AI のリスクには特別な政府の介入が必要か?
この記事は、AI の経済的影響が「通常技術」として振る舞う一方で、リスクは異常であるとする主張に対し、政府による過剰な介入(非拡散規制など)の欠点を指摘し、社会全体のレジリエンス強化という代替案を提唱している。
キーポイント
経済的影響とリスク評価の乖離
Derek Thompson の主張のように、AI の労働市場への影響は緩やかで GDP や雇用統計も「通常技術」の範囲内である一方、サイバー・バイオリスクなどの安全性については極めて悲観的(bearish)な見方が示されている。
政府による過剰介入の弊害
AI の新興能力を理由に企業のリリースを制限する「非凡な政府介入」は、連邦政府の硬直化や特定企業への規制が容易であるという政治的要因で推進されがちだが、実際には効果的ではなく脆いものである。
非拡散とレジリエンスの対比
「非拡散」は単一の chokepoint(隘路)に依存するため脆いが、「レジリエンス」は社会全体に防御を分散させることで、より強固で持続可能な安全保障を実現できる。
政策決定者の選択と未来
政策担当者は、困難だが効果的な「レジリエンス投資」に集中するか、あるいは負担が大きく効果が薄い「非凡な介入(非拡散など)」を迫られるかの二択に立たされている。
予防原則に基づく活動制限の正当性
異常な介入は実現した危害ではなく予測される危害に基づいて活動を制限するが、そのためにはより強い根拠が必要であり、代替手段(レジリエンス投資など)が存在する場合は特にそうなる。
責任のない主体への自由の制限
政府による規制は悪意ある行為者ではなく、ツールを構築する企業に負担を課し、二重用途技術の場合には有益なアクセスを阻害して少数の悪意ある者の misuse を防ぐという非対称性を生む。
民主的プロセスの回避
異常な介入は通常の手続きを迂回し、自由への制限が民主的な説明責任にさらされるよう設計されたガバナンスプロセスを無視して、緊急宣言や行政命令などの一方的権限に依存する。
影響分析・編集コメントを表示
影響分析
本記事は、AI 規制議論において主流になりつつある「技術的ブレーキ」や「非拡散」アプローチの限界を鋭く指摘し、政策決定者に対して社会全体の防御力強化(レジリエンス)への転換を促す重要な提言である。これは、単なる規制の是非を超え、政府のガバナンス能力そのものへの問いかけを含んでおり、今後の AI 政策形成におけるパラダイムシフトの契機となる可能性がある。
編集コメント
経済効果と安全性リスクの切り分けにおいて、政府介入の必要性を再考させる鋭い視点です。特に「非拡散」の脆さと「レジリエンス」の重要性を対比させた論点は、規制議論が停滞する中で非常に示唆に富んでいます。
最近のエッセイにおいて、デレク・トンプソンは「AI を通常の技術(AINT)として捉える」議論に取り組んでいます。彼は、我々の仮説である AI の労働市場への影響が緩やかである点に同意しており、その根拠として、これまでの GDP 成長率が平均的であり、失業率は 5% を下回っており、自動化によって脆弱に見える職種でさえ雇用と賃金が上昇している事実を挙げています。彼は結論として、これまでに示されたマクロ経済の状況は、「通常の」汎用技術から我々が予想するものと整合していると述べています。
しかし、AI のリスクに関しては、彼の見方ははるかに悲観的です。彼はサイバーおよびバイオ関連のリスクの事例を指摘し、AI が多くの新たな分野で急速に危険になることに対して楽観視していません。彼は、AI の創発的(emergent)能力がそれを過去の技術と根本的に異ならせるものであり、この違いが企業へのリリース制限を含む「並外れた」政府対応を正当化するものであると主張しています。
本エッセイでは、新しい技術に対する政府の「並外れた」介入の欠点について論じます。また、そのような介入を必要とせずにレジリエンス(resilience)を高めるための提案についても議論します。さらに、なぜ政府がこれまでレジリエンスへの投資に消極的であったのかについても考察します。要するに、レジリエンスを構築するには、政策決定の*通常の*プロセスをより良くしていく必要があります。しかし、連邦政府における硬直化と、社会全体よりも AI 企業に対する介入を正当化しやすい状況が、その限界にもかかわらず「並外れた」介入を魅力的に見せているのです。
次に何が起きるのか?政策決定者は、レジリエンスの向上に巨額の投資を行うなどして自らの行動を整理するか、あるいは AI の非拡散など、より負担が大きく効果も低い非常措置を余儀なくされるかの二者択一となる。

非拡散(nonproliferation)は単一のボトルネックに依存するため脆く、レジリエンスは社会全体に防御を分散させる。
AINT の主張とトンプソンの合意・相違点の要約
