Agentic AI 维基
运维 / 治理与合规 / NIST AI RMF——智能体视角

NIST AI RMF——智能体视角

C8
运维 · 治理与合规

NIST AI RMF——智能体视角:治理 / 映射 / 度量 / 管理,作为自主系统的清单。

NIST 的《AI 风险管理框架》是一份自愿、非监管的框架,围绕四项职能组织——治理、映射、度量、管理。它最初为一般意义上的 AI 系统而写;当那个"系统"是一个会循环、调用工具、并在没有逐次人为决定下产生后果的自主智能体时,每一项职能都会咬得更紧。本文从一支智能体团队的视角走一遍这四项职能,点出每一项实际要求的工作,以及当两套规则同时适用时它如何与欧盟《人工智能法案》的高风险义务叠加在一起。

STEP 1

一段话讲完框架,再说为何它对智能体咬得更紧。

NIST AI RMF 1.0 围绕四项职能组织 AI 风险管理——治理、映射、度量、管理——设计为迭代而非一次性。NIST 还发布了一份生成式 AI 概要(Generative AI Profile),把同样的四项职能放在生成式系统特有的失败模式上走一遍。这份框架是自愿、框架而非监管,是多数美国本土团队会拿来用的事实上的操作化方式;它与 eu-ai-act-for-agents 里那张高风险义务清单交叉映射得很好。

对一个自主智能体而言,这份框架读起来与对一个模型略有不同。每项职能仍然适用,但分析单位是循环,不是一次推理;面里包含了工具注册表;"系统"延伸到智能体能产出的每一个下游效应;监督的问题从"有没有人能在坏输出之前抓住它"变成了"有没有人能停下一连串可能已经在动作的决定"。带着这个视角去走这四项,而不是单提示词的视角。

STEP 2

治理(Govern):这件事是某个人的活儿,带着权限与资源。

治理是为其余三项搭脚手架的职能。对一个智能体项目而言它问的是:

  • 对这个智能体有具名问责。不是"那个团队";是一个具体的操作者角色,拥有停下、改动或退役系统的权限。accountability-and-roles 是这一项的工程形态。
  • 政策、流程与组织结构说明风险决策怎么定、由谁定——按风险分级,而不是一刀切(见 governance-in-practice)。
  • 角色、职责与培训——能操作、监督、复审这个智能体的人被识别出来、装备好、并就自主性带来的特定失败模式接受过训练。
  • 外部相关方的沟通与披露姿态——受影响的用户、受波及的群体、监管方与合作方如何获得信息;什么时候披露什么。

智能体特有的咬口:治理必须为团队没法单方面决定的事情分配权限——按下急停、停下某个租户、判定一次回归严重到该回滚。如果这份权限没有事先具名,它就会落到当时正好在值班的人头上,而凌晨三点的回答是"我不太确定我有这个权限"。

STEP 3

映射(Map):刻画系统、其上下文,以及工具面。

映射要记录系统是什么、可能出什么问题。对一个智能体,标准清单——既定用途、相关方、部署上下文、风险——需要按自主性带来的面去扩展:

  • 既定用途与可合理预见的用途,含多步自主特有的失败模式(循环、扇出、失控)。
  • 相关方与受影响方——用户、他们在对其行动的人、智能体工具调用所触及的第三方、有管辖权的监管方。
  • 信任边界与工具面——智能体能调用的每一个工具都是损害可以离开系统的一个出口。显式地映射它;这是 agentic-threat-model 里安全材料的输入。
  • 覆盖生命周期的风险,含循环引入的(误差复合)、检索引入的(不可信上下文)、与其他系统集成引入的。
  • 输入与输出的溯源——什么数据进来、什么制品出去、每一项谁负责。

映射前期开销较重——价值大头来自把它认真做一次,并在有实质变化时(新工具、新模型快照、新用例)回去重看。

STEP 4

度量(Measure):把映射识别出来的东西按节奏量化。

度量是实证层。框架点出了一组 AI 系统应该按之衡量的大类属性——有效性与可靠性、安全、安保与韧性、问责与透明、可解释与可解读、隐私、被管理的公平性。对一个自主智能体而言,度量项目长这样:

  • 有效性与可靠性——在 eval-driven-agent-development 那套评估上的任务成功率;可靠性以分布而非单点 pass@1 来评分。
  • 安全与安保——对抗性红队评估、提示词注入回归测试、数据外泄监控;离线与 online-vs-offline-evals 里那种在线信号都要。
  • 问责与透明——审计轨迹的覆盖率(所有决策可追溯吗?);轨迹不足以重建动作的那部分决策占比。
  • 隐私——可度量:输出里 PII 泄露的速率、流经工具的未打标个人数据的速率。
  • 偏差与公平——按切片的指标:对你的用例要紧的维度上,结果在不同用户群体间是否有差异?

只在上线时跑一次的度量项目,与风险管理正相反。按节奏对同一组指标重新度量——模型快照升级、工具注册表变更、按季度做漂移检查。NIST 强调"迭代"正是这一点:上个季度被度量为安全的系统,并不会自动是这个季度仍被度量为安全的系统——除非你重新度量了它。

STEP 5

管理(Manage):对度量的发现采取行动——以及它如何与欧盟法案叠加。

管理是合环职能。它拿度量的发现与映射的风险册,决定怎么做:给风险排优先级以处置、记录残余风险、计划并执行响应与恢复、在生产中监测、并把教训回填给治理与映射。对一个智能体这意味着:

  • 风险处置——对每条实质风险:缓解、转移、接受(带书面理由)、规避(拒绝建那个用例)。把选择显式且可复审地定下来。
  • 事故响应与恢复——incident-response-for-agents 那份运行手册就是管理在自主系统上的运行形态;急停开关与恢复路径就是 NIST 在这一职能下要找的制品。
  • 带着智能体在回路里的变更管理——一次模型快照升级、一次工具注册表变更或一次提示词修订,都是管理拥有的变更;rollout-and-versioning 的纪律是让它可审计的方式。
  • 持续监测并反馈给治理与映射——生产遥测、客户反馈、事故复盘都要循环回来;新的失败形态更新映射,结构性问题更新治理。

它与欧盟《人工智能法案》的叠加:一份认真的 NIST AI RMF 项目——治理有具名问责、映射有书面风险、度量有按节奏的指标、管理有真实的事故路径——覆盖了法案高风险技术与组织义务的大部分。挑一个作脚手架,不要并行跑两套。法案告诉你在欧盟法律上需要什么;NIST 给你一个结构去组织这些工作;两边在"这些工作具体是什么"上重叠得很厉害。一个满足法案高风险义务的团队通常也覆盖了 NIST 的领地,反之亦然。