OpenAI veröffentlicht Frontier Governance Framework und setzt die Schwelle für systematische Risiken auf 1 Milliarde US-Dollar fest
OpenAI hat ein formelles Framework veröffentlicht, das mit dem EU AI Act und der TFAIA von Kalifornien in Einklang steht, und definiert systematische Risiken als jedes Modell, das mehr als 50 Todesfälle oder 1 Milliarde US-Dollar an Schäden aus einem einzigen Vorfall verursacht.
OpenAI hat am Donnerstag das Frontier Governance Framework veröffentlicht, ein formelles Dokument, das ihre Sicherheitskontrollen und Risikobewertungen für zwei spezifische gesetzliche Anforderungen abbildet: den Code of Practice for General Purpose AI (GPAI) der EU, abgeleitet aus dem EU AI Act, und das Transparency in Frontier AI Act (TFAIA) von Kalifornien. Das Dokument definiert systematisches Risiko als jedes Szenario, in dem ein Modell zu mehr als 50 Todesfällen oder 1 Milliarde US-Dollar an Sachschäden aus einem einzigen Vorfall beiträgt, und legt die erste öffentliche Skala von Risikoschwellen für die Grenzmodelle des Unternehmens fest.
Vier Risikobereiche mit operationellen Schwellen
Das Framework organisiert die potenziellen Bedrohungen der Modelle von OpenAI in vier Bereiche: Cyberangriffe, CBRN-Risiken (chemisch, biologisch, radiologisch und nuklear), schädliche Manipulation und Kontrollverlust. In jedem Bereich gibt es drei Risikoniveaus (Tiers), mit funktionalen Definitionen. Im Bereich CBRN ist ein Modell der Stufe 3 in der Lage, einem Experten zu ermöglichen, einen biologischen Bedrohungsvektor zu entwickeln, der mit einem Agenten der Klasse A des amerikanischen CDC vergleichbar ist oder autonom den Synthesezyklus einer regulierten biologischen Bedrohung abzuschließen. Die Grenze zwischen den Tiers definiert, was ein Modell in kontrollierten Bewertungen zeigt, nicht, was es hypothetisch tun könnte.
Warum jetzt und was jedes Framework erfordert
Der Zeitpunkt hat eine direkte regulatorische Begründung. Der Code of Practice GPAI der EU, abgeleitet aus dem EU AI Act, verlangt von Entwicklern von Modellen, die mit mehr als 10^25 FLOPs trainiert wurden, dass sie Dokumentationen über systematische Risiken veröffentlichen und sich Drittprüfungen unterziehen. Die Modelle GPT-4, GPT-4o und GPT-5 von OpenAI überschreiten diese computergestützte Schwelle. Die TFAIA von Kalifornien, die seit dem 1. Januar 2026 in Kraft ist, betrifft Entwickler von Modellen, die mit mehr als 10^26 FLOPs trainiert wurden, und Unternehmen in der Branche mit einem Jahresumsatz von über 500 Millionen US-Dollar; OpenAI erfüllt beide Bedingungen.
OpenAI hat ihre Infrastrukturkontrollen an den Normen ISO 27001, 27017, 27018 und 27701 sowie an SOC 2 Typ II Bewertungen ausgerichtet. Das Framework dokumentiert einen Plan zur Reaktion auf Sicherheitsvorfälle von KI (AIRP) mit Verfahren zur Sichtung, Untersuchung und externen Benachrichtigung bei schwerwiegenden Vorfällen sowie einem unabhängigen Zugangsprozess für externe Prüfer vor der Einführung von Modellen, die sich einem neuen Risikoniveau nähern.
Was ändert sich für den CIO oder CISO, der Modelle von OpenAI implementiert
Für Organisationen, die GPT-4o oder GPT-5 zur Automatisierung von Prozessen oder zur Kundenbetreuung einsetzen, schafft das Framework drei indirekte praktische Verpflichtungen. Die Service-Level-Verträge und internen Risikoanalysen müssen sich auf den AIRP von OpenAI als Teil der Reaktion auf Vorfälle beziehen. Die durch NIS2 in Europa geforderten Audits für KI-Anbieter müssen die Einhaltung der dokumentierten Schwellenwerte überprüfen. Jeder Vorfall, bei dem ein Modell zu einem Schaden über den festgelegten Schwellenwerten beiträgt, aktiviert Benachrichtigungspflichten gegenüber den nationalen Aufsichtsbehörden.
Drei Jurisdiktionen, drei Auslegungen
In der Europäischen Union ist die Frist für die vollständige Einhaltung des EU AI Act für August 2026 angesetzt. Für Unternehmen wie SAP, Deutsche Telekom und Siemens, die APIs von OpenAI in industrielle und Managementprodukte integrieren, wird das Frontier Governance Framework ein verpflichtendes Referenzdokument in ihren eigenen Bewertungen der Einhaltung des EU AI Act. Die Europäische Kommission verlangt, dass Entwickler von Grenz-KI bis zu dem festgelegten Stichtag im August dieser Art von Dokumentation an das AI Office vorlegen.
In den Vereinigten Staaten erfordert die TFAIA von Kalifornien, dass OpenAI Risikobewertungen vor der Einführung von Grenzmodellen durchführt und das Staatsministerium für Technologie im Falle eines schwerwiegenden Vorfalls benachrichtigt. Das Framework dokumentiert die Mechanismen, durch die diese Verpflichtung erfüllt wird, was das regulatorische Risiko des Unternehmens in einem Bundesstaat verringert, in dem die meisten großen KI-Labore ansässig sind.
In Brasilien, wo das PL 2338/2023 (Gesetzesentwurf zur KI) im Senat mit direkter Einflussnahme des europäischen Modells zur Bewertung systematischer Risiken verhandelt wird, müssen Organisationen im Finanz- und Gesundheitswesen, die bereits GPT-Modelle im Einsatz haben, überprüfen, ob die im Framework von OpenAI beschriebenen Verpflichtungen den Anforderungen des brasilianischen Gesetzes entsprechen werden. Die Zentralbank und die ANPD haben den EU AI Act als aktive Referenz für sektorale Richtlinien zur KI-Governance beobachtet.
Google, Anthropic und Meta haben noch keine formalen Äquivalente veröffentlicht, die mit dem Code of Practice GPAI verbunden sind. Sollten sie dies tun, könnte die Schwelle von 1 Milliarde US-Dollar, die OpenAI als Definition für systematische Risiken festgelegt hat, zur de facto Referenz für den Sektor werden, mit direkten Auswirkungen darauf, wie europäische und kalifornische Regulierungsbehörden ihre eigenen Haftungsmaße kalibrieren werden.