Europa er ikke med i KI-kappløpet

Et kappløp mellom to land

I norsk offentlighet snakkes det ofte om «det globale KI-kappløpet», men det er en formulering som egentlig ikke stemmer med virkeligheten.

Kappløpet er ikke globalt; det er bilateralt mellom USA og Kina. Europa er ikke en deltaker i dette kappløpet, men heller en observatør som ser på fra siden.

Listen over selskaper som faktisk utvikler frontlinjemodeller viser at det er amerikanske selskaper som OpenAI, Anthropic, Google DeepMind, Meta og xAI på den ene siden, og kinesiske selskaper som DeepSeek, Alibaba, Baidu og Tencent på den andre siden.

Den mest kjente europeiske aktøren er franske Mistral, og de er ikke i nærheten av samme vektklasse som sine amerikanske og kinesiske konkurrenter.

Hele verdikjeden bak en modell som Mythos peker i samme retning. Brikkene er designet av amerikanske Nvidia, de er produsert av TSMC på Taiwan, og de er produsert med utstyr fra nederlandske ASML. Europas bidrag gjennom ASML er betydelig, men det er fortsatt bare ett ledd i en verdikjede som ellers er amerikansk og asiatisk.

Da Biden-administrasjonen i 2022 innførte eksportkontroller på avanserte brikker mot Kina, var det amerikansk politikk som bestemte hva nederlandske ASML kunne selge og hvem de kunne selge det til. Nederland var ikke en forhandlingspartner i den situasjonen, Nederland fikk en beslutning.

Og det er den typen forhold Europa befinner seg i på dette feltet, fordi Europa blir invitert til å implementere amerikanske beslutninger, men ikke invitert til å være med på å ta dem.

Trusselen er ikke teoretisk

For å forstå hvor reell denne utviklingen er, kan vi se på en rapport som Google Threat Intelligence Group publiserte i mai. For første gang har Google identifisert en kriminell trusselaktør som har brukt en zero-day-sårbarhet utviklet med KI, og som planla å bruke den i et masseutnyttelsesangrep.

Grunnen til at vi vet om dette i det hele tatt er at Google klarte å avdekke operasjonen i tide og varsle leverandøren før angrepet ble satt i verk. Det betyr at den typen kapasitet som Mythos representerer toppen av ikke er noe vi venter på i fremtiden. Den har allerede blitt brukt og den kommer til å bli brukt flere ganger fremover.

Det samme bildet ser vi når vi ser på de statlige aktørene. Kinesiske og nordkoreanske aktører bruker allerede KI til å lete etter sårbarheter i programvare, russiske aktører bruker KI til å utvikle polymorf skadevare for å skjule angrepene sine, og det finnes allerede KI-drevet skadevare som tolker offerets systemer og genererer kommandoer dynamisk.

Poenget er ikke at Mythos i seg selv kommer til å havne i hendene på kinesiske eller russiske aktører i morgen, fordi det er usannsynlig at den vil. Poenget er at denne utviklingen allerede er operasjonalisert av motstandere som har sine egne kapabiliteter og som blir bedre uten å trenge tilgang til amerikanske frontlinjemodeller.

Regulering uten makt

EUs svar på denne teknologiutviklingen har stort sett vært å regulere. AI Act er det mest ambisiøse lovverket av sitt slag i hele verden, og det definerer hvordan KI skal brukes i Europa, hva som er forbudt, hva som krever godkjenning, og hvordan risiko skal vurderes. Det er godt arbeid, men det er også symptomatisk for hvor kontinentet står. Europa regulerer amerikansk og kinesisk teknologi.

Når man er regulator uten egen produksjonskapasitet, har man begrenset innflytelse. Man kan stille krav om åpenhet og tilsyn, og man kan stille krav om risikovurderinger, men man får ikke plass rundt bordet når de viktigste beslutningene faktisk tas.

Det er verdt å bruke litt tid på å tenke gjennom hva dette faktisk betyr. Hvis Mythos-lignende modeller kommer til å definere neste generasjons cyberforsvar, så betyr det at amerikanske selskaper og amerikanske institusjoner kommer til å være de som faktisk kontrollerer det forsvaret.

