Mend发布了《AI安全治理:面向安全与开发团队的实用框架》,旨在解决企业内部AI采用速度远超治理能力的风险问题。该框架强调“无法治理看不见的东西”,首先要求对包括开发工具、第三方API、开源模型及自主AI代理在内的所有AI资产进行盘点,以解决“影子AI”问题。
框架引入了可扩展的风险分级系统,从数据敏感性、决策权限、系统访问等五个维度对AI资产进行1-3级评分,总分5-15分,并据此划分为低、中、高三个风险等级,以匹配相应的审查与监控力度。同时,框架强调最小权限原则,要求对API密钥进行范围限定,并将AI生成的代码视为不受信任的输入进行安全扫描。
此外,该框架提出了AI物料清单(AI-BOM)概念以增强供应链透明度,并定义了针对提示注入和模型漂移等AI特有威胁的三层监控机制。最后,框架还包含一个四阶段的AI安全成熟度模型,直接映射NIST AI RMF、欧盟AI法案等合规要求,帮助企业评估和提升自身的AI安全治理水平。