Я три раза перечитала и не поверила: Нью-Йорк обязал крупных разработчиков ИИ сдавать отчеты по безопасности и стучать о любых инцидентах за 72 часа. Закон называется RAISE Act, и это первый звоночек, что эпоха «запустили модельку и забили» заканчивается. Если вы строите автоматизацию на LLM и зарубежных платформах — это про ваши риски, даже если вы сидите в офисе в Тюмени.
Суть: большие AI-разработчики в штате Нью-Йорк теперь должны публиковать, как именно они обеспечивают AI safety, и официально сообщать властям о проблемах за три дня. Не отчёт на лендинге «мы за этичность», а формальная обязанность: протоколы, инциденты, реальные кейсы. Это не только про «чтобы робот не решил уничтожить человечество», это про утечки данных, галлюцинации в чувствительных сценариях, дискриминацию. Честно? Я в шоке не от самого закона, а от того, как быстро США двигаются к регулированию, пока мы тут спорим, можно ли в Prompt вписывать куски из 1С.
Представьте: у вас интеграция с американским AI-сервисом, обертка на n8n, тянете туда пол-CRM клинта. Там что-то ломается — и через 72 часа этот инцидент уже в отчетах для штата. Это означает, что ваши данные внезапно могут оказаться в официальной бумажной реальности, которую вы вообще не контролируете. В России это будет выглядеть как «странные пункты» в пользовательских соглашениях и очередные галочки «вы согласны на обработку». А ночью, в два часа, вам коллега кидает скрин: «Марина, глянь, кажется, наш вендор из этого списка» — и у вас вдруг минус полпула инструментов для новых проектов.
Теперь про подвох. С одной стороны, круто: крупным игрокам вроде OpenAI, Anthropic, Google придётся перестать делать вид, что безопасность — это только красивая презентация. С другой — регуляторка почти всегда работает против маленьких: если вы стартап с моделькой, требования к safety-документации могут вас просто похоронить. Я три года наблюдаю, как у клиентов рушились проекты по 152-ФЗ не из-за «злого Роскомнадзора», а из-за того, что они не понимали, что именно обязаны фиксировать и где хранятся данные. Здесь будет так же: кто не умеет считать риски и документировать процессы, того AI-веселье скоро перестанет пускать в клуб.
Практический угол: если вы уже тащите западный AI в контур, вам срочно нужен человек, который отвечает не «за ИИ», а за риски и соответствие требованиям хотя бы на базовом уровне. Перепроверьте, что у вас в договорах с вендорами, где США и конкретно Нью-Йорк, есть ли там упоминание про AI safety, инциденты и раскрытие данных. Если вы продуктовая команда и пилите свой AI-сервис, даже чисто под Россию — начните вести журнал инцидентов и описывать протоколы сейчас, не когда вас прижмут. Для российских команд это сигнал: эра «просто прикрутим GPT и полетит» закончилась, дальше будут спрашивать — а что вы сделали, чтобы это не сломало людям жизнь и ваш бизнес.
Меня в этой истории больше всего пугает не закон, а инерция: пока там строят инфраструктуру безопасности, у нас продолжают радостно кормить модели паспортами через веб-форму. Если не разобраться сейчас, через квартал будет поздно — рынок просто переформатируют под новые правила, а вы останетесь с кучей завязанных на зарубежный AI процессов и нулевой управляемостью рисков. У вас есть план Б, если завтра любимый сервис начнет жить по правилам RAISE Act и режет половину функционала для «подозрительных» кейсов?
Больше разборов AI-инструментов без воды — в моём телеграм-канале. Пишу про то, что реально работает в России.