Europeisk digital infrastruktur, og det vil si alt fra banknett til kraftselskaper til helsetjenester, vil være beskyttet i den grad amerikanske aktører vurderer at den er verdt å beskytte. Det er en form for trygghet Europa har vært komfortabel med lenge, men det er ikke en trygghet kontinentet selv kontrollerer.

Trump og forutsetningen i 2026

Lenge har holdningen til denne situasjonen vært at det ikke er noe problem. USA er en alliert, så Europa nyter godt av beskyttelsen de tilbyr. Argumentet bygger på at allierte hjelper allierte, spesielt de som er med i NATO.

Men dette argumentet har blitt svekket de siste årene. Trump-administrasjonens tilnærming til Europa, både når det gjelder handel, når det gjelder Ukraina og når det gjelder selve prinsippet om gjensidig forsvarsplikt, har vist at amerikansk velvilje ikke er noe Europa kan ta for gitt lenger.

Og hvis tilgangen til amerikansk KI blir et forhandlingskort i fremtidige spørsmål mellom USA og Europa, både den defensive og offensive tilgangen, så har Europa ingen god forsikring mot det.

Hvor står Norge

For Norge er dette en spesielt ubehagelig kombinasjon fordi samfunnet er lite, men høyt digitalisert. Norge er også avhengig av amerikanske skyleverandører for store deler av den digitale økonomien og har en begrenset cyberkapasitet i en tid der cyberkapasitet bare blir viktigere.

Alle disse tingene henger sammen, og de gjør Norge sårbart på en måte som ikke er snakket nok om i den offentlige debatten.

Det finnes ikke noe enkelt svar på dette problemet. Norge kommer ikke til å bygge en egen frontlinjemodell, og det kommer Europa heller ikke til å gjøre på kort sikt, men det betyr ikke at det ikke finnes ting som kan gjøres. Investeringer i nasjonal kompetanse kan gjøre Norge tryggere og til en viktigere aktør globalt.

Britene har bygget sin posisjon gjennom bevisst innsats over tid, og det er ingen grunn til at Norge ikke kan gjøre noe lignende i mindre skala. Norge har allerede tradisjoner for tett forsvars- og etterretningssamarbeid med USA, særlig på nordområde- og maritime spørsmål, og leverer kapasiteter som amerikanerne faktisk trenger. Det gir et utgangspunkt som kan bygges videre på.

Norge kan også bidra inn i Nato-debatten om KI og cyberforsvar på en mer aktiv måte enn det som blir gjort i dag og være ærlig om realitetene i det europeiske prosjektet i stedet for å late som om AI Act løser noe som det egentlig ikke løser. Men aller viktigst er det å slutte å snakke om KI-utviklingen som om det er et teknologispørsmål, fordi det rett og slett ikke er det.

Det er et sikkerhetspolitisk spørsmål, og det er et sikkerhetspolitisk spørsmål som blir håndtert i Washington og i Beijing. At Norge fortsatt ofte behandler det som en innovasjonsdebatt sier mye.

Hva Mythos forteller oss

Mythos er ikke verdens undergang, og det er det viktig å si tydelig. Cybersikkerhetseksperter er uenige om hvor dramatisk akkurat denne modellen er. Peter Swire og hans kolleger ved Georgia Tech mener at dette er «mer av det samme», og Ciaran Martin, som er tidligere sjef for Storbritannias National Cyber Security Centre, kaller det «en stor sak», men ikke verdens undergang. Begge har antakelig delvis rett i det de sier.

Det de derimot ikke er uenige om, er retningen KI går. KI-kapabilitetene blir bare mer sofistikerte over tid, og de blir mer strategiske, og de blir mer konsentrert i hendene på få aktører. Europa er ikke en av disse aktørene og kommer heller ikke til å bli en av dem med det første. Europa er tilskuere til en teknologisk utvikling som i stadig større grad former global sikkerhet.

Den neste frontlinjemodellen kommer snart, og den kommer ikke til å bli den siste. Spørsmålet er ikke om Europa eller Norge får tilgang til den. Spørsmålet er om de har noe å tilby tilbake til dem som har laget den, eller om de bare sender bekymringsbrev etter at beslutningene allerede er tatt, og etter at angrepene allerede har skjedd.