多くの人が、AI を通常の技術として捉える(AI as Normal Technology)という枠組みは AI の経済的影響を考える上で有用である一方、安全性に関する我々の見解には懐疑的だと考えている。トンプソンもその一人だ。AINT 論文では、労働市場への緩やかな影響や悪用リスクに対するレジリエンスについて、異なる主張を行っている。
労働市場に関する議論は、普及の速度に依存している。新しい AI の能力とその経済的影響の間には、製品の開発、組織ワークフローの変更、規制への対応など、多くの速度制限が存在する。この視点は、急速かつ広範な雇用喪失(例えば、アモダイ氏による差し迫ったホワイトカラーの大虐殺に関する主張)が実現しにくい理由を理解するのに役立ち、また AI の有益な導入を妨げる可能性のある普及のボトルネックを特定するためにも有用である。
しかし、AI の悪用リスクに関する私たちの議論は、攻撃と防御のバランスに依存しています。つまり、特定の能力において攻撃側か防御側のどちらがより恩恵を受けるのか、そして悪用リスクに対応してレジリエンスを構築する我々の能力がどうなるかです。注目すべき点は、攻撃者が有害な影響を与えるために組織的な採用という遅いプロセスを経る必要がないということです。私たちは、社会的レジリエンスを構築して悪用リスクに対処し、AI のリスクを低減するために取るべき多くの介入策を特定することを主張しています。
ここでトンプソンは私たちに反対します。その理由の一つは、すべての汎用技術が新しいリスクをもたらすものであり、それらは過去のパターンから推論することが難しいからです。しかし、トンプソンは、汎用技術の歴史においてさえ、AI は開発者自身にとっても未知で突発的なリスクがあるため、「異常」であるように見えると主張します。そしてこれは、政府が AI を異常な技術として扱い、「あまりにも危険であるという理由で民間企業が製品やサービスを販売することを防ぐために、特別な規制を創設するよう政府に強制する」という計画を正当化するものです。
トンプソンは「特別な政府行動」が何を意味するのかを正確には定義しておらず、彼が想定する具体的な介入策もやや不明確です。私たちはそのような介入策に反対して議論を行うため、「特別な介入」という用語について私たちが何を意味しているのかを明確にしたいと考えています。私たちは、特別な介入を、AI だけでなくあらゆる強力な技術に適用される3つの要因によって定義されるスペクトラムとして捉えています。
まず、並外れた介入は予防的な傾向があります。これらは実現したあるいは実証された害ではなく、予測される害に基づいて活動を制限します。これは予防が常に不要という意味ではありませんが、害が生じるという明確な証拠(あるいは私たちが予測する通りに生じるという証拠)がないまま活動が制限されるため、その正当化はより強固である必要があります。それでもなお、リスクに対処しつつより制限の少ない代替手段(例えばレジリエンスへの投資など)が存在する場合、介入はさらに並外れたものとなります。
第二に、並外れた介入は、問題となる害に対して直接責任を負っていないアクターの自由を制限します。政府が AI 企業がリリースできるものを制限する際、負担がかかるのは害を引き起こす悪意のあるアクターではなく、原則として誤用される可能性があるツールを開発する企業です。これは特にデュアルユース技術において顕著です。これらのツールには広範な有益な応用があるため、少数の悪意あるアクターの誤用を防ぐために企業に対する制限が課されると、より広い一般公衆による有益なアクセスが阻害される恐れがあります。
第三に、並外れた介入は通常のガバナンスプロセスを迂回し、民主的な説明責任の下で自由への制限が行われることを保証するために存在するプロセスを無視して、緊急宣言や大統領令などの一方的権限に依存します。
介入がこれら3つの基準すべてを満たす必要はない。しかし、これらの要因がどれほど多く存在するかによって、それを正当化するためのハードルはより高くなるべきである。
政府による異常な介入は異常にコストがかかる
AI が悪用のリスクを伴うことは我々も同意する。しかし、「異常」な技術を規制してきた経験から、政府による異常な介入がいかに負担となるかがわかる。核不拡散の執行には、IAEA(国際原子力機関)、核不拡散条約、数十年にわたる外交交渉、継続的な投資、さらには軍事対立さえも必要であった。これらの介入のコストは莫大だったが、そのアプローチが少なくともある程度実行可能だったのは、核兵器が濃縮ウランに依存しており、これは実際に回避するのが非常に困難な物理的なボトルネックだからである。
AI は核兵器とは異なる。まず、同等の「物理的」なボトルネックが存在しない。AI システムを構築するための核心的技術はすでに広く知られている。敵対者(特に国家主体)は数ヶ月で最先端の能力に追いつくことができる。AI に対する不拡散体制は常に侵食されることに直面するだろう。
