两份提交,一个使命
在 2025-2026 年,NIST 发布了两个关于 AI agent 治理的独立意见征集:
- NIST-2025-0035: AI Agent 安全 —— 自主 AI agent 在企业环境中应该如何被保护?
- NCCoE Agent 身份与授权 —— AI agent 应该如何被识别、认证和授权?
我们对两者都提交了详细回应。不是因为必须。而是因为我们有能力。
我们提交了什么
提交 1:AI Agent 安全(NIST-2025-0035)
我们的回应涵盖了 agent 身份、授权、工具治理、审计日志和多 agent 安全边界。每项建议都基于 JieGou 的生产基础设施——不是理论框架,而是在企业环境中运行的系统。
涵盖的关键领域:
- Agent 身份和认证(SSO/SAML/OIDC)
- 工具治理和沙盒化(245 个受治理 MCP 服务器)
- 多 agent 安全边界(级联层级控制)
- 带防篡改记录的审计日志
此提交已在 Regulations.gov 上确认。
提交 2:Agent 身份与授权(NCCoE)
我们的 NCCoE 回应涵盖了概念文件中的全部 6 个问题类别,基于 JieGou 的生产 agent 身份基础设施:
- SSO/SAML/OIDC 集成用于 agent 认证
- 6 角色 RBAC,20 项细粒度权限
- 带可配置策略的工具审批门
- 多 agent 部署的级联 agent 层级
- agent 实例之间的共享记忆隔离
- 跨所有 agent 操作的全面审计日志
为什么这很重要
对于企业采购
NIST 对齐在联邦合同、政府相关 RFP 和企业采购标准中被越来越多地引用。拥有可验证的 NIST 提交——不仅仅是对齐声称——为采购团队提供了可以独立验证的证据。
对于行业
NIST 标准塑造了美国政府如何定义 AI agent 治理要求。这些标准级联到企业合规框架、行业认证和监管期望。通过参与标准制定过程,我们帮助确保 agent 治理要求反映生产现实。
对于竞争信誉
没有其他 AI agent 平台——不是 OpenAI/Frontier、不是 Salesforce、不是 ServiceNow、不是 Microsoft、不是 CrewAI、不是 LangGraph——向任何一个 NIST 征集提交过。JieGou 向两个都提交了。
这不是可以追溯性匹配的声称。NIST RFI 评论期永久关闭。提交是公开记录。这个护城河只会随时间加深。
提交背后的治理体系
每个 NIST 重点领域都映射到生产治理基础设施:
| NIST 重点领域 | JieGou 治理层 |
|---|---|
| Agent 身份 | 第 1 层:身份(SSO/SAML/OIDC) |
| 授权 | 第 2 层:RBAC(6 角色、20 权限) |
| 工具治理 | 第 3 层:工具审批门 |
| 升级控制 | 第 4-5 层:信任升级 + 审批工作流 |
| 多 Agent 安全 | 第 6-7 层:Agent 层级 + 记忆隔离 |
| 审计与追溯 | 第 8 层:审计日志(防篡改) |
| 策略执行 | 第 9-10 层:合规策略 + 部门范围 |
| 质量监控 | 第 10 层:质量监控 + GovernanceScore |
接下来
这些提交是开始,不是结束。随着 NIST 制定 AI agent 治理标准,JieGou 将继续参与标准制定过程。我们的目标:确保治理 AI agent 的标准反映企业部署所需的深度。
查看 NIST 提交页面。探索 10 层治理体系。计算您的 GovernanceScore。