Illinois will seine neuen Vorgaben ab Januar 2027 in Kraft setzen. Dann müssen große Frontier-Entwickler nach dem Gesetz „Artificial Intelligence Safety Measures Act“ einen umfassenden KI-Rahmen schaffen, umsetzen und jährlich aktualisieren. Dieser soll laut Quelltext unter anderem die Bewertung katastrophaler Risiken, Gegenmaßnahmen, Governance, Cybersicherheit, Prüfungen durch Dritte und Risiken bei interner Nutzung abdecken. Außerdem sind Transparenzberichte vorgeschrieben, bevor neue oder wesentlich veränderte Modelle eingeführt werden.
Auch New York setzt ab dem 1. Januar 2027 auf ein ähnliches Instrument. Dort tritt der „Responsible AI Safety and Education Act“ in Kraft, den Gouverneurin Kathy Hochul im vergangenen Dezember unterzeichnet hatte. Das Gesetz schafft eine Aufsichtsstelle im Department of Financial Services des Bundesstaats, die große Frontier-Entwickler bewerten und Transparenz ermöglichen soll. Hochul erklärte bei der Unterzeichnung, das Gesetz baue auf dem kalifornischen Rahmenwerk auf und solle helfen, einen nationalen Maßstab für KI-Sicherheit zu setzen, nachdem die Bundesregierung dies nicht geleistet habe.
Kalifornien hatte bereits im vergangenen September mit dem „Frontier Artificial Intelligence Act“ Leitplanken für die Entwicklung solcher Modelle beschlossen. Zwar ähneln sich die Kernanforderungen in Illinois, Kalifornien und New York, doch im Detail unterscheiden sich die Gesetze. Das betrifft laut Quelltext etwa Prüfungen durch Dritte und Fristen für Offenlegungen. Für Entwickler entsteht damit ein Flickenteppich an Compliance-Vorgaben, der zusätzliche Kosten und unterschiedliche Berichtspflichten nach sich ziehen kann.
Besonders sichtbar wird das bei den Meldefristen für kritische Sicherheitsvorfälle. Illinois und New York geben Frontier-Entwicklern 72 Stunden nach Entdeckung eines kritischen Sicherheitsvorfalls, um Behörden und Generalstaatsanwälte zu informieren. In Kalifornien beträgt diese Frist 15 Tage. Nach dem Gesetzestext aus Illinois verkürzt sich das Zeitfenster auf 24 Stunden, wenn ein Vorfall „ein unmittelbares Risiko für Tod oder schwere körperliche Verletzungen“ darstellt.
Sachin Jade von Cyware sieht in diesen Gesetzen eine Reaktion darauf, dass es für Frontier-Modelle bislang keine Regulierung gab. Inzwischen seien Risiken deutlich geworden. Der Quelltext verweist darauf, dass sich die Fähigkeiten von KI seit dem Aufkommen generativer Systeme wie ChatGPT vor drei Jahren schnell ausgeweitet hätten — bis hin zu Modellen wie Mythos, die eigenständig Zero-Day-Schwachstellen identifizieren und ausnutzen können. Kürzlich habe zudem ein Bericht den ersten von KI ausgeführten Ransomware-Angriff genannt.
Jade betont, dass die Gesetze auch ermöglichen sollen, dass Beschäftigte in Frontier-KI-Organisationen Sicherheitsbedenken melden können. Gleichzeitig sieht er offene Fragen, vor allem für nachgelagerte Nutzer. Die Regeln gelten für Entwickler mit mehr als 500 Millionen US-Dollar Umsatz, doch unklar bleibt etwa der Umgang mit Open-Source-Modellen oder mit Fällen, in denen Anwender ein Frontier-Modell anpassen und in eigene Abläufe integrieren.
Auf Bundesebene gibt es derweil keine formalen Vorschriften. Zwar behandelte Trumps jüngste Durchführungsverordnung die Sicherheit von Frontier-KI und enthielt ein freiwilliges Rahmenwerk für die Privatwirtschaft, doch das Weiße Haus hat laut Quelltext bisher keine verbindlichen Regelungen veröffentlicht. Jade spricht deshalb von einem fehlenden Standard, sieht in den Gesetzen der Bundesstaaten aber einen notwendigen Anfang.
