Будущее регулирования ИИ: прогноз на 5 лет

2025 год можно смело назвать годом искусственного интеллекта: о нем говорят каждый день и во всех возможных контекстах. С точки зрения юриста наиболее интересен вопрос регулирования применения нейросетей. Если раньше речь шла в основном про этику использования и права на результаты, созданные ИИ, то сейчас появляется куда более жесткая повестка.

Интенсивное развитие нейросетей ставит острый вопрос о том, кто контролирует самые мощные модели и что государство готово сделать, чтобы этот контроль не захватили политические противники. Для России вопрос не академический: в условиях политической напряженности важно определить момент, когда ИИ из цифрового продукта превращается в стратегически значимый актив, подобный залежам полезных ископаемых, и становится объектом внимания тех же институтов, которые сегодня отвечают за критическую инфраструктуру, оборонную промышленность и стратегические отрасли экономики.

На международном уровне все чаще обсуждается структура модели угроз для нейросетей и необходимость особого режима защиты весов — параметров модели, определяющих ее способность к обобщению, рассуждению и генерации сложных результатов. Такой подход должен создать структуру рисков, на которых можно довольно точно построить прогноз российского регулирования — с поправкой на федерализацию на бумаге, централизацию на практике и устойчивый патернализм государственного контроля.

Доминирующая на текущий момент точка зрения на контролируемость ИИ переносит фокус с абстрактных нейросетей на веса моделей как на ключевой стратегический ресурс. Весовые параметры все чаще описываются как «алмазы в короне» ИИ-продукта: в них сконцентрированы массивы данных, алгоритмические улучшения, огромные объемы вычислений и результаты R&D. 

По сути, веса — это числовые значения, которые определяют, как модель «думает». И современное интеллектуальное право не защищает их как отдельный объект.

Компрометация весов дает злоумышленнику прямой доступ к возможностям модели: после утечки достаточно умеренных вычислительных мощностей и знания архитектуры, чтобы воспроизвести поведение системы. При этом указывается, что как только веса становятся публично доступными, дальнейший смысл в защите отдельных копий исчезает. 

В российских реалиях это автоматически переводит вопрос открытости весов из инженерного и репутационного поля в политико-правовое: право публиковать или не публиковать веса передовых моделей в ближайшем будущем станет предметом государственного регулирования.

В собранной глобальной аналитикой модели угроз описывается порядка тридцати восьми содержательно различных векторов атак на веса ИИ: от фишинга и эксплуатации уязвимостей до атак через цепочки поставок, инсайдеров и физического проникновения, включая силовой захват объекта. 

Отдельно подчеркивается, что уязвимость по одному вектору обнуляет всю остальную оборону, независимо от того, насколько тщательно выстроены остальные элементы защиты. Значительная часть этих техник уже применялась против разведслужб, ядерных объектов и крупных корпораций, а около десятка практически недоступны негосударственным игрокам, но вполне реалистичны для государств.

Именно на этом фоне становится заметна ключевая разница между глобальной логикой регулирования и вероятной российской траекторией. Международные подходы предполагают, что крупные ИИ-лаборатории сохраняют автономию, а государства подключаются через стандарты, саморегулирование и диалог о рисках. 

В российской модели — с ее формальной федеративностью и фактической централизацией, патерналистскими ожиданиями «защиты сверху» и сильной ролью силового блока тот же материал автоматически складывается в особый режим, удобнее всего описываемый как «режим стратегических весов».

В нем фокус переносится с регулирования абстрактного «ИИ» на три контура: сами веса, инфраструктуру, которая их держит и обрабатывает, и людей, которые имеют к ним доступ.

На мировом уровне все чаще используется концепция градуированных уровней безопасности весов — от базовых до режимов, рассчитанных на противодействие атакам государственных акторов с бюджетами в сотни миллионов долларов и командами из десятков специалистов. 

Каждый уровень описывается как совокупность мер, достаточных или недостаточных для отражения атак определенного класса. Такая калибровка отлично ложится на регуляторную логику: если требуется устойчивость только к хакерам-одиночкам, достаточно первого уровня защиты; если модель объективно способна повлечь значимые риски, нужен совсем другой класс инфраструктуры — изолированные сети, специализированное оборудование, многоуровневые барьеры на стыке цифрового и физического мира.

В российском контуре это с высокой вероятностью выльется в трехуровневую классификацию моделей.

Первый уровень — массовые коммерческие системы. Для них достаточно стандартных мер: хранение весов только на серверной инфраструктуре, шифрование в хранении и передаче, учет и журналирование доступа, управление обновлениями и сегментация сети.

