去年9月15日，2025年國(guó)家網(wǎng)絡(luò)安全宣傳周主論壇在昆明舉行那天，一份重磅文件正式亮相——《人工智能安全治理框架》2.0版。如果你之前沒(méi)太留意，可以簡(jiǎn)單理解成：這是我國(guó)目前針對(duì)AI安全最系統(tǒng)、最權(quán)威的治理藍(lán)圖，從研發(fā)、部署、運(yùn)行到使用每個(gè)環(huán)節(jié)都定出了安全要求，也是所有AI企業(yè)和應(yīng)用場(chǎng)景必須對(duì)齊的合規(guī)底線。同一天，國(guó)家網(wǎng)信辦還發(fā)布了《國(guó)家網(wǎng)絡(luò)安全事件報(bào)告管理辦法》，把AI安全事件的上報(bào)時(shí)限和流程明確下來(lái)。再往后一個(gè)月，10月28日，新修訂的《網(wǎng)絡(luò)安全法》經(jīng)全國(guó)人大常委會(huì)表決通過(guò)，將于2026年1月1日起施行。這次修訂的最大變化之一，就是把AI安全風(fēng)險(xiǎn)正式納入網(wǎng)絡(luò)安全法律體系，違規(guī)罰款上限也大幅提高，最高可達(dá)一千萬(wàn)元。三件事連在一起看，你就知道：AI投毒已經(jīng)不是安全圈里的學(xué)術(shù)話題，它正式進(jìn)入了立法層面，開(kāi)始有了真刀真槍的約束。

這是這個(gè)專欄講完八篇攻擊后，第一次給大家一點(diǎn)實(shí)打?qū)嵉陌残南?，值得說(shuō)透。2.0版比2024年的1.0版有幾處硬核升級(jí)，直接對(duì)準(zhǔn)前面講的那些AI投毒威脅。第一，首次明確點(diǎn)出“模型開(kāi)源風(fēng)險(xiǎn)”，說(shuō)基礎(chǔ)模型開(kāi)源可能被不法分子拿去訓(xùn)練“作惡模型”——這是官方文件第一次正面承認(rèn)開(kāi)源生態(tài)的兩面性；第二，把供應(yīng)鏈安全和開(kāi)源生態(tài)治理寫(xiě)進(jìn)了綜合措施，要求建立跨環(huán)節(jié)協(xié)同機(jī)制，正好回應(yīng)了第七篇“10款主流AI框架無(wú)一干凈”的現(xiàn)實(shí)；第三，從“原則性建議”變成“全生命周期階段化要求”，把安全責(zé)任拆到算法研發(fā)、建設(shè)部署、運(yùn)行管理、訪問(wèn)使用四個(gè)階段，每個(gè)階段都有具體技術(shù)動(dòng)作，而不是以前那種大而化之的“要加強(qiáng)管理”；第四，引入風(fēng)險(xiǎn)分級(jí)機(jī)制，按應(yīng)用場(chǎng)景、智能水平和規(guī)模，把AI風(fēng)險(xiǎn)分成低、一般、較大、重大、特別重大五個(gè)級(jí)別，監(jiān)管從“一刀切”走向“對(duì)癥下藥”。這些都不是空話，是對(duì)真實(shí)威脅的制度回應(yīng)。

但我得把另一面也說(shuō)清楚，不然就成了單純的政策宣傳?？蚣茉偃妫仓皇恰翱蚣堋薄性瓌t、有方向，落地細(xì)則還需要時(shí)間。目前最緊迫的幾類AI投毒威脅，在標(biāo)準(zhǔn)層面確實(shí)還有真實(shí)盲區(qū)。第三篇講的RAG知識(shí)庫(kù)偏見(jiàn)注入攻擊，每條注入內(nèi)容都是“真話”，現(xiàn)有內(nèi)容審核機(jī)制沒(méi)法從真假維度過(guò)濾它，2.0版在這個(gè)場(chǎng)景上還沒(méi)給出可落地的技術(shù)手段；對(duì)抗樣本攻擊在自動(dòng)駕駛、醫(yī)療影像等場(chǎng)景的安全測(cè)試標(biāo)準(zhǔn)，目前仍處于起步階段，專項(xiàng)測(cè)試方法還沒(méi)普遍建立；AI Agent的權(quán)限管控和安全邊界，框架里雖有相關(guān)表述，但具體執(zhí)行標(biāo)準(zhǔn)還是空白。更現(xiàn)實(shí)的是：執(zhí)行主體是企業(yè)，而中小企業(yè)合規(guī)能力和意愿參差不齊，標(biāo)準(zhǔn)發(fā)布到真正落地，中間總有一道不小的鴻溝。

