的能力，也可能有必要在可预见的未来。

需要明确的是，这里有一个非常困难的问题，即任何有意义的边境AI监管制度都必须努力。我们的观点是，鉴于这些问题多么棘手，不安和争论，使它变得非常不明智应用AI的边境监管制度取决于为其提供答案。在很大程度上，边境AI监管制度的目标应该是帮助决策者，并且公众对如何解决这些问题有了更明确的清晰度。²⁴

更重要的是，基于模型的监管要求只是一些基本的尊重Inapposite：从本质上讲，这样的要求不会解决 边境的冒险活动。这是三个例子。

首先，一些重要的安全和安全风险根本不是模型的功能。例如，假设AI开发人员不足以守护一个极其强大和危险的算法秘密，使外国对手能够窃取该秘密并开发出极为强大的模型。或者想象开发商未能充分审查员工和新员工，以实现内部内部威胁，从而导致公司内部安全关键系统的破坏。或假设开发人员秘密或不透明地废除了旨在防止这种风险的核心内部治理机制。针对开发人员处理的监管指令型号不会解决任何此类故障模式。（当然，立法或规则制定可以试图确定特别危险的算法秘密，并直接对其进行监管。但是，很难事先提出应触发这种监管要求的算法的特征。的确，任何尝试这样做的尝试都可能会剥夺外国对手的有价值的秘密。）

其次，Frontier Labs和许多其他AI研究人员正在积极追求所谓的多项式强化学习，这使AI系统能够通过将它们分解为更简单的子任务来解决复杂的任务，并平行部署多个代理AI模型，以处理每个模型。²⁵一个边境实验室已经确认，其一些领先产品大量使用了这种方法。²⁶O系列迷你推理器具有优惠的性能和成本特征，也可能是此类系统的强大候选人。与单个全尺寸型号相比，与单个全尺寸模型相比，多数或数百个迷你型号的多代理系统是否仅仅因为迷你型号的计算训练较少而造成的危险？适当的监管制度不应基于任何这样的假设，尤其是随着多代理系统发展进步的进展。

第三，假设开发人员内部部署 一个有力的模型，例如在金融市场上赚钱。显然，随之而来的风险将部分源自该模型的特征。但是，这些风险也可能是开发人员与模型相关的其他系统，策略或人员的函数。否则风险可能是开发人员控制中其他模型的函数，该模型本身不符合任何基于模型的监管触发因素。简而言之，纯粹仅针对边境模型的特征表达出的监管要求可能无法解决与开发人员与开发人员的其他系统，模型和活动相互作用所带来的更广泛的风险。

为了提供总体观点的另一个说明，假设开发人员最强大的边界模型可以充当高度复杂的自主剂，但是它已经开发或修改，以使其缺乏有关生物威胁创造的任何危险的，非公开数据的知识。假设开发人员还拥有另一个 强大的模型，通常要危险少得多，但是做拥有一些有关生物威胁创造的数据的知识。这些模型的相互作用可能会引起严重的风险，而这些模型并非单独运行。同样，风险可能是由于覆盖的边境模型与强大的算法或建筑秘密的相互作用而产生的，这些算法或建筑秘密被隔离和监护不足。此类风险的性质和大小将不能仅由模型属性确定，而是由较大的组织特性确定开发人员，例如其安全安排，内部威胁监控以及评估和监视内部部署的程序。

基于使用的AI法规的诱饵

这些关于基于模型的调节的限制和缺陷的观察结果可能是为了表明基于使用的前沿AI调节是较高的途径。确实，基于使用的法规可能确实避免了上面讨论的一些问题。例如，如果一家Frontier AI公司部署了模型来在金融市场中赚钱，则除了其他当事方的类似用途带来的风险外，基于使用的监管制度还可以针对某些相关风险。