この課題に直面し、政府はどのように非拡散を維持できるでしょうか?提案されている介入のいくつか、例えば AI 企業が事前評価のための自主的コミットメントに関する rumored な大統領令などは、異常な介入のスケールにおいては比較的軽微です。適切に行われれば、これらは新たな能力に対する防御側の準備時間を増やすことで、攻防バランスを防御側に傾けることを可能にします。
米国はまた、半導体に対する輸出規制も施行しています。これは控えめな介入であると私たちは考えます:各国はイノベーションにおける優位性を維持するために通常、敏感な商品の輸出を制限しており、どこで線を引くべきかについては合理的な人々でも意見が分かれるでしょう。しかし、危険な能力が広く利用可能になるのを防ぐという点では、輸出規制ははるかに効果的ではありません。オープンウェイトモデルとフロンティア研究所からの広範な API アクセスにより、フロンティアの能力と一般に利用可能な能力との間のギャップは最長でも数ヶ月であり、数年ではありません。
非拡散が私たちに買えるものがせいぜい数ヶ月であるならば、最も緊急の優先事項は、これらの能力が必然的に広く利用可能になった際に備えてレジリエンス(回復力)への投資を行うことです。これは以下で議論する通りです。一方、政府が高度な AI 能力の悪用を防止するために非拡散を維持しようとする場合、その介入は必然的により厳しく要求されることになります。
真に非拡散を執行するためには、政府はオープンウェイトモデルへのアクセスや、能力のあるモデルに対する API アクセスさえも制限する必要が生じます。これには、どのモデルがリリースされるかについて政府が継続的な権限を持つライセンス制度と、オープンウェイトモデルに対する制限が必要となります。私たちはすぐに、政府がどのような AI 研究や製品を公に共有できるかを統制する状態に入り込む可能性があります。実際、すでにそのような統制の懸念すべき事例が見られています。例えば、Anthropic がサプライチェーンリスクとして指定されたことや、AI 企業に対するライセンス要件に関する最近の噂などが挙げられます。
この滑り台を回避するためには、特別な介入を提案する人々は、どこで線を引くのかを明確にする必要があります。オープンウェイトモデルへの制限を支持するのでしょうか?それとも、新しいモデルのリリースごとに承認を求めることや、国境を越えてフロンティア AI を構築する研究者の移動に対する制限を支持するのでしょうか?提唱者が彼らが求めているものの限界を特定できない場合、能力が進展するにつれて政府が一方的な行動をとる能力を増大させるという要求は、エスカレートし続けることが合理的に予想されます。
核兵器の場合、不拡散体制が構築された後は、数年ごとに再構築する必要はありませんでした。しかし、AI は強力なデュアルユース特性を持つ最後のデジタル技術ではありません。新しい技術は同様の疑問を提起し、類似またはエスカレートする対応を潜在的に要求します。したがって、AI を規制するための「異常技術」枠組みは、特定のリスクに対する標的型対応というよりは、市民や企業が構築・公開・研究できることに対する政府権限の恒久的な拡大のように見え始めています。
私たちはこの議論が以前にも展開されたのを見てきました。新しい技術ごとに、危害を軽減するためにどのような自由への制限が適切かという問いが生じます。この歴史は、自動的に特別な政府介入を課すことにデフォルトすべきではないことを教えてくれます。
インターネットは人々が爆弾の作り方に関する情報にアクセスすることを可能にし、1995 年のオクラホマシティ爆破事件の後、故人のフェインスタイン上院議員は、最初の草案ではインターネット上で爆弾製造材料やプロセスを説明するいかなる情報の配布も犯罪化する法案を導入しました。(法案が最終的に可決された際には範囲が狭められ、犯人がその指示を通じて故意に犯罪を助長したことを証明する必要がありました。)
連邦政府はまた、暗号化ソフトウェアへのアクセスを制限しようと試みました。その理由は、犯罪者が法執行機関の手の届かないところで通信できるようになるのを防ぐためだと主張したからです。輸出規制を課し、政府が常にプライベートな通信にアクセスできるようにするために暗号化にバックドア(後門)を設置することを義務付ける提案も行いました。さらに、暗号化ソフトウェアを公開したプログラマーに対して武器輸出管理法に基づき刑事捜査を開始さえしました。

暗号化に対する政府の制限に抗議するために着用された T シャツには、RSA 暗号アルゴリズム(RSA encryption algorithm)のソースコードがプリントされています。出典
これらの制限は最終的に、裁判所の判決と行政措置を組み合わせた結果撤回されました。暗号化はデジタルセキュリティの基盤となり、電子商取引やオンラインバンキング、その他多くのアプリケーションを可能にしました。
