Agent 部署中的治理差距
当咨询公司为企业客户实施 AI agent 平台时,他们会遇到一个反复出现的模式:平台管理 agent(身份、权限、基本监控)但不治理它们(合规、评分、多 agent 保障、证据导出、监管映射)。
对于受监管行业的客户——医疗、金融服务、政府——管理是不够的。EU AI Act 合规要求风险管理(第 9 条)、记录保存(第 12 条)和一致性评估(第 43 条)。SOC 2 审计师需要跨 8 个类别映射 17 项 TSC 控制。NIST AI RMF 要求结构化的治理功能(Govern、Map、Measure、Manage)。
本指南为需要在 agent 部署中增加治理深度的顾问提供 7 部分参考。
第 1 节:管理 vs. 治理
Agent 市场中最重要的区别:
- 管理 = 身份 + 权限 + 基本监控(2 层)
- 治理 = 管理 + 合规框架 + 监管映射 + 量化评分 + 多 agent 保障 + 证据导出(10 层)
每个治理平台都包含管理。不是每个管理平台都包含治理。当您的客户问”我们的 agent 平台合规吗?“——管理无法回答这个问题。治理可以。
第 2 节:三框架合规矩阵
企业现在面临三个重叠的 AI 治理框架:EU AI Act(监管)、NIST AI RMF(标准)和 ISO/IEC 42001(管理体系)。每个都需要控制目录、合规矩阵和风险登记。
JieGou 同时将 8 项核心能力映射到所有三个框架的特定条款和条款——agent 市场中唯一已发布的多框架合规矩阵。这为您的客户节省了数月的手动映射工作。
第 3 节:10 层治理体系
10 层从身份(第 1 层)跨越到监管合规映射(第 10 层)。每一层都映射到特定的 EU AI Act 条款、NIST RMF 功能和 ISO 42001 条款。交互式 GovernanceStackDiagram 直观地展示深度差距——您的客户可以确切看到其当前平台提供哪些层以及哪些层缺失。
第 4 节:多 Agent 治理
EU AI Act 是为单个 AI 系统设计的。它没有关于多 agent 问责、级联故障或 agent 对 agent 治理的条款。JieGou 的多 agent 基础设施(循环检测、记忆隔离、升级协议、按 agent 审计追踪)填补了这 4 个监管差距。
对于部署多 agent 工作流的客户,这是合规必需品——不是功能升级。
第 5 节:部署模式
针对不同安全要求的三种部署模式:
- 全 SaaS:最快的部署,由 JieGou 管理,标准加密
- 混合 VPC:客户的 VPC 用于执行,JieGou 控制面用于治理
- 气隙隔离:完全隔离,Docker Compose + Ollama,零云依赖
每种模式都映射到特定的合规要求:HIPAA(医疗)、FedRAMP(政府)、SOX(金融服务)、GDPR(欧盟数据驻留)。
第 6 节:GovernanceScore
8 因素量化治理指标(0-100),提供持续衡量:
- RBAC 配置
- 审计日志
- 工具审批门
- 升级协议
- 环境分离
- 加密
- 合规框架
- 数据驻留
GovernanceScore 映射到 EU AI Act 第 9 条(风险管理)和第 43 条(一致性评估)。它为您的客户提供一个代表其治理态势的单一数字——可随时间跟踪、可跨部门比较、可向监管机构报告。
第 7 节:互补架构
JieGou 设计为补充现有 agent 平台——而非取代它们。您客户的 agent 平台管理身份和权限。JieGou 为受监管合规增加 9 个治理层。
架构模式:
您客户的 Agent 平台(管理:第 1-2 层)
↕
JieGou(治理:第 3-10 层)
↕
合规输出(EU AI Act + NIST + ISO)这种互补定位意味着您可以将 JieGou 与任何 agent 平台(Frontier、Salesforce、ServiceNow、自建)一起推荐作为治理深度层。
为您的下一个客户项目
当您的客户问”我们如何跨部门治理我们的 AI agent?“——答案是一个覆盖所有 10 层、映射三个合规框架、提供量化评分、处理多 agent 保障并为审计师导出证据的治理平台。
这就是治理基础设施的样子。管理是必要的。治理是使其合规的关键。