51條合規(guī)要求，Schellman已經(jīng)開(kāi)審，ElevenLabs第一個(gè)拿證。如果你是給企業(yè)做AI Agent的，這個(gè)數(shù)字很快會(huì)出現(xiàn)在你的待辦清單里。

但這里有個(gè)陷阱：大多數(shù)人拿到AIUC-1文檔后，第一反應(yīng)是"全都要做"。實(shí)際上，這51條（2026年Q1更新后剩49條）分屬6個(gè)完全不同的域，有些靠代碼就能解決，有些必須堆人力寫(xiě)文檔。搞混了類(lèi)型，團(tuán)隊(duì)會(huì)在錯(cuò)誤的事情上浪費(fèi)數(shù)月。

Domain A：數(shù)據(jù)與隱私——7條全是技術(shù)活

這7條沒(méi)有商量余地，但好消息是，全部可以自動(dòng)化。

輸入數(shù)據(jù)策略、輸出數(shù)據(jù)策略、數(shù)據(jù)訪問(wèn)限制、商業(yè)秘密保護(hù)、跨客戶數(shù)據(jù)隔離、PII（個(gè)人身份信息）保護(hù)、IP侵權(quán)預(yù)防——聽(tīng)起來(lái)像法務(wù)清單，實(shí)則都是系統(tǒng)配置問(wèn)題。你的Agent該讀什么數(shù)據(jù)庫(kù)、輸出時(shí)該過(guò)濾哪些字段、多租戶架構(gòu)怎么切分，這些在代碼層就能鎖死。

ElevenLabs能第一個(gè)過(guò)審，大概率是因?yàn)樗麄冏稣Z(yǔ)音合成，數(shù)據(jù)流本身相對(duì)封閉。但如果你是做企業(yè)知識(shí)庫(kù)Agent的，跨客戶隔離這條會(huì)吃掉你大量架構(gòu)設(shè)計(jì)時(shí)間。建議：把這部分當(dāng)成基礎(chǔ)設(shè)施來(lái)建，別等審計(jì)來(lái)了再補(bǔ)。

Domain B：安全——9條里藏著最花錢(qián)的

對(duì)抗性魯棒性（Adversarial Robustness）是這域的核心。第三方紅隊(duì)測(cè)試、對(duì)抗輸入檢測(cè)、端點(diǎn)爬取防護(hù)、輸入過(guò)濾、未授權(quán)Agent動(dòng)作阻止、訪問(wèn)控制、部署環(huán)境安全、輸出過(guò)度暴露限制——9條里只有部分是純技術(shù)。

輸入過(guò)濾和訪問(wèn)控制可以自動(dòng)化。但"第三方紅隊(duì)測(cè)試"這條，CISO們明確寫(xiě)了要外部人來(lái)搞。Cisco和MITRE的技術(shù)貢獻(xiàn)主要體現(xiàn)在這塊，他們太清楚自動(dòng)化滲透測(cè)試的盲區(qū)在哪。

有個(gè)細(xì)節(jié)：端點(diǎn)爬取防護(hù)（Endpoint Scraping Prevention）。很多Agent需要接企業(yè)內(nèi)部系統(tǒng)，你的API文檔如果暴露在外，競(jìng)爭(zhēng)對(duì)手的Agent可能比你的還先學(xué)會(huì)調(diào)用。這條沒(méi)有現(xiàn)成方案，得自己寫(xiě)中間層。

Domain C：安全——12條，最大的域也是最雜的

風(fēng)險(xiǎn)分類(lèi)定義、部署前測(cè)試、有害輸出預(yù)防、超范圍輸出預(yù)防、自定義風(fēng)險(xiǎn)類(lèi)別、輸出漏洞預(yù)防、高風(fēng)險(xiǎn)標(biāo)記、風(fēng)險(xiǎn)監(jiān)控、實(shí)時(shí)反饋機(jī)制，外加三條獨(dú)立的第三方測(cè)試（有害輸出、超范圍輸出、自定義風(fēng)險(xiǎn)）。

這域的問(wèn)題是：測(cè)試和預(yù)防混在一起了。有害輸出預(yù)防可以靠提示工程+輸出過(guò)濾器自動(dòng)化，但"風(fēng)險(xiǎn)分類(lèi)定義"和"自定義風(fēng)險(xiǎn)類(lèi)別"需要業(yè)務(wù)方坐下來(lái)寫(xiě)文檔。更麻煩的是三條第三方測(cè)試——CISO聯(lián)盟顯然不信任自評(píng)。

Anthropic的技術(shù)貢獻(xiàn)應(yīng)該集中在這塊。他們的Constitutional AI思路就是把安全規(guī)則編碼進(jìn)訓(xùn)練過(guò)程，但AIUC-1要求的是可審計(jì)的第三方驗(yàn)證，不是技術(shù)路線自洽。

Domain D：可靠性——4條，幻覺(jué)是硬骨頭

幻覺(jué)預(yù)防、第三方幻覺(jué)測(cè)試、不安全工具調(diào)用限制、第三方工具調(diào)用測(cè)試。全強(qiáng)制，但分工明確：前兩條針對(duì)模型胡說(shuō)，后兩條針對(duì)Agent亂動(dòng)。