しかし、歴史上の他の時期には、新技術への対応として政府権限の拡大を受け入れてきた事例があります。ダイナマイト発明後の広範なテロ行為が、FBI による監視装置の拡大を促したのです。
問われているのは、このレベルの介入が AI のリスクに対処するために必要かどうかです。特別な政府介入を要さない対応策の一つとして、レジリエンス(回復力)の向上があります。
レジリエンスは AI リスクに対する過小評価されている防御策
レジリエンスとは、システムが害に耐え、適応する能力のことです。これは私たちが AINT エッセイで提案した主な防御策の一つでした。企業が何をリリースできるかを制限するような特別な政府行動とは異なり、レジリエンスは AI 企業に対してコストを課すものではありません。むしろ、AI リスクが発生する時期や場所に関わらず、それに対応し回復する能力を高めることに焦点を当てています。過去の技術的害悪において、システムのレジリエンスを向上させることが害を軽減するための鍵となってきました。
サイバーセキュリティを考えてみましょう。インターネットは、ネットワークを通じて拡散するワームなど、全く新しいクラスの攻撃を生み出し、数十億ドルの被害をもたらしました。これらのリスクに対する防御方法は、コンピュータやインターネットへのアクセスを制限することではなく、脆弱性を開発者に報告することをインセンティブとするバグ・バウンティ(bug bounties)、ブラウザやオペレーティングシステムの改善、自動化されたテスト、より良いパッチ適用プラクティスなどを通じて行われました。これらすべてが、リスクが発生した場所に関わらず、サイバーインフラのレジリエンスを向上させました。
自動化された脆弱性検出ツールは、新たな種類の攻撃を可能にする技術の別の例です。ファズァーや記号実行エンジンなどのツールは、長年にわたり脆弱性検出において「人間を超えた」能力を発揮しており、人間が及ばない規模で脆弱性を検出することができます。しかし、これらのツールはオープンソースリポジトリ上で自由に利用可能でした。防御側も同じツールにアクセスできたため、これらはサイバーディフェンスエコシステムによって主に資金提供された中核的な防御ツールとなりました。実際、防御側にはテスト対象のシステムへのより深いアクセスなど、これらのツールを効果的に使用する構造的な優位性がありました。これが結果として、サイバーシステムの保護強化につながりました。

脆弱性検出能力の概念化されたスペクトルは、既存のツールが支援なしの脆弱性研究者よりもはるかに優れていることを示しています。
これは、特別な政府の介入を必要とせずに、支援なしの脆弱性検出から、はるかに人間を超えた検出能力への移行をどのように管理してきたかを示しています。LLM(大規模言語モデル)が脆弱性検出に実質的な改善をもたらすことは認めつつも、それらはすでに人間が単独で達成できる範囲を遥かに超える数十年にわたるツール群の上に構築されたものです。もし既にそのようなツールへの移行を吸収しているなら、言語モデルの追加的な能力が特別な介入を必要とするかどうかを問う価値があります。
明確に述べておくと、これらの移行は滑らかでも痛みも伴わないものではありませんでした。ある短い期間中、攻撃者と防衛者のバランスは完全に崩れました。マルウェアのウイルス的拡散とその結果生じる非対称性という考え方は前例のないものでした。15 歳の若者がトップクラスの e コマースサイトや検索エンジンをダウンさせる壊滅的なサイバー攻撃を創り出すことが可能になりました。この期間中に個人や企業に与えられた被害を軽減するために、政府によるサイバーセキュリティの改善のための介入が有効だった可能性は十分にあります。
AI を用いたサイバー攻撃は再び攻防のバランスを崩す可能性があり、私たちは AI 移行がデフォルトでスムーズに進むとは考えていません。現在防御が不十分な多くのシステム、つまり学校、病院、電力網、小規模な政府機関などは、実際に危険にさらされることになります。Project Glasswing や OpenAI のサイバーセキュリティ助成プログラムなどの取り組みは重要ですが、それら単独では不十分です。高度な AI システムへのアクセスを制限することは短期的には役立つかもしれませんが、オープンウェイトモデルが最も能力の高いクローズドモデルの数ヶ月以内に追いつく世界において、これは万能薬ではありません。
AI のサイバーリスクに対処するには、レジリエンス(回復力)への投資が必要です。つまり、技術企業だけでなく、現在防御能力を欠いている学校、病院、電力網、中小企業、政府システムにおいても AI を活用したレッドチーム演習を行うべきです。また、セキュリティ専門家が脆弱性を発見・報告するようインセンティブを与えることも重要です(AI の使用の有無にかかわらず)、例えば、技術企業の製品だけでなくより広範な対象をカバーするバグ報奨金制度などを通じてです。これらの取り組みは自動的に実現されるものではなく、投資と計画が必要です。
