不卡死的治理——一个没人能通过它上线的评审委员会本身就是失败。
治理有两种失败方式。看得见的那种是太少:一个无人问责的智能体造成损害。看不见的那种是太多:一个评审流程重到团队绕开它——把未受治理的智能体贴上「实验」标签上线,或者干脆不上线价值。两者都产出未受治理的系统;第二种还摧毁了对治理本身的信任。本文讲第二种失败:通过风险相称的分级、安全默认、自动化,以及对卡死实际代价的诚实记账,把治理做成一个使能者。
统一流程是病,不是药。
一次事故后的本能是让每个智能体过同一套重评审。这是核心错误。一个只读的内部摘要器和一个发退款的智能体不带同等风险,让它们受同一道闸门,等于教会组织:治理是与危险无关的摩擦。人会理性回应:他们把它做小、贴错标签、或规避。对非均匀风险施加统一流程,同时既过度管控了安全情形,又因评审者被它们淹没而对危险情形审查不足。相称性不是对治理的软化——它是治理能起作用的前提。
把流程明确地分级到风险。
定义少数几个挂钩 C3 风险定位的分级,每个分级附带的流程事先已知,而非每案谈判。低级(可逆、无个人数据、内部):对照清单自助、自动化闸门、无委员会。中级(面向客户、效果有界):轻量评审、必需评估证据、具名操作者。高级(不可逆、受监管、高后果):完整评审、签字、双人控制。决定性的性质是一个团队能事先自行确定它的分级且确切知道要求什么——可预测性才是阻止那种绕行行为的东西,因为对低风险的多数而言,合规路径同时也是快路径。
# tier is self-determinable; process is known per tier, not negotiated tier = classify(reversible, touches_pii, consequence) process = { "low": "self-serve checklist + automated gates", "medium": "lightweight review + eval evidence", "high": "full review + sign-off + dual control", }[tier]
让安全默认成为阻力最小的路径。
杠杆最高的治理投资不是评审委员会——而是一条铺好的路,合规选择就是那个省事的选择。一个受祝福的智能体模板,默认就接好了审计日志(C1)、策略执行钩子(C2)、一个具名操作者字段(C4)与数据目的标签(C5),意味着一个团队靠用标准工具就拿到了治理的大部分,而非靠通过一道闸门。你得记得去施加的治理会在限期下被忘掉;烤进默认平台的治理会被施加,因为偏离它才是更难的路。
每一项你能从「被评审过」移到「按构造为真」的管控,都移除了一次评审而不移除那份保证。委员会的工作应当缩小到真正新颖与真正高风险的那些。
把证据自动化;把人留给判断。
一场慢评审检查的多数东西是机械的,应当是一道 CI 闸门而非一场会议:审计日志在位、策略测试通过、评估阈值达标、数据目的标签已设、操作者已指派。把这些自动化做两件事——让低级审批即时,并让人类评审者把稀缺注意力花在只有判断能回答的问题上:这份自主对这个后果是否恰当、监督是否真实、我们是否安心为这个被问责。一个把资深评审者的时间花在他们本可自动化的清单项上的治理流程,在同时制造卡死与更糟的决策。
把卡死的代价当作一项真实成本来算。
治理讨论高估了一个坏智能体上线的代价,低估了一个好智能体没上线的代价,或那个专为躲开一个被体验为武断的流程而建的影子智能体的代价。卡死有价码:被放弃的价值、人才流失,以及——最腐蚀性的——一个因为官方路径不可用而存在的平行未受治理生态。一个治理职能应当把自己的延迟与它的规避率作为健康指标来追踪。如果团队在绕开治理,那项发现是关于流程的,不是关于团队的;一个不可用的管控在功能上等同于没有管控,却成本更高。
诚实的取舍。
相称的治理接受一份明确、刻意的残余风险:低级智能体靠自动化与自我声明上线,于是一个被错分级的智能体可能比统一闸门名义上会施加的更少审查而溜过去。那是真实代价——且它比看上去小,因为一个人人规避或博弈的统一闸门只在纸面上提供审查。把摩擦校准到后果,并让合规路径成为快路径;一个只针对「别让一个坏智能体上线」优化、却从不针对「别挡住一个好智能体」优化的治理流程,会被它所治理的那个组织击败。