Hopp til hovedinnhold
 AI-nyheter, ferdig filtrert for ledere
hogby.ai
SISTE:

Britisk forsvar vurderer AI-unntak for dødelige mål • OpenAI gir Codex fjernkontroll over Windows-PC-er • Delte AI-lenker blir ny vei inn for skadevare • EU vil ha tettere USA-linje for cybersterke AI-modeller • OpenAI åpner bioforsvarsmodell for myndigheter og forskere

OpenAI gjør sikkerhetsregimet klart for EU og California
CIOCISOStyreOpenAIEU AI ActCaliforniaAI GovernanceFrontier AISystemrisikoVendor RiskLeverandørstyringEnterprise AICybersecurityComplianceAI Safety

OpenAI gjør sikkerhetsregimet klart for EU og California

JH
Joachim Høgby
28. mai 202628. mai 20265 min lesingKilde: OpenAI
Del
LinkedInXFacebookE-postWhatsAppTelegram

OpenAI gjør sikkerhetsregimet klart for EU og California

OpenAI har publisert en ny Frontier Governance Framework. Den er ikke en produktlansering. Den er mer interessant enn det.

Dokumentet viser hvordan OpenAI vil beskrive, måle og håndtere systemrisiko når de mest avanserte modellene blir regulert strengere. Selskapet peker selv på to konkrete regelspor: Californias Transparency in Frontier AI Act og EU AI Acts kode for generelle AI-modeller med systemrisiko.

Det betyr at sikkerhetsarbeidet flyttes fra bloggposter og interne komiteer til et mer formalisert styringsregime. For norske virksomheter som kjøper AI fra amerikanske leverandører, er dette et tidlig varsel om hva innkjøp, risikostyring og revisjon kommer til å spørre om de neste 12 til 18 månedene.

OpenAI skriver at rammeverket dekker cyberangrep, kjemiske, biologiske, radiologiske og nukleære risikoer, skadelig manipulasjon og tap av kontroll. Det omfatter også modellrapportering, sikkerhetsstyring, hendelseshåndtering, innspill fra eksterne eksperter og oppdatering av selve rammeverket.

Det mest konkrete punktet er definisjonen av alvorlig skade. I PDF-en beskriver OpenAI systemrisiko som risiko for at en frontier-modell kan bidra vesentlig til mer enn 50 dødsfall eller én milliard dollar i materielle skader eller tap i én hendelse. Det er et annet presisjonsnivå enn den vanlige leverandørformuleringen om at AI skal være trygg, ansvarlig og nyttig.

For CIO-er og CISO-er er dette praktisk. Det gir et bedre spørsmål enn «er modellen sikker?». Spørsmålet blir: Hvilke risikokategorier har leverandøren faktisk vurdert, hvilke terskler bruker de, hva skjer når tersklene kan være passert, og hvilke deler er åpne for kunde, regulator og tredjepart?

OpenAI sier at rammeverket bygger videre på selskapets Preparedness Framework, men at det nye dokumentet er laget for å vise hvordan praksisen møter juridiske krav. Det er et viktig skille. Preparedness Framework handler om OpenAIs egen måte å operasjonalisere risiko på. Frontier Governance Framework er skrevet for en verden der regulatorer vil se sporbarhet, ikke bare prinsipper.

Det gjør saken relevant også utenfor USA. EU AI Act innfører egne krav for generelle AI-modeller med systemrisiko. Store europeiske kjøpere vil ikke bare spørre om databehandleravtaler og ISO-sertifikater. De vil spørre hvordan modellprodusenten identifiserer systemrisiko, hvilke evalueringer som brukes før og etter utrulling, hvordan alvorlige hendelser klassifiseres, og hvordan endringer i sikkerhetsrammeverket godkjennes.

OpenAI beskriver at risikovurderinger kan skje gjennom hele modellens livsløp, både under utvikling og etter utrulling. Selskapet viser til interne tester, ekstern forskning, markedsanalyser, eksperter, myndighetsdialog, hendelser og overvåking etter lansering. Det er særlig viktig for agentiske systemer. Risikoen ligger ikke bare i modellen isolert, men i hvordan den kobles til verktøy, data, betaling, kodebaser og interne arbeidsflyter.

Rammeverket viser også en svakhet. OpenAI skriver at selskapet fortsatt er tidlig i arbeidet med å vurdere risiko fra skadelig manipulasjon. Det er ryddig å si det høyt. Det er samtidig et punkt ledere bør merke seg. Påvirkningsoperasjoner, valgmanipulasjon og koordinerte kampanjer er ikke bare modellspørsmål. De er distribusjons-, produkt- og overvåkingsspørsmål. Det gjør dem vanskeligere å teste før lansering enn renere tekniske risikokategorier.