Второй уровень охватит модели, встроенные в госуслуги, финансовый сектор, крупный B2B и объекты критической инфраструктуры. Для них естественно ожидать обязательного набора мер повышенной безопасности: централизованного хранения всех копий весов на ограниченном числе систем, резкого сокращения числа людей с техническим доступом, защиты интерфейсов от эксфильтрации, программ инсайдерской безопасности, регулярного тестирования на проникновения и многослойной защиты цепочек поставок.

Третий уровень — короткий перечень действительно передовых и очевидно непубличных моделей. Для них логичным будет переход к максимальному режиму защиты: полностью изолированным сетям для обучения и работы с весами, аппаратным ограничениям каналов и классов данных, допустимых на выходе, специализированным аппаратным модулям хранения и использования весов, проверкам благонадежности персонала и участию силовых ведомств в проектировании и аудите режима.

Эти уровни формируют три сценария развития регулирования.

Во-первых, «тихую интеграцию»: отдельного закона о передовых ИИ может и не появиться, но веса мощных моделей постепенно подпадут под существующие режимы критической инфраструктуры и защиты сведений ограниченного доступа. Формального названия может и не быть, но отдельный «режим стратегических весов» появится де-факто через совокупность подзаконных актов, отраслевых требований и практик аудита.

Во-вторых, сценарий «специального режима»: появление формализованного блока регулирования, адресованного именно весам и инфраструктуре мощных моделей. Это может включать классификацию ИИ, уровни безопасности, обязательные процедуры допуска организаций и прямую связку с органами, ответственными за нацбезопасность.

В-третьих, сценарий «регулирования через инфраструктуру»: главный удар придется не по разработчикам моделей, а по тем, кто физически держит веса — облачные хранилища, дата-центры, провайдеров «защищенных контуров». Через требования к сертификации, экспортному контролю, доступу к госзаказу будет фактически определяться, какие модели могут работать на их инфраструктуре.

Одновременно международная дискуссия дает и временной ориентир. Отдельный блок мер считается критически важным и реализуемым в горизонте около года: наличие плана безопасности, сфокусированного на защите весов, централизованное хранение всех копий, сокращение числа лиц с доступом, укрепление интерфейсов, программы инсайдерской безопасности, многослойная защита, привлечение внешних команд для тестирования защищенности. 

Более радикальные меры — физические ограничения каналов, специализированное оборудование, полностью изолированные сети для обучения и исследований — описываются как задача на ближайшие несколько лет, требующая внешнего давления для реализации. 

В российской конфигурации источником такого давления неизбежно станет государство — через стратегии, «дорожные карты», ведомственные требования, экспортный контроль и приоритизацию соответствующих проектов.

На горизонте трех–пяти лет реалистично ожидать, что для ограниченного списка моделей появится режим, формально или де-факто приравненный к критической инфраструктуре: с классификацией по уровням риска, требованиями к аккредитованной инфраструктуре, особыми процедурами работы с весами и участием силовых ведомств. 

Первые ощутимые шаги, с высокой вероятностью, коснутся не ассистентов и чат-ботов, а тех, кто физически держит инфраструктуру обучения и вывода. Регулировать будут людей, дата-центры, облака, цепочки поставок железа — все то, через что проходят и в чем закрепляются веса.

Любой серьезный ИИ-проект передового уровня практически гарантированно окажется в поле зрения государства еще до появления отдельного закона — просто потому, что веса таких моделей структурно попадают в зону интересов тех, кто отвечает за национальную безопасность.

Для компаний и инвесторов это означает, что режим работы с весами нужно проектировать заранее, до появления жесткой рамки. Внутри организаций имеет смысл отделять управление весами от общей модели ИБ: создавать отдельные хранилища, ограничивать экспорт копий, формализовывать процедуры переноса и использования, вести полноценный учет доступа и операций. В юридических документах — от корпоративных политик до M&A и инвестсделок — стоит выделять веса в отдельный класс активов с особым режимом контроля, а не растворять их в общей «интеллектуальной собственности».

В этом и есть суть перспективы: будущее регулирования ИИ в России решится не на дискуссиях об этике промптов и саморегулировании использования ИИ, а в явном запрете оперировать передовыми моделями без дополнительных мер безопасности. Концепция стратегических весов позволяет увидеть эту линию развития раньше других и перевести ее из абстрактной угрозы в конкретные архитектурные, юридические и организационные решения, которые через несколько лет будут уже не конкурентным преимуществом, а условием выживания на рынке передовых ИИ-продуктов.