企业网络安全负责人对于联邦政府最新出台的人工智能监管政策普遍持怀疑态度——这份专门针对前沿模型(例如Anthropic的Mythos、OpenAI的GPT-5.5)的行政命令,本质不过是一个自愿遵守的框架,既没有强制执行的条款,也缺乏具体的执行细则和违规处罚机制。简单来说,声势浩大,实质内容有限。

具体而言,该行政命令要求构建一套保密基准测试流程,用于评估模型在网络安全方面的能力,同时鼓励开发者参与测试并提供预发布阶段的访问权限。但值得关注的是,它既未设定任何许可要求,也没有强制性的安全测试环节,最终是否发布模型的决定权依然完全掌握在开发者手中。
命令中频繁提及要保障人工智能系统的安全性,但仔细审视就会发现,这些全部属于建议而非强制义务。这与特朗普政府一贯推崇的放松监管立场高度吻合,也难怪网络安全专业人士普遍质疑:一套缺乏强制约束力的规则,究竟能发挥多大作用?
既然外部监管缺乏强制力,企业自然会将重点转向内部建设。当务之急是什么?内部治理与风险管理。董事会开始深度参与人工智能相关决策,组织也积极向主流的网络安全框架靠拢,例如NIST风险管理框架——至少先把自己的防护篱笆扎紧。
监管环境仍在快速演变,但现实是,企业网络安全领导者必须主动加固内部防线,强化董事会监督职能,同时与行业伙伴协同合作。联邦政府的做法更多停留在建议层面,真正的应对策略还得依靠企业自身。人工智能治理的复杂性,终究需要由企业来承担。
