治理与合规

审计轨迹与溯源

为重建任何决策该捕获什么、哈希链式防篡改可察觉、保留期与擦除权，以及模型／提示词／工具／数据的四线溯源。

策略执行与管控

模型之外的策略即代码、在循环前／内／后执行、默认白名单，以及职责分离使被攻陷的智能体无法独自闭环。

监管版图

一张定性地图（不是法律意见）：风险分级监管、文档与人工监督义务、提供方／部署方之分，以及 NIST AI RMF 与 ISO/IEC 42001 如何把它操作化。

问责与归属

问责绝不转移到智能体：具名操作者角色、对自主行动做 RACI、有分量的签字，以及事先设定的问责阶梯。

智能体的数据治理

智能体是一台数据流机器：穿过循环的血缘、在使用点执行目的／同意、对 PII 做边界最小化、受治理的训练数据，以及无形的跨境流动。

不卡死的治理

把治理做成使能者：风险相称的分级、安全默认即省事路径、证据自动化而把人留给判断，以及把卡死当作真实成本来算。