但是，依靠基于使用的监管框架来解决Frontier AI的风险面临着严重的挑战和缺点。一方面，许多边境对未来风险的最大风险是欺骗和错位的风险，例如，在使用时，不适合解决。如前所述，其中一些风险在模型培训期间可能会实现（如果这样做）。²⁷即使在模型使用过程中，这种风险也会出现，引起它们的危险特性也会被烘烤到模型中期间训练。该模型的用户通常几乎没有检测这些属性或能够有效地解决相关风险的能力。实际上，可以部分向用户自己带来风险。例如，在解决高级AI系统可能勒索或欺骗其用户的可能性时，显然使用基于AI的AI调节几乎没有任何意义。²⁸

此外，在立法者和监管机构试图通过基于使用的监管计划来解决Frontier AI风险时，他们将需要确定将要参加Frontier AI系统的各种用途的主要风险。这将非常具有挑战性。越来越强大的通用AI模型将具有越来越广泛的功能。实际上，将来，AI Frontier AI的发展可能会开放全新的科学，商业和军事活动。因此，对于立法者和监管机构而言，前沿AI模型的未来用途通常很难预见，尤其是因为其中许多是通才，在AI开发方面没有太多专业知识，或者花很多时间用于理解它。

尽管有这些观察，但仍可能是基于使用的基于使用的边境AI法规，因为它将证明AI创新和扩散的繁重，而不是替代方案。但是，基于使用的AI法规的最新经验支持相反的担忧：与基于实体的监管（或基于模型的法规）相比，它可能更加繁重和广泛，这可能是因为它试图涵盖更多更多参与者的活动。

为了说明，请考虑迄今为止提出的基于使用的AI法规的最突出的实例：德克萨斯州HB 1709，²⁹该法案在该州已在2025年3月中旬进行了认真考虑，并在至少十二个美国提出了相同的基本框架。³⁰AI系统的HB 1709试图将一系列民权法应用于开发人员，分销商和用户（不被小型企业管理视为小型企业的公司）。HB 1709将要求所有这些小组编写风险管理计划和算法影响评估，以进行所有使用AI系统的所有用途，这些系统可以做出可能对消费者的服务或条件（例如银行，保险，医疗保健，教育和运输）和雇佣（以及雇佣）的条款和条件（例如银行业，保险，保健，教育）和雇佣（以及雇用）的决策。重要的是，该法案定义了AI以涵盖狭窄的机器学习系统和通用边界AI系统。

如果保险公司或银行部署AI系统来就健康保险索赔或贷款申请做出决定，那么影响评估和风险管理计划也许是合理且审慎的。已经创建了狭窄的机器学习系统来做出这样的决策，在现实世界中产生了不同的结果。³¹但是，通用AI系统可用于远远超过这样的最终决定。HB 1709定义为可能具有物质效应的任何决定 有关服务或条件或条件或相关机会的条款或条件。结果，法律不会简单地涵盖最终决定，而是在达到该决定中做出的许多子公司决定。

对决定较大决定的任何小选择的定义将使法律的实施变得显着复杂。例如，假设一家小型企业正在寻求雇用新员工并在社交媒体上宣传这项工作。就业决定算作HB 1709和所有其他类似的算法歧视法案，这些决定正在考虑或已颁布。小型企业使用的社交媒体算法是确定谁看到了工作应用程序，因此可以想象，在社交媒体上发布工作清单的简单行为是对算法的结果使用。因此，企业可能需要编写算法影响评估和使用社交媒体的风险管理计划。可以想象，如果雇主使用语言模型来帮助起草职位描述，甚至可能是正确的（至少假设描述与雇主原本起草的情况有意义不同）。根据其术语，HB 1047的文本似乎暗示了这样的结论。为了避开他们，雇主需要依靠愿意认为这些结论令人难以置信或荒谬的国家司法机构的关注。这些仅是由HB 1709和其他算法歧视法规定的数百万个良性AI用例中的两个，这些案例可能被公认为是结果的。

因此，HB 1709将对用户或部署施加巨大的合规负担 AI系统。此外，它将迫使这些部署回答有关这些系统的技术基础的复杂问题，甚至是专家AI研究人员可能很难回答的系统。首先，解决此类问题的负担可能阻止了一些公司使用者采用AI。即使对于那些可能不受监管负担不足的公司，该法律也可能会集中在公司高级管理层中的AI采用策略。