朗報は、この作業が多くの異なる業界で既に始まっていることです。これには多大な投資が必要ですが、厳格な非拡散体制を強制するよりもはるかに負担は少ないのです。悲観的な見方としては、政府には真に痛みを伴わない移行を実現するためにまだやるべきことが山積みであるという点です。
同様の分析はバイオセキュリティにも当てはまります。AI は一部の情報障壁を低下させる可能性がありますが、生物攻撃には多くの下流工程が依存しています:資材の調達、専門機器へのアクセス、暗黙のノウハウの適用です。これらの下流工程に対して、AI 開発に対する強力な規制を課すことなく、社会の生物攻撃に対するレジリエンス(回復力)を高めるために、今すぐ介入することができます。具体的には、合成生物学の注文に対するより良いスクリーニングの実施、新しい化合物のリスク評価に AI を活用すること、危険な物質へのアクセスの追跡、そしてこれらの取り組みにおける隙間を見つけるためのオフェンシブ・レッドチーム(信頼できる専門家に AI を用いて危険な化合物を製造しようとする試みを依頼するなど)などです。これらは、バイオリスクが AI に起因するかどうかにかかわらず役立ちます。
もしレジリエンスがそれほど有益なら、なぜすでに優先されていないのか?
重要なのは、レジリエンスは特別な政府の介入を必要としないということです。必要なことは、政策立案と実行という「通常の」プロセスにおいて、私たちが自らの行動を整えることだけです。
問題は、私たちが通常の政策立案に長けていないことです。レジリエンスのアプローチが魅力的に見えない理由の一つとして、多くの意思決定者が調和して協力する多中心的ガバナンスを必要とする点が挙げられます。これは、米国における国家能力が数十年にわたる累積的な拒否権ポイントと緩やかな手続主義によって麻痺していることを考えると、非常に難しい提案です。その結果、行政部門による一方的な行動が、AI 政策の策定と執行のための解決策としてしばしば見なされています。
レジリエンスへの投資には、不拡散よりもはるかに広範なアクターによる行動と投資が必要です。レジリエンスを効果的なものとするためには、政府が立法を行い資金を配分し、機関間での協力を行い、早期警戒システムを構築し、下流のアクターにとってのリソースハブとして機能し、彼らの防御を強化するために情報を迅速に伝達する必要があります。米国の連邦政府は、この一連のタスクにおいて有能であるとはあまり知られていません。
したがって、政府の実績を見てみると、レジリエンスに関する政策対応が期待外れであったとしても驚くべきことではありません。実際、AI における「通常」派と「異常」派の間で透明性、監査、安全性研究のための安全港などの要件において合意がある領域であっても、具体的な連邦政府の行動はまだ見ていません。(サイバーリスクに対する調整を改善するよう連邦政府に求める最近の代表者からの書簡など、いくつかの取り組みはあります。しかし現時点では、これは提言を含む単なる書簡であり、これらの提案に基づいて実際に行動がとられるかどうかは今後の課題です。)
この文脈において、AI のリスクに対処するために非拡散のような政府による特別な措置が魅力的に見えることがあります。これらは主にこれらのリスクを生み出す企業に負担を課すため、道徳的に満足感を与えます。また、国防生産法(Defense Production Act)の発動など行政による単独行動のみで済むため、実行可能でもあります。主な疑問は、こうした措置を通じてより良い結果を達成できるかどうか、あるいはガバナンスの「通常」のプロセスを改善することに投資すべきかどうかです。
前者を取る理由については私たちが理解している一方で
原文を表示
In a recent essay, Derek Thompson engages with AI as Normal Technology (AINT). He agrees with our thesis about AI’s slow labor market impacts, relying on the fact that GDP growth has so far been average, unemployment is below 5%, and even jobs that seemed vulnerable to automation show rising employment and wages. He concludes that so far, the macroeconomic picture is consistent with what we would expect from a “normal” general-purpose technology.