有個(gè)對(duì)比特別說(shuō)明問(wèn)題。歐盟《人工智能法案》從2024年起分階段強(qiáng)制生效，高風(fēng)險(xiǎn)AI必須上市前完成合規(guī)評(píng)估，否則禁售，罰款最高可達(dá)全球年?duì)I業(yè)額6%。美國(guó)特朗普政府上臺(tái)后廢除多項(xiàng)舊AI監(jiān)管，整體轉(zhuǎn)向“放開(kāi)創(chuàng)新、事后追責(zé)”。中國(guó)走的是中間路線：框架標(biāo)準(zhǔn)先行，立法保持彈性——2025年國(guó)務(wù)院立法工作計(jì)劃里，《人工智能法》從“提請(qǐng)審議草案”調(diào)整為“推進(jìn)健康發(fā)展立法工作”，節(jié)奏主動(dòng)放緩，給技術(shù)留出空間。這種選擇有它的道理：AI迭代太快，過(guò)早剛性立法可能既管不住真威脅，又把正常創(chuàng)新卡死。但代價(jià)也擺在那：在《人工智能法》正式落地前，很多攻擊場(chǎng)景缺乏明確的法律責(zé)任主體，AI投毒造成的損失，追責(zé)起來(lái)還比較難。

對(duì)正在用AI或準(zhǔn)備上AI的企業(yè)來(lái)說(shuō)，現(xiàn)在最該做的，就是把這些框架文件當(dāng)成真行動(dòng)指南，而不是應(yīng)付檢查的材料。2.0版里有一句說(shuō)得特別實(shí)在：“安全有效釋放重要行業(yè)應(yīng)用需求”——意思是安全不是AI的對(duì)立面，把安全做好，才能真正把AI用好、用長(zhǎng)久。已經(jīng)上線的企業(yè)，不妨對(duì)照2.0版的四階段要求做一次自查：訓(xùn)練數(shù)據(jù)有沒(méi)有來(lái)源記錄？部署前有沒(méi)有基準(zhǔn)測(cè)試？運(yùn)行中有沒(méi)有輸出偏移監(jiān)測(cè)？訪問(wèn)權(quán)限是不是按最小化原則配的？這四道門關(guān)緊了，不能防住所有威脅，但至少能擋住絕大多數(shù)機(jī)會(huì)性攻擊。

最后，想請(qǐng)你在評(píng)論區(qū)聊三個(gè)問(wèn)題：

1. 你所在的公司或機(jī)構(gòu)，有沒(méi)有專門針對(duì)AI系統(tǒng)做過(guò)合規(guī)自查，還是基本“先用起來(lái)，安全以后再說(shuō)”？

2. “中國(guó)選擇放慢綜合性AI立法節(jié)奏，給技術(shù)發(fā)展留空間”——你覺(jué)得這是正確判斷，還是留下了太大監(jiān)管真空？

3. 在RAG偏見(jiàn)注入、對(duì)抗樣本、AI Agent劫持這些核心威脅技術(shù)上還沒(méi)完美解法的情況下，我們是該等技術(shù)成熟了再大規(guī)模普及AI，還是邊用邊防、在實(shí)踐中把標(biāo)準(zhǔn)逼出來(lái)？

把你的真實(shí)想法和經(jīng)歷寫(xiě)下來(lái)，咱們繼續(xù)把AI安全這件事聊透。#人工智能未來(lái)#