正如研究人员杰弗里·丁（Jeffrey Ding）所解释的那样，这种集中化通常会阻碍新的通用技术的创造性和广泛采用，这些技术通常受益于一种更加分散和实验性的方法。³²丁观察到，新技术（尤其是通用技术）的经济利益通常源于扩散 而不是新颖的发明。不仅是语言模型本身 这种有望提高生产率，新的消费者体验和科学发现，而是创造性和广泛使用 这些模式在整个经济中。

AI模型的新用途可能会挑战有关业务如何完成，应如何进行沟通以及社会应该如何运作的假设。企业家和技术活力从挑战现状的技术的使用中流动。使用风险杀死其摇篮的这种创新的法规。如今，任何有关使用技术最佳方式的法规都将隐式地将有关世界应运作方式的现有假设进行隐式编码。这样，基于使用的法规就可以无意间取缔新的和有益的想法。

因此，从鼓励Frontier AI中的创新和扩散的角度来看，基于使用的边境AI法规可能是危险的命题，以及解决Frontier AI开发的独特和最令人不安的风险的观点。可以肯定的是，某些基于使用的法规可能仍然有必要；我们的观点不是在特定情况下不应监管AI的使用或部署。相反，这是为了强调巨大的谦卑和谨慎的立法者在打算制定规则以控制强大的新宏观发明的不可思议的广泛可能用途时应行动。尤其是在边境，模型功能可能尤其是一般且广泛的，基于使用的法规不应是第一个度假胜地。

基于实体的AI法规的承诺

有一种替代的监管方法在很大程度上避免了这些困难。政策制定者不是试图针对模型的快速发展和新颖的人工制品，而这通常是Frontier AI开发或其广泛用途的风险漏水的抽象，而是可以针对较旧，更稳定的结构：公司实体（或在某些情况下，在某些情况下是密切相关的实体群体）生产和部署边境模型。

在基于实体的方法下，当实体满足法规或法规中指定的触发条件时，例如在AI R＆D上指定的每年支出，该实体将受到法规制度的约束，旨在解决公司在公司的培训，测试，托管，施工，施工，雇用和部署方法中的领域风险中出现AI的独特风险。

在美国监管历史中，当相关产品的特征快速变化并且在特定行业中发生巨大变化时，经常采用基于实体的监管。例如，美国的许多金融和保险服务在很大程度上受到基于实体的法规的监管（尽管不是仅限）；许多金融机构根据实体特征（例如大小）面临不同的监管要求。³³相比之下，在药物开发等行业中，监管要求是由单个产品（例如特定的药物或药物系）而不是制造它们的实体触发的，并且首先适用于单个产品（例如特定的药物或药物系）。³⁴药物开发的过程是旷日持久的，每年不会明显变化。Frontier AI开发不会有更多的不同。

虽然金融产品和药品都可以构成主要风险，但正在进行的金融服务提供 态度和银行流程中的失败都可以在一夜之间将安全的金融产品变成高风险。相比之下，在大多数情况下，由于公司采取了某种行动，已生产并运送到市场的药品不会突然变得更风险。当产品或特定活动的风险以普遍和持续的方式取决于公司较大的活动的风险时，基于实体的监管是很大程度上有意义的。

广泛部署的边境AI系统可以轻松构成与大型金融机构相似的系统性风险。这些风险甚至不必是未来AI系统的最灾难性潜在风险，例如启用生物武器开发或大规模的自动网络攻击。考虑数亿，政府机构，企业和其他组织使用的边界AI系统。这样的系统每天将调解数十亿美元的商业，在每个行业的整个企业中传播信息，并促进大量的科学进步。这也将面临各种不断发展的风险，例如越狱（当用户故意试图颠覆模型的保障措施以使该模型输出不允许内容时）；对抗性提示注射（当使用AI代理可能会遇到的Internet材料诱使代理揭示敏感用户信息或以其他方式对用户或模型开发人员的意图采取行动时）；和卧铺代理风格的攻击（当恶意消息被放入模型的培训数据中，无论有没有开发人员的知识，都会导致模型故障或基于部署后触发事件对用户利益行动）。

