谷歌AI治理栽了：政策写得像宪法，执行烂得像豆腐渣

2024年企业AI治理支出突破47亿美元，但同一年的安全审计报告显示，83%的违规操作发生在"已授权"流程内。钱花了，人招了，政策手册厚得能防身——系统照样干出没人批准的事。

这不是我编的。谷歌云安全团队去年追踪的1200起AI事故里，超过七成的问题根源被标记为"执行层断裂"。翻译成人话：规则写在那儿，但没人真按规则走。

政策是宪法，架构是物业

我见过一份某头部金融集团的AI治理框架，187页，引用17部法规，附录里有张权限矩阵图，复杂得像个神经网络。他们的安全负责人很骄傲：「我们覆盖了所有场景。」

三个月后，一个实习生用测试环境的API密钥，调用了生产环境的大模型接口。密钥是三个月前离职员工留下的，权限没回收，日志没报警，审计系统记录了这次调用——但记录归记录，没人看。

政策像宪法，规定了你有什么权利；架构像物业，决定你回家能不能进得了门。大多数公司的现状是：宪法写得滴水不漏，物业睡觉去了。

问题出在"授权时刻"的错位。政策定义的是静态权限——谁能访问什么；但AI系统的执行是动态的，一个提示词（用户输入的指令）可能触发二十个下游调用，每个调用都需要实时判断"这算不算越界"。

静态规则应付不了动态执行。就像交通法规写得再细，如果红绿灯坏了，路口照样乱成一锅粥。

日志淹死人，信号埋死人

某零售巨头的AI治理平台每天生成2.3TB审计日志。安全团队有11个人，人均日处理量约200MB——按这个速度，完整审完一轮需要14年。

他们的CTO跟我吐槽：「我们不是在治理AI，是在经营一座数字档案馆。」

更麻烦的是信号噪声比。真正危险的操作往往藏在"正常"日志里：一个数据科学家每天调用模型500次，第501次他改了参数范围，把输出导到了个人邮箱。日志记了，但和前面500条长得差不多，告警阈值没触发。

谷歌的研究团队做过一个实验：在模拟环境中植入100个"恶意但合规"的操作（即符合书面政策、但明显有问题的行为），现有审计工具只检出23个。漏掉的77个里，有41个是因为"权限检查通过了，所以没进异常队列"。

权限检查通过≠操作应该发生。这是两个完全不同的判断，但大多数系统把它们当成一个。

架构失败的三张面孔

第一类叫"延迟授权"。用户请求来了，系统先执行，事后补权限校验。常见于性能优化场景——"先响应，后审计"。代价是危险操作已经发生了，日志只是事后追悼。

第二类叫"碎片化授权"。一个AI工作流拆成七八个微服务，每个服务各自查一遍权限，但用的是不同版本的策略文件。A服务说可以，B服务说可以，合起来干了件谁都没批准的事。

第三类最隐蔽，叫"语义漂移"。政策写的是"禁止导出客户隐私数据"，但系统怎么定义"隐私"？姓名算，哈希后的姓名算不算？模型推理日志里的间接推断算不算？执行层用技术定义替代了政策意图，漏洞就这么出来的。

微软去年公开的AI红队报告里有个案例：攻击者通过构造特定提示词，让助手输出了训练数据里的真实邮箱地址。技术上，助手没有"导出数据库"的操作；语义上，它确实泄露了隐私。现有治理框架几乎无法捕捉这类问题，因为监控的是操作类型，不是信息内容。

从"有没有规则"到"规则在不在场"

一些团队开始尝试新架构。Anthropic的"宪法AI"（Constitutional AI）把政策编码进模型训练阶段，让模型自己学会拒绝违规请求——不是事后拦截，是内生抑制。

更务实的做法来自某跨国药企：他们把每个AI调用拆成"决策点"，在每个点嵌入轻量级策略引擎，实时比对操作意图与政策语义。延迟从200ms增加到340ms，但拦截率从12%提升到67%。

代价是可见的。性能、成本、用户体验，总得牺牲点什么。

但不做牺牲的代价更清楚。2024年Q3，某自动驾驶公司因为"影子模式"数据回传未授权，被罚没全年利润的9%。他们的政策写得明明白白：回传需双重审批。执行层的代码里，审批检查被注释掉了，理由是"影响迭代速度"。

政策是给人看的，代码是给机器看的。当两者不一致，机器只听代码的。

谷歌云安全负责人今年在RSA大会上的发言被很多人忽略了：「我们花了三年时间才明白，AI治理不是合规部门的KPI，是系统架构的硬约束。」

换句话说，治理要生效，得从架构设计阶段就把自己写进电路图，而不是事后贴张告示。

现在的问题是：你的AI系统里，政策是电路的一部分，还是贴在机箱上的那张纸？