Этого я боялась последние полгода — государство полезло в мозги ИИ. Нью-Йорк принял RAISE Act: теперь крупные разработчики обязаны раскрывать протоколы безопасности и за 72 часа отчитываться о любых инцидентах с искусственным интеллектом. Звучит как здравый смысл, а по факту — тестовый полигон, который через год начнут копировать остальные.
Расшифрую по-человечески. Если вы крупный AI-разработчик в Нью-Йорке, вам теперь нужно документировать, как вы проверяете модели, что делаете с «опасными» запросами и как реагируете, если ИИ внезапно выдает бред, дискриминацию или советы уровня «как обойти закон». Любой серьезный косяк — и у вас есть 72 часа, чтобы прийти к регулятору и сказать: да, у нас тут ИИ сломался, вот что случилось. Это уже не PR-кризис, который можно замять, это юридическая обязанность, почти как утечка персональных данных.
Теперь давайте в Россию, без иллюзий. У нас 152-ФЗ, Роскомнадзор, угрозы за утечки ПД, а вот нормальной рамки для «утечки модели» или «опасного поведения ИИ» нет. В США уже тестируют схему «ИИ как объект безопасности», а у нас многие до сих пор даже не знают, где у их чат-бота логи лежат. И это не шутка. Клиент недавно честно сказал: «Если наш бот начнет хамить пользователям, мы об этом узнаем только из Твиттера».
Где тут подвох. Во-первых, описание «протоколов безопасности» — золотая жила для конкурентов и юристов. Любой публичный документ, даже отфильтрованный, показывает, как у вас устроен риск-менеджмент, где вы латаете дыры, а где надеетесь «авось пронесет». Во-вторых, 72 часа — смешной срок, когда у вас распределенная система, несколько вендоров, пайплайны на Make.com, заплатки на n8n и полтора дата-сайентиста на все. Это не баг, нет, скорее фича, которую никто не просил: регулятор вынуждает перестраивать процессы так, чтобы вы вообще могли понять, что произошло и кто виноват.
Теперь к вам, автоматизаторы и владельцы продуктов в России. «Это означает, что ИИ официально стал зоной техрегулирования, как банки или медицина». Для российских команд это прямой сигнал: если вы думаете, что вас не тронут, потому что вы «просто прикрутили GPT к сайту», вы очень ошибаетесь. Через год-два любой серьезный инцидент с ИИ — от дискриминации до генерации вредных инструкций — начнут приравнивать к нарушению комплаенса. И у вас спросят не только: где согласия по 152-ФЗ, но и как вы контролируете поведение модели.
Моя позиция простая и неприятная. Если у вас уже есть AI в проде — срочно описывайте, как вы тестируете промпты, какие сценарии запрещены, кто и как мониторит инциденты. Пусть это будет уродливая гугл-таблица, но она должна быть. Если вы только планируете внедрять — закладывайте время и деньги на безопасность, а не только на «сделать красиво и быстро». Риски тут не про философию: одна неудачная интеграция — и вас раскатают или пользователи, или регулятор. Я три года смотрю на развалы проектов, и почти всегда падало там, где «безопасность потом допишем».
Честно? Я в шоке, но радуюсь. В США начинают оформлять то, что у нас пока прячут под ковёр: ИИ — это не игрушка, а источник ответственности. А вы уже понимаете, кому в вашей команде завтра позвонят, если ваш чат-бот посоветует клиенту что-нибудь уголовно наказуемое? Или пока живете в режиме «как-нибудь рассосется»?
Больше разборов AI-инструментов без воды — в моём телеграм-канале. Пишу про то, что реально работает в России.