这些攻击中的任何一种都可能导致无数的经济体系失败或故障。值得注意的是，这些攻击可能会造成巨大的伤害，即使受到攻击的模型没有天生的能力造成灾难性伤害。没有一个安全的模型本身可以确保广泛部署的AI系统的安全需要连续监控，就像今天许多经济上有价值的软件系统所需的监视一样。更一般而言，通过隔离模型的属性来确保高功能AI模型是安全的，这是非常困难的。实际上，在许多情况下，将AI安全性描述为模型属性并不是特别有用或有帮助。³⁵通常，最好将安全性主要理解为嵌入模型的系统和过程的属性。至少在可预见的将来，最广泛部署的系统和流程可能主要由AI开发前沿（或他们委派控制的实体）的业务实体建立和控制。

实际上，开发人员的模型，系统或流程之一中的脆弱性可能很容易妥协其他开发人员创建，利用或控件的模型，系统和过程。例如，想象一下，与开发人员的意图危险地错位的模型用于创建新的模型。更新现有模型；或监视开发人员的网络安全保护，内部威胁检测或AI R＆D流程。或者想象一下，开发人员的尽职调查过程用于检测和衡量其模型中有关行为的措施，这是由内部人士威胁秘密地选择的。从这些方式和其他方面，可以期望最大的AI开发人员的风险管理协议中的重大失败远远超出了直接损害的特定模型，系统或过程。因此，对于Frontier AI调节，似乎不明智地将自己定向到特定模型的风险，而不是边境风险活动的较大挂毯。

基于实体的AI法规的触发器

例如，基于实体的监管计划可以由各种不同的公司特征触发。基于实体的法规的触发因素可以通过定义Frontier AI研究中涉及的一般活动和基于该研究的公司支出的监管触发因素来写入法规。例如：

这只是说明性语言，它并不是要捕获设计可能性的范围。可以想象许多其他可能性。For example, policymakers could vary the dollar amount used in the trigger.Similarly, the trigger could focus purely on an entity’s spending on compute rather than its overall R&D spending, which would include a much broader range of expenditures.Or the trigger could be disjunctive (for example, it could require either a certain amount of spending on compute or a certain amount of spending on overall R&D) or conjunctive.

It could make sense, as the circumstances and exigencies of frontier AI development evolve, for policymakers to modify the entity-based regulatory trigger they initially specify.Fortunately, an entity-based regulatory trigger will likely need to be changed much less frequently than a model-based regulatory trigger;the nature of the companies at the frontier of AI development (and their spending on R&D, compute, and so on) is likely to change far less quickly than the AI models and systems at the frontier.Moreover, generalist legislators and regulators are likely to have less difficulty tracking the first sort of change than the latter sort of change.

A trigger that focuses on an entity property, such as annual R&D spending, has other virtues as well.If such a trigger is set sufficiently high, it will obviously avoid covering smaller companies.It will thereby reduce burdens on innovation and experimentation by startups and small technology companies, and reduce regulatory pressures toward market concentration.It will also direct the government’s scarce regulatory resources in this area toward where they are needed most.Even if money were no object, the time, attention, and technical competence of legislators and regulators dealing with frontier AI development will not be in abundant supply anytime soon.Avoiding the dissemination and dilution of these resources should be a chief priority for those who wish to see frontier AI regulation succeed—as well as those who wish to minimize compliance burdens on startups and smaller tech companies.Entity-based regulatory triggers are more promising, in these respects, than model-based ones.