幻覺(jué)預(yù)防目前沒(méi)有銀彈。RAG（檢索增強(qiáng)生成）能降低概率，但"第三方幻覺(jué)測(cè)試"意味著你得找外部機(jī)構(gòu)定期喂對(duì)抗性案例。Stanford的參與可能和他們?cè)诨糜X(jué)評(píng)測(cè)上的研究有關(guān)，但標(biāo)準(zhǔn)本身沒(méi)指定測(cè)試方法，只要求"第三方"。

工具調(diào)用這塊更實(shí)際。不安全工具調(diào)用限制可以靠權(quán)限系統(tǒng)自動(dòng)化，但測(cè)試還是得外人來(lái)做。建議：把工具權(quán)限設(shè)計(jì)成白名單制，默認(rèn)拒絕比默認(rèn)允許好審一百倍。

Domain E：?jiǎn)栘?zé)——17條（現(xiàn)15條），人力黑洞

2026年Q1合并退役了2條，還剩15條。這是文檔工廠：三類(lèi)故障的應(yīng)急響應(yīng)計(jì)劃（安全漏洞、有害輸出、幻覺(jué)）、責(zé)任分配、云vs本地評(píng)估、供應(yīng)商盡調(diào)、內(nèi)部流程審查、可接受使用政策、處理位置記錄、監(jiān)管合規(guī)文檔、質(zhì)量管理、透明度報(bào)告、活動(dòng)日志、AI披露機(jī)制、透明度政策。

幾乎全是流程。云vs本地評(píng)估這條有點(diǎn)意思——它要求你書(shū)面論證為什么選這個(gè)部署方式，但沒(méi)有標(biāo)準(zhǔn)答案。選云要解釋數(shù)據(jù)主權(quán)，選本地要解釋運(yùn)維能力，審計(jì)員想看的是你有沒(méi)有想過(guò)，而不是想對(duì)了沒(méi)。

透明度報(bào)告和AI披露機(jī)制是面向終端用戶的。如果你的Agent對(duì)外服務(wù)，得讓用戶知道他們?cè)诤虯I交互。這條可以技術(shù)實(shí)現(xiàn)（加一句"我是AI助手"），但政策文檔得自己寫(xiě)。

Domain F：社會(huì)——2條，最重的責(zé)任最短的清單

防止AI驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊，防止災(zāi)難性濫用（CBRN：化學(xué)、生物、放射、核）。兩條都強(qiáng)制，但評(píng)估方式完全不同。

前者可以技術(shù)監(jiān)控：你的Agent有沒(méi)有被用來(lái)生成釣魚(yú)郵件、掃描漏洞、寫(xiě)惡意代碼。后者幾乎 pure governance——你怎么確保模型權(quán)重不會(huì)流到不該去的地方？物理安全、人員審查、訪問(wèn)日志，這些不是代碼能解決的。

CBRN這條的加入，說(shuō)明CISO聯(lián)盟在參考白宮的AI行政令。但標(biāo)準(zhǔn)沒(méi)要求達(dá)到什么具體指標(biāo)，只要求"有措施"。這是合規(guī)典型的模糊地帶：做了不一定夠，沒(méi)做肯定死。

哪類(lèi)能自動(dòng)化？一張表說(shuō)清楚

技術(shù)可控（代碼/配置解決）：Domain A全部7條、Domain B的輸入過(guò)濾/訪問(wèn)控制/部署環(huán)境安全、Domain C的有害輸出預(yù)防/輸出漏洞預(yù)防/實(shí)時(shí)反饋機(jī)制、Domain D的不安全工具調(diào)用限制、Domain F的AI驅(qū)動(dòng)攻擊監(jiān)控。

文檔流程（人力堆）：Domain E的全部15條、Domain C的風(fēng)險(xiǎn)分類(lèi)定義/自定義風(fēng)險(xiǎn)類(lèi)別、Domain B的紅隊(duì)測(cè)試報(bào)告、Domain C和D的所有"第三方測(cè)試"要求。

混合地帶（技術(shù)+流程）：Domain B的對(duì)抗輸入檢測(cè)（需要算法+人工標(biāo)注）、Domain C的高風(fēng)險(xiǎn)標(biāo)記（需要業(yè)務(wù)規(guī)則+人工復(fù)核）、Domain F的CBRN防護(hù)（技術(shù)措施+管理制度）。

多數(shù)團(tuán)隊(duì)踩的坑：把Domain E的文檔工作當(dāng)成低優(yōu)先級(jí)，結(jié)果審計(jì)前兩個(gè)月開(kāi)始趕工，質(zhì)量可想而知。另一個(gè)極端：在Domain C的"自定義風(fēng)險(xiǎn)類(lèi)別"上過(guò)度設(shè)計(jì)，寫(xiě)了200頁(yè)沒(méi)人看的分類(lèi)法。

Schellman作為首家獲認(rèn)可審計(jì)機(jī)構(gòu)，目前的審核尺度還不透明。ElevenLabs的案例參考價(jià)值有限——語(yǔ)音合成Agent的數(shù)據(jù)流比企業(yè)知識(shí)庫(kù)Agent簡(jiǎn)單太多。真正值得關(guān)注的是第二批過(guò)審的公司類(lèi)型，那才會(huì)暴露審計(jì)員的實(shí)際關(guān)注點(diǎn)。