每个平台都声称有治理。以下是如何判断谁是认真的。
2026 年初发生了一件有趣的事:治理成为了卖点。OpenAI 推出 Frontier,宣传”agent 身份、显式权限和可审计操作”。Microsoft Copilot Studio 添加了人工介入和 agent 评估。Salesforce Agentforce 推广 Einstein 信任层。ServiceNow 发布了 AI 控制塔。
治理不再只属于 JieGou。但问题在于:并非所有治理都是平等的。
2 层幻觉
当平台说”治理”时,它们通常指两件事:
- 身份和认证 —— 谁可以访问系统
- 权限或基本控制 —— agent 被允许做什么
这些是 10 层治理体系的第 1 和第 2 层。它们保护谁能进入。它们不保护接下来发生的事情。
考虑 2 层治理无法回答的问题:
- 当 agent 自主选择工具时,谁批准了工具访问?
- 当 agent 升级决策时,级联审批层级是什么?
- 当审计师要求 AI 治理证据时,您导出什么?
- 当 EU AI Act 要求风险管理框架时,哪条条款映射到哪个控制?
10 层实际是什么样的
JieGou 的治理体系有 10 层,每层解决一个不同的治理关注点:
| 层 | 名称 | 保护内容 |
|---|---|---|
| 11 | 监管合规 | EU AI Act、HIPAA、GDPR、SOX、FedRAMP 映射 |
| 10 | 证据导出 | 17 项 TSC 控制、8 个类别供审计师使用 |
| 9 | 合规时间线 | 所有治理事件的可视记录 |
| 8 | 审计日志 | 30 种事件类型、即发即忘、结构化元数据 |
| 7 | 工具审批门 | 按工具、按角色的执行前审批 |
| 6 | 升级协议 | 6 角色级联层级,带人工介入 |
| 5 | 基于角色的访问控制 | 5 个角色、20+ 项权限、部门范围 |
| 4 | 环境管理 | 开发/预发/生产隔离 |
| 3 | 数据驻留控制 | 区域特定的数据处理 |
| 2 | 加密层 | 静态 AES-256-GCM、传输 TLS 1.3 |
| 1 | 身份与认证 | SSO/SAML/OIDC、会话管理 |
第 1-2 层是基本要求——每个平台都有。第 3-10 层是治理真正落地的地方。而大多数平台止步于此。
监管要求需要深度
EU AI Act 不只要求”一些治理”。第 9 条规定全面的风险管理系统。以下是具体条款如何映射到治理层:
- **第 9 条(风险管理):**要求覆盖整个 AI 生命周期的风险管理系统——那是第 1 到 10 层,不只是认证。
- **第 11 条(技术文档):**要求可导出的 AI 系统行为文档——那是第 10 层(证据导出)。
- **第 12 条(记录保存):**要求事件自动记录——那是第 8 层(审计日志)和第 9 层(合规时间线)。
- **第 14 条(人工监督):**要求有效的人工监督——那是第 6 层(升级)和第 7 层(工具审批门)。
只有 2 层的平台最多部分覆盖第 14 条。它不覆盖第 9、11 或 12 条的任何内容。
竞争对手比较
以下是主要平台的现实情况:
| 平台 | 治理层数 | 缺失内容 |
|---|---|---|
| JieGou | 10/10 | 无 |
| OpenAI Frontier | ~2/10 | 第 3-10 层:无数据驻留、无环境管理、无工具审批门、无合规时间线、无证据导出、无监管映射 |
| Microsoft Copilot Studio | ~2/10 | 相同缺口:HITL 是部分第 6 层,评估是部分第 7 层,但无审计日志、无证据导出、无监管映射 |
| Salesforce Agentforce | ~2/10 | 信任层覆盖认证和基本 CRM 权限,但无跨部门治理、无证据导出、无监管映射 |
| ServiceNow | ~2/10 | AI 控制塔提供监控但不是完整的监管合规治理体系 |
数一数层数
下次供应商说”我们的平台有治理”时,问他们:有多少层?能展示治理体系吗?如何映射到 EU AI Act 条款?能为 SOC 2 审计师导出证据吗?
如果他们无法回答所有四个问题,他们拥有的是贴了治理标签的认证。
在 JieGou 治理体系 查看带交互式可视化的完整 10 层治理体系。准备好部署受治理的 AI 工作流了吗?开始企业试用。