In addition to regulatory triggers that focus purely on entity qualities such as aggregate R&D spending, there are also intriguing possibilities that somewhat blur the distinction between model-based and entity-based regulation.For example, a statute might employ a model-based trigger for a regulatory framework whose物质is entity-oriented, in the sense that it covers the entity’s risky activities (including risky activities that do not pertain to how the entity deals with its models, let alone the particular models singled out by the trigger).Thus, for example, an entity-oriented regulatory statute could apply its requirements to any developer that has trained at least one model with 10^26 FLOPs of training compute, or at a cost of at least $100 million in training compute.Conjunctive or disjunctive possibilities for the trigger are conceivable as well (for example, a regulatory statute could apply to any entity that has trained a model with over 10^26 FLOPs of compute和annually spends or plans to spend a certain amount of money on compute or R&D).

A statute that combines a partly or wholly model-based regulatory trigger with entity-focused regulatory substance will enable many of the benefits of entity-based regulation described above.For example, it will enable the regulatory framework to cover aspects of a developer’s practices (such as its governance procedures or insider threat detection protocol) that do not pertain (at least not directly) to its development and handling of models.But such a statutory design will nevertheless incur some of the characteristic drawbacks of utilizing a model-based regulatory trigger.While this paper does not address this sort of statutory design further, it is well worth considering.Certainly it could be a sensible, intermediate step toward a (more fully) entity-focused regulatory trigger in future statutes (or statutory updates).

One objection that might be pressed against entity-based regulation is that it is vulnerable to bad faith evasion through accounting shenanigans or corporate engineering.Sophisticated AI developers might, for example, attempt to create different corporate entities and parcel out R&D expenses among them to ensure that no one entity is spending more than the threshold dollar amount that triggers regulation.In other contexts, however, the law has developed techniques to address such mischief: think of veil piercing doctrines in corporate law,³⁶substantive consolidation techniques in corporate bankruptcy,³⁷the integrated enterprise test in labor law,³⁸and common control tests in banking regulation.³⁹In fact, similar techniques would likely be even more successful here.The universe of regulated entities is likely to be small;there are few companies that can credibly claim to be at the frontier of AI development.It seems likely, therefore, that bad faith evasion attempts by such firms would be particularly obvious.

A different and perhaps more concerning objection to entity-based AI regulation is that it will prove underinclusive.In the future, highly dangerous AI capabilities might massively proliferate, such that models considerably behind the frontier pose a substantial risk of enabling a wide range of bad actors to (for example) create or deploy highly destructive bioweapons.⁴⁰If such proliferation occurs or is about to occur, entity-based AI regulation may not be an adequate approach for addressing risks from powerful AI.But even in such a world, we think, it will be必要的;there will still be distinctive risks arising from the activities of the firms developing the most powerful models and systems.Some of these risks may be distinctive in kind (think of risks arising from sophisticated agentic deception and scheming during training), while others may be distinctive in degree (think of bioweapons-related risks that are especially concerning, in part because they partly derive from unprecedented agentic capabilities).Investigating and understanding the capabilities and risks of the most advanced AI systems will remain an acute societal need, and it will continue to warrant a distinctive regulatory approach at the frontier.That approach, we have argued, is entity-based AI regulation.

Of course, this leaves open the question of how the vast residuum of potentially serious risks from AI systems behind the frontier should be regulated.This is obviously a large and difficult question, and we do not have any very good answer.If the development of highly risky AI systems of a certain kind (for example, systems that pose significant biological weapons–related risks) is concentrated within a manageable number of firms behind the frontier, a different entity-based framework could conceivably be formulated to govern them.But, of course, that assumption is unlikely to hold for long in the sort of hyper-dangerous world of powerful capabilities proliferation we are contemplating.In such a world, stringent regulations on the use and possession of sufficiently powerful models could conceivably be called for, but such restrictions would pose serious risks to personal liberty.And their efficacy in the absence of intensive geopolitical coordination is open to serious doubt, especially as indefinite measures.

One measure that would seem amply justified in such a world is massive societal investment in rendering critical infrastructure more resilient to the malicious use of powerful AI models.And the necessary defensive measures will likely include the broad deployment of frontier AI models, for such models are especially likely to possess powerful defensive capabilities—again raising the question of how AI development and deployment at the frontier should be regulated.

