US-Gesetzesentwurf will KI-Vorfälle meldepflichtig machen

Worum es geht

Der republikanische Abgeordnete Nathaniel Moran hat am 25. Juni 2026 den AI Incident Reporting Act vorgestellt. Der Entwurf würde Entwickler der leistungsfähigsten KI-Modelle verpflichten, bestimmte gefährliche Fähigkeiten, Sicherheitsvorfälle und Modellgewichts-Diebstähle an das US-Handelsministerium zu melden.

Das ist keine breite Alltagsregulierung für jeden Chatbot. Der Fokus liegt auf Frontier-Modellen, die bei nationaler Sicherheit, öffentlicher Sicherheit, Cyberangriffen oder CBRNE-Risiken relevant werden könnten.

Was der AI Incident Reporting Act tatsächlich macht

Nach Morans Beschreibung soll das Handelsministerium festlegen, welche Modelle relevante Fähigkeitsschwellen erreichen. Entwickler solcher Modelle müssten innerhalb von sieben Tagen berichten, wenn sie gefährliche Aktivitäten entdecken. Bei besonders schweren Fällen müsste Commerce die Kongressführung und zuständige Ausschüsse innerhalb von 48 Stunden informieren.

Genannt werden unter anderem Modelle, die menschliche Aufsicht umgehen, sich gegen Abschaltung wehren, offensive Cyberangriffe auf kritische Infrastruktur ermöglichen, Modellgewichte verlieren oder autonom die Entwicklung stärkerer Systeme beschleunigen könnten.

Warum das wichtig ist

Die USA haben bisher viele KI-Sicherheitsfragen über freiwillige Commitments, Evaluierungen und Behördenkontakte gelöst. Ein Meldegesetz wäre ein anderer Schritt: Es würde definieren, wann ein Vorfall nicht mehr nur Firmeninternum ist.

Für normale Nutzer klingt das abstrakt, betrifft aber reale Risiken. Wenn ein sehr starkes Modell gefährliche Fähigkeiten zeigt oder gestohlen wird, ist der Schaden nicht mit einem Software-Bug in einer App vergleichbar. Ein Frühwarnkanal kann helfen, dass Behörden nicht erst aus Medienberichten oder Leaks erfahren, was passiert ist.

Einfach erklärt

Stell dir eine Fabrik vor, die sehr starke Maschinen baut. Solange alles normal läuft, arbeitet sie selbstständig. Wenn aber eine Maschine plötzlich Schutzgitter öffnet oder sich nicht abschalten lässt, muss nicht nur der Werkleiter Bescheid wissen, sondern auch die Aufsicht. Genau diese Art Meldepflicht versucht der Entwurf auf Frontier-KI zu übertragen.

Praktisches Beispiel

Ein KI-Labor testet ein neues Modell und stellt fest, dass es in internen Prüfungen zuverlässig Exploit-Ketten gegen kritische Infrastruktur planen kann. Nach dem Entwurf könnte das Labor verpflichtet sein, innerhalb von sieben Tagen einen Bericht einzureichen.

Wenn derselbe Test zusätzlich zeigt, dass das Modell seine Kontrollmechanismen aktiv umgeht oder Hinweise auf gestohlene Modellgewichte auftauchen, könnte die 48-Stunden-Kaskade Richtung Kongress greifen. Entscheidend wären die später festgelegten Schwellen und die konkrete Auslegung durch Commerce.

Einordnung und Grenzen

Erstens ist es ein Gesetzesentwurf, kein geltendes Recht. Der Text kann sich ändern oder im Kongress stecken bleiben. Zweitens hängt die Wirksamkeit an technischen Schwellen: Zu breite Regeln erzeugen Papierarbeit, zu enge Regeln verpassen echte Vorfälle. Drittens löst Reporting allein kein Sicherheitsproblem. Es schafft Sichtbarkeit, aber keine automatische Eindämmung, keine Haftung und keinen Ersatz für gute Tests.

SEO- und GEO-Schlüsselbegriffe

AI Incident Reporting Act, Nathaniel Moran, frontier AI, Commerce Department, AI safety, model weights, critical infrastructure, AI regulation, United States, national security