But when it comes to AI risks, he is far more bearish. He points to examples of cyber- and bio-risks and expresses pessimism about AI quickly becoming dangerous across many new domains. He argues that AI’s emergent capabilities make it fundamentally different from previous technologies, and that this difference justifies “extraordinary” government responses including restrictions on what companies can release.1
In this essay, we lay out the downsides of extraordinary government intervention in response to new technology. We discuss proposals for improving resilience that do not require such intervention. We also discuss why governments have so far been reluctant to invest in resilience. In short, resilience requires us to get better at the *normal* process of policymaking. But sclerosis in the federal government and the ease of justifying interventions on AI companies rather than society at large make extraordinary intervention seem appealing, despite its limitations.
What happens next? Policymakers can either get their act together and invest heavily in improving resilience, or be forced to take extraordinary actions (such as on AI nonproliferation) that are more onerous and less effective.

Nonproliferation is brittle because it relies on a single chokepoint. Resilience distributes defenses across society.
A Recap of AINT’s Arguments and Thompson’s Areas of Agreement and Disagreement
Many people, including Thompson, have found AI as Normal Technology to be a useful framework for thinking about AI’s economic impacts while being unconvinced by our views on safety. In the AINT essay, we make different arguments about slow labor market impacts and resilience to misuse risks.
The labor market argument rests on the speed of diffusion: there are many speed limits between a new AI capability and its economic impact, including the need to build products, change organizational workflows, and navigate regulation. This has proven helpful both to understand why claims of rapid and widespread job displacement (such as Amodei’s claims about an imminent white-collar bloodbath) are unlikely to materialize, as well as to identify bottlenecks to diffusion that could hinder the beneficial adoption of AI.
But our argument about AI’s misuse risks depends on the offense-defense balance: whether attackers or defenders benefit more from a given capability, and our ability to build resilience in response to misuse risks. Notably, an attacker does not need to go through the slow process of organizational adoption to cause harm. We argue for building societal resilience to intervene on misuse risks and identify many interventions that we should take to reduce AI risks.
Here, Thompson disagrees with us. One reason he disagrees is that all general-purpose technologies bring about new risks, which are hard to reason about from previous patterns. But even in the history of general-purpose technologies, Thompson argues that AI seems particularly “abnormal” because of risks that are emergent and unknown even to AI developers. And this justifies plans by the government to treat AI as an abnormal technology, since it “compels the government to create extraordinary regulations that prevent private companies from selling their products and services on the grounds that they’re too dangerous.”
Thompson doesn’t define precisely what he means by extraordinary government action, and the specific interventions he envisions remain somewhat vague. Since we’ll be arguing against such interventions, we want to be clear about what we mean by the term. We think of extraordinary interventions as a spectrum defined by three factors that apply to any powerful technology, not just AI.
First, extraordinary interventions tend to be precautionary. They restrict activity based on anticipated harms rather than realized or demonstrated ones. This doesn’t mean that precaution is never warranted, but it does mean the justification needs to be stronger, since we are restricting activity without clear evidence that the harms will materialize (or that they’ll materialize exactly as we predict). Even then, an intervention is more extraordinary when viable alternatives exist that can address the risks while being less restrictive, such as investing in resilience.
Second, extraordinary interventions impose restrictions on the liberty of actors who are not directly responsible for the harms in question. When governments restrict what AI companies can release, the burden falls not on the malicious actors who cause harm, but on companies that build tools that could, in principle, be misused. This is especially pertinent for dual-use technologies. Because these tools have widespread beneficial applications, restrictions on companies can cut off beneficial access for the broader public in order to prevent misuse by a small number of bad actors.
Third, extraordinary interventions bypass normal processes of governance, and instead rely on unilateral authority such as emergency declarations or executive orders, even though the governance processes being bypassed exist to ensure that restrictions on liberty are subject to democratic accountability.
An intervention need not satisfy all three of these criteria to count as extraordinary. But the more of these factors that are present, the higher the bar should be for justifying it.
Extraordinary Government Action is Extraordinarily Costly
We agree that AI poses misuse risks. But our experience from regulating “abnormal” technologies shows how burdensome extraordinary government interventions can be. The enforcement of nuclear nonproliferation has required the IAEA, the Non-Proliferation Treaty, decades of diplomacy, ongoing investments, and even military confrontation. The tolls of these interventions were enormous, but the approach was at least somewhat enforceable because nuclear weapons depend on enriched uranium, a physical bottleneck that is genuinely hard to get around.
AI is different from nuclear weapons. For one, there is no equivalent “physical” bottleneck. The core techniques for building AI systems are well known. Adversaries (especially nation-states) can match frontier capabilities within months. Any nonproliferation regime for AI would face constant erosion.