The Substance of Entity-Based AI Regulation

Entity-based regulation is a framework for regulatory policymaking—it is not itself a worked out set of policies.Our aim here is not to evaluate the specific forms that entity-based regulation might take, especially since we may disagree about those details.Instead, we will try to give a sense of the spectrum of possibilities.

At a minimum, entity-based regulation might involve transparency requirements: obligations on covered developers to disclose (to the public, the government, and/or other appropriate parties) certain salient features of their riskiest activities (such as training, safety testing, and assessment and monitoring of insider threats and high-stakes internal deployments), and to disclose when certain particularly risky capabilities or propensities have plausibly emerged in their models or systems.⁴¹While the idea of transparency often proves popular, thorny issues remain, such as which particular requirements to impose and how general or detailed those requirements should be.But meaningful transparency requirements of some kind seem prudent and warranted.

At the other end of the spectrum, regulation might require the sort of highly intensive government engagement that characterizes nuclear safety regulation.⁴²Nuclear power plants face constant, rigorous oversight by government regulators.This includes site-specific operating licenses, continuous inspections, strict safety protocols, stringent personnel security clearances, and intensive formal training requirements for operators.AI labs could conceivably be subjected to similarly intensive regulatory oversight and demands.

Between these poles lie a range of intermediate possibilities.For example, covered developers might be required to formulate and adopt risk management protocols that identify and address certain novel kinds of risks that their activities might pose.Going further still, they might be required to adopt organizational structures and governance mechanisms intended to ensure that such protocols are properly applied, carefully updated, and meaningfully enforced internally.For example, covered developers might be required to appoint a chief risk officer, who reports directly to the board of directors, or to engage independent safety auditors when making certain decisions that are particularly risky or high-stakes according to the developers’ own risk management protocols (or, perhaps, those of their industry peers).

Many of these decisions will, of course, involve AI models and systems.In that sense, an entity-based regulatory regime will need to address many of the same issues as a model-based regulatory regime.Precisely because it deemphasizes the leaky abstraction of a model, however, an entity-based regulatory regime will often handle these issues in a more attractive and tractable manner.

Consider, by way of illustration, the question of how to structure transparency and disclosure requirements.Under a model-based regulatory regime, such requirements would be triggered by properties of models: frontier AI developers would be required to make certain significant disclosures (regarding risks, capabilities, and mitigations) when releasing a new model that satisfies some specified criterion, such as a threshold amount of training compute.But what counts as a new model?Frontier models and systems are not always built from scratch;they can be created by fine-tuning, combining, and scaffolding existing models.Clearly, it makes little sense to require significant disclosures whenever an existing model’s weights (or its scaffolding) undergo a minor tweak, or whenever some minor change is made to how the model is provided through an API or otherwise deployed externally.Put another way, a very exacting definition of what counts as a “new” model or release would be unworkable and burdensome.But given how quickly the technical features of frontier AI models and systems are liable to change—and given how much uncertainty there is about which technical features, exactly, give rise to serious risks—attempting to specify more general criteria for what counts as a new model or release could easily miss the mark.Such criteria could easily make a poor fit with the underlying capabilities and risks that warrant identification and disclosure.

An entity-based regulatory frame suggests a more promising approach.For example, a covered AI developer might be required to disclose at regular intervals (to the public, the government, or another suitable party) whether it has discovered major new capabilities, or dangerous new propensities, in any of the models or systems that it is training, storing, or deploying, and what tests and precautions it has employed to this end.And if, between these intervals, a covered developer decides to make a major decision that is likely to involve a substantial capability gain or pose a substantial marginal risk of causing certain forms of severe harm—whether that decision is characterized as releasing a new model, changing an existing model, integrating an existing model into a new system, or engaging in some new form of training or algorithmic design—the developer might be required to disclose that decision, as well.

