EINS erster Entwurf Es wurde ein Verhaltenskodex veröffentlicht, der für Anbieter von Allzweck-KI-Modellen im Rahmen des KI-Gesetzes der Europäischen Union gelten wird, zusammen mit einer Einladung zur Rückmeldung – offen bis zum 28. November – da der Entwurfsprozess im nächsten Jahr fortgesetzt wird formelle Compliance-Fristen, die in den kommenden Jahren in Kraft treten werden.
Das EU-weite Gesetz, das ist diesen Sommer in Kraft getretenregelt Anwendungen künstlicher Intelligenz in einem risikobasierten Rahmen. Aber auch zielt auf einige Maßnahmen in leistungsfähigeren grundlegenden – oder universellen – KI-Modellen ab (GPAI). Hier kommt dieser Verhaltenskodex ins Spiel.
Zu denjenigen, die wahrscheinlich im Vorstand sein werden, gehört OpenAI, Hersteller von GPT-Vorlagen (die den KI-Chatbot unterstützen GPT-Chat), Google mit seinem Zwillinge-GPAIsZiel mit LamaAnthropisch mit Claudiusund andere, wie Frankreich Mistral. Von ihnen wird erwartet, dass sie den Verhaltenskodex für allgemeine KI einhalten, wenn sie sicher sein wollen, dass sie das KI-Gesetz einhalten und so das Risiko einer Durchsetzung wegen Nichteinhaltung vermeiden möchten.
Um es klar auszudrücken: Der Kodex soll Leitlinien für die Erfüllung der Verpflichtungen des EU-Rechts zur KI bieten. GPAI-Anbieter können sich dafür entscheiden, von Best-Practice-Vorschlägen abzuweichen, wenn sie glauben, dass sie die Einhaltung durch andere Maßnahmen nachweisen können.
Dieser erste Entwurf des Kodex ist 36 Seiten lang, wird aber wahrscheinlich länger sein – möglicherweise erheblich –, da die Verfasser warnen, dass er spärlich detailliert ist, da es sich um „einen Entwurfsplan auf hoher Ebene handelt, der unsere Leitprinzipien und Ziele für den Kodex darlegt“. Code.“
Der Entwurf ist voller Kästchen mit „offenen Fragen“, die die mit der Erstellung des Kodex beauftragten Arbeitsgruppen noch nicht gelöst haben. Das eingeholte Feedback – aus Industrie und Zivilgesellschaft – wird offensichtlich eine Schlüsselrolle bei der inhaltlichen Festlegung konkreter Teilmaßnahmen und Key Performance Indicators (KPI) spielen, die noch nicht berücksichtigt wurden.
Aber das Dokument gibt eine Vorstellung davon, was (hinsichtlich der Erwartungen) auf die GPAI-Hersteller zukommt, sobald die entsprechenden Compliance-Fristen gelten.
Die Transparenzanforderungen für Hersteller von GPAIs treten am 1. August 2025 in Kraft.
Aber für die leistungsstärksten GPAIs – diejenigen, bei denen das Gesetz ein „systemisches Risiko“ definiert – besteht die Erwartung darin, dass sie 36 Monate nach Inkrafttreten (oder am 1. August 2027) die Anforderungen zur Risikobewertung und -minderung erfüllen müssen.
Ein weiterer Vorbehalt besteht darin, dass der Entwurf des Kodex unter der Annahme konzipiert wurde, dass es nur eine „kleine Anzahl“ von GPAI- und Systemrisiko-GPAI-Herstellern geben wird. „Sollte sich diese Annahme als falsch erweisen, müssen zukünftige Konzepte möglicherweise erheblich geändert werden, beispielsweise durch die Einführung eines detaillierteren abgestuften Maßnahmensystems mit dem Ziel, sich vor allem auf Modelle zu konzentrieren, die die größten systemischen Risiken bergen“, warnen die Herausgeber .
Copyright
Im Hinblick auf die Transparenz wird der Kodex festlegen, wie GPAIs die Informationsbestimmungen einhalten müssen, auch im Bereich urheberrechtlich geschützten Materials.
Ein Beispiel hierfür ist „Submeasure 5.2“, das die Unterzeichner derzeit dazu verpflichtet, Einzelheiten zum Namen aller Webcrawler anzugeben, die zur Entwicklung von GPAI und ihren relevanten robots.txt-Ressourcen verwendet werden, „auch zum Zeitpunkt des Crawlings“.