In the face of this challenge, how could governments maintain nonproliferation? Some proposed interventions, such as the rumored executive order on voluntary commitments by AI companies for predeployment evaluations, are relatively low on the scale of extraordinary interventions. Done well, they could allow us to tilt the offense-defense balance by giving defenders more time to prepare for new capabilities.
The U.S. has also enacted export controls on chips. We think this is a modest intervention: countries routinely restrict exports of sensitive goods to maintain their lead in innovation, and reasonable people can disagree about where to draw the line. But when it comes to preventing dangerous capabilities from being widely accessible, export controls are far less effective. Open-weight models and widespread API access from frontier labs mean that the gap between frontier and publicly available capabilities is at most a few months, not years.
If the most that nonproliferation can buy us is a few months, the urgent priority should be investing in resilience so that we are better prepared when those capabilities inevitably become widely available, as we discuss below. On the other hand, if governments try to maintain nonproliferation as a way to deter the availability of advanced AI capabilities for misuse, their interventions will necessarily get more demanding.
To truly enforce nonproliferation, governments would need to restrict access to open-weight models and even API access to capable models. This would require licensing regimes that give governments ongoing authority over which models can be released and restrictions on open-weight models. We might quickly enter a state where governments exercise control over what AI research and products can be shared publicly. In fact, we have already seen concerning examples of such control, such as Anthropic’s designation as a supply chain risk, and recent rumors about licensing requirements for AI companies.
To avoid this slippery slope, those proposing extraordinary interventions should be clear about where they would draw the line. Would they support restrictions on open-weight models? What about requiring approvals for each new model release, or restrictions on the movement of researchers who build frontier AI across countries? If proponents cannot specify the limits of what they are calling for, it is reasonable to expect that the demands for increases in the government’s ability to take unilateral action will keep escalating as capabilities advance.2
For nuclear weapons, once the nonproliferation regime was built, it did not need to be rebuilt every few years. But AI is not the last digital technology with powerful dual-use properties. New technologies would raise similar questions and potentially demand similar or escalating responses. So the “abnormal technology” framework for regulating AI would start to look less like a targeted response to a specific risk and more like a permanent expansion of government powers over what citizens and companies can build, publish, and research.
We have seen this debate play out before. Each new technology raises questions of what restrictions to liberty are appropriate to mitigate harms. This history tells us we shouldn’t automatically default to imposing extraordinary government interventions.
The internet allowed people to access information about how to build bombs, and in 1995, after the Oklahoma City bombing, the late Senator Feinstein introduced a bill that, in its first draft, would have criminalized the distribution of any information on the internet describing bomb-making materials or processes. (When the bill was eventually passed, it had a narrower scope, requiring offenders to have knowingly aided a crime through their instructions.)
The federal government also tried to restrict access to encryption software, arguing it would help criminals communicate beyond the reach of law enforcement. It imposed export controls and proposed requiring backdoors in encryption so that the government could always access private communications. It even started a criminal investigation against a programmer under the Arms Export Control Act for releasing encryption software.

A t-shirt with the source code for the RSA encryption algorithm, used to protest the government’s restrictions on cryptography. Source
These restrictions were eventually rolled back through a combination of court rulings and executive action. Encryption became the foundation of digital security, enabling e-commerce, online banking, and many other applications.
Yet, at other points in history, we have accepted increases in government powers in response to new technologies. The widespread acts of terrorism after the invention of dynamite catalyzed the expanding government surveillance apparatus by the FBI.
The question is whether this level of intervention is necessary to address AI risks. One response that does not require extraordinary government intervention is improving resilience.
Resilience is an Under-Emphasized Defense Against AI Risks
Resilience is the capacity of a system to withstand and adapt to harm. It was one of the main defenses we proposed in the AINT essay. Unlike extraordinary government actions like restrictions on what companies can release, resilience does not impose costs on AI companies. Instead, it focuses on improving our capacity to respond to and recover from AI risks, regardless of when or where they occur. For past technological harms, improving the resilience of systems has been key to reducing harm.
Consider cybersecurity. The internet created entirely new classes of attacks, such as worms that spread through networks, causing billions of dollars in damages. The way we defended against these risks was not by restricting access to computers or the internet, but rather through bug bounties to incentivize people to report vulnerabilities to developers, improving browsers and operating systems, automated testing, and better patching practices. All of these improved the resilience of our cyber infrastructure regardless of where the risks arose.
