将AI代理部署到企业环境中的28项合规检查清单

我们经常收到试图完成企业交易的团队提出的同样问题：我们真正需要什么才能通过安全审查？于是我们整理了这份清单。共28项，分6大类，每一项至少对应一个框架（欧盟AI法案、SOC 2 Type II、ISO 42001或NIST AI RMF）。快速概览： 日志记录（6项）——记录每条提示/响应及时间戳，捕获完整的决策链（不仅仅是输入/输出），保留6个月以上，确保日志防篡改。大多数团队首先在这里失败，因为合规日志与开发日志不同。 访问控制（5项）——每个端点都有认证、RBAC、作用域API密钥、凭证轮换、失败的认证跟踪。我们仍然在生产环境中看到未认证的代理端点，比你想象的更频繁。 数据处理（5项）——对通过代理的数据进行分类，在输出到达用户之前扫描秘密泄漏，记录处理流程，处理欧盟客户的数据驻留。 安全测试（5项）——每次发布前进行对抗性测试，记录方法和结果，维护漏洞披露流程，跟踪依赖关系，单独测试MCP/工具集成。 运行时保护（4项）——每条消息的输入扫描、异常检测、速率限制，以及在60秒内将流量降至零的紧急停止开关。 事件响应（3项）——针对AI的事件响应计划、代理事件的严重级别，并通过桌面演练实际练习响应。 对于大多数早期产品，第1-11项和第17-18项能最快解锁企业交易。如果SOC 2是你的优先事项，从日志记录和访问控制开始。如果瞄准欧盟市场，重点关注保留和对抗性测试文档。