引導人工智慧開發、部署與使用的架構、政策、法律與組織實踐。這包括政府規範(歐盟AI法案、行政命令)、產業自律(負責任擴展政策、model cards)、企業治理(AI倫理委員會、使用政策),以及國際間在AI安全標準上的協調。
AI治理是決定誰有資格建造什麼、出事時誰要負責,以及在研究突破與應用於數十億人生活之間設立哪些防護措施的混亂卻必要的工作。它同時在多個層面上運作:國際協議(如布萊切利宣言、G7廣島程序)、國家立法(如歐盟AI法案、中國生成式AI臨時措施)、產業自律(如Anthropic的負責任擴展政策、Google的AI原則),以及企業內部治理(如倫理審查委員會、紅隊演練、部署檢查清單)。這些層面各自無法獨立運作,它們之間的互動形成了一個真正難以導航的治理環境。
歐盟AI法案自2025年起分階段實施,是全球最全面的AI專屬立法。它根據風險等級對AI系統進行分類:不可接受風險(如社會評分系統直接禁止)、高風險(需進行合規評估、文件要求與人為監督義務),以及有限/最低風險(義務較輕)。這種方法系統但複雜——開發通用目的AI模型的公司需遵循「GPAI」條款下的獨特規則,包括透明度要求,對最強大的模型還需進行對抗性測試與事件報告義務。相比之下,美國採取了領域特定的途徑:FDA針對醫療設備AI的指導方針、NIST自願性的AI風險管理框架,以及各州法律的拼圖。中國則迅速針對深度偽造、推薦算法與生成式AI推出針對性規範,每項都有特定的註冊與內容要求。對全球運營的公司而言,合規意味著同時應對所有這些規定,而這些規定之間並不總是相互協調。
在組織內部,AI治理不僅僅是發布一份倫理聲明。真正做得好的公司會有具體機制:上線前的審查流程需安全團隊批准才能發布模型、紅隊演練中由內部對手在發佈前試圖破壞系統、跟蹤模型能力、限制與已知失敗模式的模型卡與系統文件,以及在生產環境出問題時的應變計畫。而做得不好的公司則將治理當作溝通手段——網站上列出一些工程團隊從未讀過的原則。差異通常在組織架構圖中可見:如果安全團隊向產品團隊報告,當與發佈期限衝突時治理往往會輸。若能獨立報告,則有機會爭取。
AI產業的自律努力在有識之士中引發了真正的爭議。支持者指出具體成果:Anthropic的負責任擴展政策定義了能力門檻,當模型變得更強時會觸發日益嚴格的安全要求。OpenAI的準備框架承諾在部署前進行特定評估。邊緣模型論壇則讓主要實驗室共同分享安全研究。批評者則反駁這些承諾是自願性、自我評估的,且經常屈服於競爭壓力。當OpenAI於2024年解散其超對齊團隊時,顯示出當自律與商業目標衝突時,自律的脆弱性。坦率而言,自律已產生真正有用的安全部門實踐,但單獨來看是不夠的——特別是對影響公司用戶群以外人群的風險。
幾個根本性的治理問題仍然未解。邊緣AI模型是否應需要政府許可,類似藥物或核能技術?如何監管一旦釋出就無法撤回的開放源碼模型?當AI系統造成傷害時,責任應由模型開發者、部署該系統的公司,還是發起提示的用戶承擔?如何執行針對那些即使創作者也難以完整列舉能力的AI系統的規則?在國際層面上,如何防止公司與研究者遷移到監管最輕鬆的管轄區,從而引發底線競賽?這些不是修辭問題,而是正在進行的政策辯論,有著真實後果,答案將決定AI治理是成為功能性的系統,還是紙上談兵的合規。