GPAI-Modellbauer stehen immer wieder vor der Frage, wie sie Daten zum Trainieren ihrer Modelle erfasst haben, und zwar aus mehreren Gründen Klagen von Rechteinhabern eingereicht, in denen behauptet wird, dass KI-Unternehmen urheberrechtlich geschützte Informationen illegal verarbeitet haben.
Eine weitere im Entwurf des Kodex festgelegte Verpflichtung sieht vor, dass GPAI-Anbieter über eine einzige Anlaufstelle und die Bearbeitung von Beschwerden verfügen müssen, um es Rechteinhabern zu erleichtern, Beschwerden „direkt und schnell“ zu melden.
Weitere vorgeschlagene Maßnahmen im Zusammenhang mit dem Urheberrecht betreffen die Dokumentation, die die GPAI zu den Datenquellen bereitstellen muss, die für „Training, Tests und Validierung verwendet werden, sowie zu Genehmigungen für den Zugriff auf und die Nutzung geschützter Inhalte für die Entwicklung allgemeiner KI“.
Systemisches Risiko
Die leistungsstärksten GPAIs unterliegen auch den Regeln des EU-KI-Rechts, die darauf abzielen, das sogenannte „systemische Risiko“ zu mindern. Derzeit werden diese KI-Systeme als Modelle definiert, mit denen trainiert wurde eine Gesamtrechenleistung von über 10^25 FLOPs.
Der Kodex enthält eine Liste von Arten von Risiken, die von den Unterzeichnern als systemische Risiken behandelt werden sollen. Dazu gehören:
- Offensive Cybersicherheitsrisiken (z. B. Entdeckung von Schwachstellen).
- Chemische, biologische, radiologische und nukleare Risiken.
- „Kontrollverlust“ (hier bedeutet die Unfähigkeit, eine „leistungsstarke, autonome Allzweck-KI“ zu kontrollieren) und automatisierte Nutzung von Modellen für KI-Forschung und -Entwicklung.
- Überredung und Manipulation, einschließlich groß angelegter Fehlinformationen/Fehlinformationen, die Risiken für demokratische Prozesse darstellen oder zu einem Vertrauensverlust in die Medien führen können.
- Diskriminierung im großen Stil.
Diese Version des Kodex schlägt außerdem vor, dass GPAI-Ersteller andere Arten systemischer Risiken identifizieren könnten, die ebenfalls nicht explizit aufgeführt sind – wie etwa „groß angelegte“ Datenschutzverletzungen und Überwachung oder Verwendungen, die Risiken für die öffentliche Gesundheit darstellen könnten. Und eine der offenen Fragen, die das Dokument hier aufwirft, ist die Frage, welche Risiken bei der Ergänzung der Haupttaxonomie priorisiert werden sollten. Eine weitere Frage ist, wie die Taxonomie systemischer Risiken auf Deepfake-Risiken reagieren soll (im Zusammenhang mit KI-generiertem Material über sexuellen Missbrauch von Kindern und nicht einvernehmlichen intimen Bildern).
Der Kodex soll auch Leitlinien zur Identifizierung von Schlüsselattributen liefern, die zu Modellen führen können, die systemische Risiken erzeugen, wie etwa „Fähigkeiten gefährlicher Modelle“ (z. B. Cyberoffensive oder „Fähigkeiten zum Erwerb oder zur Verbreitung von Waffen“) und „anfällig für gefährliche Modelle“ ( z. B. mangelnde Übereinstimmung mit menschlichen Absichten und/oder Werten;
Obwohl im weiteren Verlauf des Entwurfsprozesses noch viele Details ausgefüllt werden müssen, schreiben die Autoren des Kodex, dass seine Maßnahmen, Untermaßnahmen und KPIs „verhältnismäßig“ sein sollten, wobei ein besonderer Schwerpunkt auf der „Anpassung an die Größe und Leistungsfähigkeit von“ liegen sollte ein bestimmter Anbieter, insbesondere KMU und Start-ups mit weniger finanziellen Ressourcen als diejenigen, die an der Spitze der KI-Entwicklung stehen.“ Dabei sollte auch auf „unterschiedliche Vertriebsstrategien (z. B. Open Source) geachtet werden, die gegebenenfalls den Grundsatz der Verhältnismäßigkeit widerspiegeln und sowohl Nutzen als auch Risiken berücksichtigen“, fügen sie hinzu.
Viele der offenen Fragen, die das Projekt aufwirft, betreffen die Frage, wie konkrete Maßnahmen auf Open-Source-Modelle angewendet werden sollten.