Automated vulnerability detection tools are another example of technology enabling new kinds of attacks. Tools such as fuzzers and symbolic execution engines have been “superhuman” at vulnerability detection for years; they can detect vulnerabilities at a scale humans cannot match. Yet, they have been freely available on open-source repositories. Since defenders had access to the same tools, they became core defensive tools, largely funded by the cyberdefense ecosystem. In fact, defenders had structural advantages in using these tools effectively, such as deeper access to the systems being tested. This in turn led to better protections for cybersystems.

Stylized spectrum of vulnerability detection capability, showing that existing tools were already vastly superior to unaided vulnerability researchers.
This shows how we have managed the transition from unaided vulnerability detection to vastly superhuman detection without requiring extraordinary government intervention. We agree that LLMs bring real improvements to vulnerability detection, but they build on top of decades of tooling that is already far beyond what any human can do unaided. If we have already absorbed the transition to such tools, it is worth asking whether the additional capabilities of language models call for extraordinary interventions.
To be clear, these transitions were not smooth or painless. For a brief period, the attacker-defender balance was completely upset. The idea of viral spread of malware and the resulting asymmetry was unprecedented. 15-year-olds could create devastating cyberattacks that brought down top e-commerce websites and search engines. It is plausible that government intervention to improve cybersecurity could have reduced the harm caused to individuals and businesses during this period.
AI’s use for cyberattacks might once again upset the offense-defense balance, and we don’t think the AI transition will be smooth by default. Many systems that are currently under-defended, including schools, hospitals, power grids, and small government agencies, will be at real risk. Efforts like Project Glasswing and OpenAI’s cybersecurity grant program are important but insufficient on their own. While restricting access to advanced AI systems might be helpful in the short run, it is not a silver bullet in a world where open-weight models are only months behind the most capable closed models.
Addressing AI’s cyberrisks requires investment in resilience. That means AI-assisted red-teaming not just for tech companies, but for schools, hospitals, power grids, small businesses, and government systems that currently lack the capacity for defense. We should also incentivize professional security experts to find and report vulnerabilities (with or without AI use), such as through bug bounties that cover more than just tech company products. These efforts are not automatic; they require investment and planning.
The good news is this work is starting across many different industries. While this requires significant investment, it is still far less burdensome than enforcing a strict nonproliferation regime. The bad news is governments have a lot left to do to truly make the transition painless.
The same analysis applies to biosecurity. AI may lower some information barriers, but bioattacks depend on many downstream steps: procuring materials, accessing specialized equipment, and applying tacit know-how. We can intervene on those downstream steps *now* to increase societal resilience to bioattacks without imposing strong controls on AI development, such as by implementing better screening of synthetic biology orders, using AI to evaluate the riskiness of new compounds, tracking access to dangerous materials, and offensive red-teaming (such as asking trusted experts to attempt to use AI for manufacturing dangerous compounds) to find gaps in these efforts. These help regardless of whether biorisks are from AI.
If Resilience is So Helpful, Why Haven’t We Prioritized it Already?
Importantly, resilience does not require extraordinary government intervention. It only requires us to get our act together on the “normal” process of policymaking and execution.
The problem is we are not great at normal policymaking. We suspect one reason why the resilience approach seems unappealing is that it requires polycentric governance in which many decision makers work harmoniously together. This is a tough sell given that state capacity in the United States has been hobbled by decades of accumulating veto points and creeping proceduralism. As a result, unilateral actions by the executive branch are often seen as the way out for developing and enforcing AI policy.
Investing in resilience requires action and investment by a much wider set of actors than nonproliferation does. For resilience to be effective, the government needs to legislate and allocate funding, collaborate across agencies, build early warning systems, and serve as a resource hub for downstream actors and rapidly disseminate information to help them shore up their defenses. The U.S. federal government isn’t exactly well known for being competent at this set of tasks.
So it shouldn’t be a surprise that when we look at the government’s track record, policy responses for resilience have been underwhelming. In fact, even when there are areas of agreement between proponents of the normal and “abnormal” views on AI, such as requirements for transparency, auditing, and safe harbors for safety research, we are yet to see concrete federal action. (There are some efforts, like the recent letter from representatives urging the federal government to improve coordination on cyberrisks. But for now, it is just a letter with recommendations; it remains to be seen if any action will be taken based on these suggestions.)
It is in this context that extraordinary government actions, such as nonproliferation, look tempting to address AI risks. These are morally satisfying since they primarily impose burdens on the companies that create these risks. They are also tractable, since they only require unilateral action from the Executive, such as invoking the Defense Production Act. The main question is whether we can achieve better outcomes through such actions, or whether we should invest in improving the “normal” process of governance.
While we understand the reasons for taking the former
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み