Under such a regime, no linguistic or conceptual difficulties involving the definition or specification of a model need arise, for nothing of legal significance turns on drawing the boundaries between different models or differentiating between old models and new.To be sure, many substantive difficulties will remain—involving how to detect and characterize new capabilities and behaviors, how to measure and mitigate the associated risks, and so on.但这些problems of classification and measurement are not produced by some distorting conceptual map;they derive from the difficulty of the underlying terrain.

Consider another illustration of the point.Policymakers might wish to require that frontier AI developers transparently provide to the public or the government model specs, that is, documents specifying how a model or system is supposed to behave under various important conditions.⁴³For the sorts of reasons already given, however, it will be difficult for regulation to lay down in advance what counts as a new model or system, such that this transparency requirement is triggered with respect to it.Under an entity-based regulatory regime, there is no need to do so.Instead, a covered developer can simply be required to ensure that—however the developer wishes to define the boundaries between its different models or systems—for each model or system it has made available to the public, that model or system is covered by一些up-to-date model spec that the developer has transparently disclosed.

So structured, a model spec transparency requirement would be harmonious with current practice in at least some frontier labs, which provide a single model spec for all their publicly available models.Of course, a frontier lab might wish to instead provide multiple model specs, for models or systems that it wishes to behave in different ways.Under the sort of regime we are suggesting, the developer would be perfectly at liberty to do so.

So here, again, an entity-based regulatory trigger can achieve the same substantive goals as a model-based regulatory trigger without getting mired in the conceptual and linguistic difficulties—regarding how to distinguish between different models or systems and how to define when a model should count as a new one—that characteristically afflict the latter.And, as discussed above, an entity-based regulatory framework can naturally address certain important kinds of practices and decisions (such as governance procedures, the handling of algorithmic secrets, and the detection of insider threats) that a model-based regulatory framework cannot.To be clear, it is not obvious how, if at all, to regulate such practices and decisions.But it is unwise to force the general structure of frontier AI regulation into a procrustean, model-based mold that artificially puts such practices and decisions out of scope.

结论

What substantive regulatory requirements should an entity-based regulatory framework adopt?That depends on a host of difficult empirical and predictive issues—issues on which reasonable minds might disagree.What kinds of severely harmful outcomes might frontier AI systems cause, and how large are these risks?How much of a lead, if any, does the United States possess over authoritarian adversaries in frontier AI development, and what kinds of regulation might erode (or protect) the country’s lead?What kinds of regulation would exacerbate risks of authoritarian capture or increase the costs of limited bureaucratic capacity and competence?

Both of us are quite uncertain about the answers to these questions, and we may be inclined to answer them somewhat differently.We recognize, moreover, that the answers are liable to change over time.However these questions are best answered, and however our society navigates its collective uncertainty about them, we believe that the legal framework for frontier AI development should generally treat the characteristics of entities (or related entities acting in concert), rather than characteristics of models or uses, as its principal regulatory trigger.And while the substance of this entity-based regulatory framework may in part pertain to models and uses, it should do so in the context of a more fundamental concern with the broader risks of the entity’s activities, considered together rather than in isolation.

These views could be mistaken, of course.Maybe entity-based regulation warrants a somewhat more modest role in frontier AI regulation (and model- or use-based regulation warrants a somewhat more prominent role) than we are currently inclined to suppose.The optimal mix of these different regulatory strategies requires further investigation.So does the choice among different kinds of entity-based (or hybrid model-based/entity-based) regulatory triggers, as well as their precise legal formulations.So the thoughts in this paper are offered in an exploratory rather than dogmatic spirit.Nevertheless, we are fairly confident that entity-based regulation should play a significant role in frontier AI governance.The scope, design, and implementation of entity-based frontier AI regulation warrant careful consideration.

致谢

We are grateful to many friends and colleagues for valuable conversations about these issues, and thank Jon Bateman, Miles Brundage, and Tino Cuéllar for helpful comments on this paper, as well as Alana Brase, Haley Clasen, Helena Jordheim, and Lindsay Maizland for excellent editorial support.