OpenAI legger vekt på sikkerhetsmarginer. I dokumentet står det at selskapet i noen tilfeller vil behandle modeller som om en terskel er passert hvis de ikke kan utelukke det, selv uten direkte bevis. Det er en konservativ formulering. Den er også kommersielt interessant. Jo kraftigere modellene blir, desto mer vil leverandørene måtte dokumentere hvorfor de likevel mener rest-risikoen er akseptabel.

For styrer er konsekvensen enkel: AI-risiko blir mer målbart, men ikke nødvendigvis enklere. Når de største leverandørene publiserer egne styringsrammer, får kundene et nytt sammenligningsgrunnlag. Det blir mulig å be om konkrete svar på risikomodellering, hendelsesrapportering, ekstern evaluering og endringskontroll. De som kjøper AI uten å stille slike spørsmål, kjøper mer blindt enn nødvendig.

Dette vil også påvirke leverandørbinding. Hvis én modellplattform har dokumentert prosess for systemrisiko, ekstern rapportering og regulatorisk tilpasning, mens en annen bare har vage sikkerhetssider, er ikke pris per token hele regnestykket. Juridisk eksponering, revisjonsevne og styrets risikotoleranse blir del av modellvalget.

For norske virksomheter betyr det tre konkrete ting nå.

Først bør AI-anskaffelser oppdateres med krav til dokumentert frontier- og systemrisikostyring der leverandøren tilbyr modeller som kan brukes i kritiske prosesser. Ikke alle bruksområder trenger samme kontrollnivå. Men for kode, sikkerhet, jus, kundedialog, finans, HR og drift bør kravene skjerpes.

Deretter bør interne AI-policyer skille mellom applikasjonsrisiko og modellrisiko. Mange virksomheter har kontroll på datadeling og brukeradferd. Færre har en god prosess for å vurdere om modellens grunnleggende kapabiliteter, agentoppsett og verktøytilganger endrer risikobildet.

Til slutt bør CISO og juridisk funksjon eie leverandørspørsmålene sammen med teknologimiljøet. AI-styring blir svak hvis den havner som et rent innovasjonsprosjekt. Rammeverket til OpenAI viser hvor dette er på vei: inn i vanlig virksomhetsstyring, revisjon og regulatorisk dialog.

OpenAI har ikke løst frontier-risiko med ett dokument. Det er heller ikke poenget. Nyheten er at en av de viktigste modellleverandørene nå gjør sitt sikkerhetsregime mer eksplisitt, knytter det direkte til EU og California, og legger opp til at rammeverket skal oppdateres når modeller, evalueringer og regelverk endrer seg.

Det er en sterkere styringsnyhet enn enda en modellscore. For ledere som skal kjøpe, bygge eller regulere AI, er det også mer nyttig.

Kilder og medier

  • Primærkilde: OpenAI, «OpenAI’s Frontier Governance Framework», publisert 28. mai 2026. source_url: https://openai.com/index/openai-frontier-governance-framework/
  • Dokumentgrunnlag: OpenAI, «Frontier Governance Framework» PDF, lenket fra primærkilden.
  • Kildekreditering: OpenAI.
  • Thumbnail: OpenAI Image 2 / hogby.ai.

📬 Likte du denne?

AI-nyheter for ledere. Kuratert av en CIO som bygger det selv. Daglig i innboksen.

Relaterte saker

Britisk forsvar vurderer AI-unntak for dødelige mål
Breaking
CIOCISOCTO

Britisk forsvar vurderer AI-unntak for dødelige mål

Financial Times melder at britiske forsvarstopper vurderer autonome målbeslutninger i unntakstilfeller. Det gjør menneskelig kontroll til et styringsspørsmål for alle som bygger AI-agenter.

30. mai 20265 min lesing
Financial Times
Åpne saken
OpenAI gir Codex fjernkontroll over Windows-PC-er
Breaking
CIOCISOCTO

OpenAI gir Codex fjernkontroll over Windows-PC-er

Codex kan nå bruke Windows-maskiner direkte. For norske IT-ledere flytter AI-agenten fra kodeforslag til faktisk endepunkt-tilgang med nye krav til styring.

30. mai 20264 min lesing
OpenAI
Åpne saken
CFO-er må velge mellom AI-tokens og folk
CIOCFOCISO

CFO-er må velge mellom AI-tokens og folk

CNBC beskriver en ny budsjettkamp i enterprise-AI: modellforbruket vokser så raskt at ledere begynner å veie tokens mot fremtidige ansettelser.

30. mai 20265 min lesing
CNBC
Åpne saken