Sicherheit im Rahmen
Eine weitere Maßnahme im Kodex betrifft ein „Safety and Security Framework“ (SSF). Von GPAI-Erstellern wird erwartet, dass sie ihre Risikomanagementrichtlinien detailliert beschreiben und „kontinuierlich und gründlich“ systemische Risiken identifizieren, die sich aus ihrem GPAI ergeben können.
Hier gibt es eine interessante Teilmaßnahme zum Thema „Risikoprognose“. Dies würde die Unterzeichner dazu verpflichten, in ihre „Best-Effort-Schätzungen“ Zeitrahmen aufzunehmen, wann sie voraussichtlich ein Modell entwickeln werden, das Indikatoren für systemische Risiken auslöst – wie etwa die gefährlichen Fähigkeiten und Neigungen des oben genannten Modells. Das könnte bedeuten, dass ab 2027 hochmoderne KI-Entwickler Fristen festlegen werden, wann die Modellentwicklung voraussichtlich bestimmte Risikoschwellen überschreiten wird.
An anderer Stelle konzentriert sich der Kodexentwurf auf GPAIs mit systemischem Risiko, indem er „die besten Bewertungen“ der Fähigkeiten und Einschränkungen ihrer Modelle verwendet und dazu „eine Reihe geeigneter Methoden“ anwendet. Zu den aufgeführten Beispielen gehören: Frage- und Antwortsätze, Benchmarks, Red-Teaming und andere gegnerische Testmethoden, Studien zur menschlichen Höhenlage, Modellorganismen, Simulationen und Proxy-Bewertungen für klassifizierte Materialien.
Eine weitere Untermaßnahme im Zusammenhang mit der „Meldung erheblicher Systemrisiken“ würde die Unterzeichner dazu verpflichten, das zu melden KI-Büroein nach dem Gesetz eingerichtetes Aufsichts- und Lenkungsorgan, „wenn sie triftige Gründe zu der Annahme haben, dass ein erhebliches systemisches Risiko eintreten könnte“.
Der Kodex legt auch Maßnahmen zur „Meldung schwerwiegender Vorfälle“ fest.
„Die Unterzeichner verpflichten sich, schwerwiegende Vorfälle zu identifizieren und zu verfolgen, sofern sie aus ihren allgemeinen KI-Modellen mit systemischem Risiko stammen, alle relevanten Informationen und möglichen Korrekturmaßnahmen unverzüglich zu dokumentieren und dem KI-Büro zu melden „Gegebenenfalls an die zuständigen nationalen Behörden“, heißt es – obwohl in einer damit verbundenen offenen Frage nach Informationen gefragt wird, „was ein schwerwiegender Vorfall mit sich bringt“. Es scheint also hier noch mehr Arbeit zu geben, um Definitionen zu definieren.
Der Kodexentwurf enthält weitere Fragen zu „möglichen Korrekturmaßnahmen“, die als Reaktion auf schwerwiegende Vorfälle ergriffen werden könnten. Außerdem wird unter anderem gefragt: „Welche Prozesse zur Reaktion auf schwerwiegende Vorfälle sind für Open-Source-Lösungen oder Open-Source-Anbieter geeignet?“ sowie andere Formulierungen, bei denen um Feedback gebeten wird.
„Dieser erste Entwurf des Kodex ist das Ergebnis einer vorläufigen Überprüfung bestehender Best Practices durch vier Facharbeitsgruppen, Input von Stakeholder-Konsultationen aus fast 430 Einreichungen, Antworten von Lieferanten-Workshops, internationalen Ansätzen (einschließlich des G7-Verhaltenskodex, der Frontier AI Security). Verpflichtungen, die Bletchley-Erklärung und die Ergebnisse relevanter Leitungs- und Normungsgremien) und vor allem das KI-Gesetz selbst“, fahren die Autoren abschließend fort.
„Wir betonen, dass es sich lediglich um einen ersten Entwurf handelt und die Vorschläge im Kodexentwurf daher vorläufig sind und Änderungen vorbehalten sind“, fügen sie hinzu. „Wir laden Sie daher zu konstruktiven Beiträgen ein, während wir den Inhalt des Kodex weiterentwickeln und aktualisieren und auf eine detailliertere endgültige Form für den 1. Mai 2025 hinarbeiten.“
TechCrunch hat einen KI-fokussierten Newsletter! Melden Sie sich hier an um es jeden Mittwoch in Ihrem Posteingang zu erhalten.
