随着欧盟AI法案在2026年的全面实施,Agentic AI(代理式AI)系统的治理正面临严峻挑战。为有效降低与高风险AI相关的风险,企业需采取多项关键措施,包括确保Agent身份识别、维护全面的操作日志、执行严格的策略检查、提供必要的人工监督、实现快速撤销机制、获取供应商提供的详尽文档,并准备向监管机构提交的合规证据。
决策者可以考虑多种方案来记录Agentic系统所执行的活动。例如,Asqav等Python SDK能够对每个Agent的行动进行加密签名,并将所有记录链接到一个不可变的哈希链,这种技术类似于区块链的原理。一旦记录被篡改或删除,哈希链的验证将失败。对于治理团队而言,采用一个冗长、集中且可能加密的记录系统来管理所有Agentic AI,能够提供比分散的文本日志更丰富的数据。
无论技术细节如何,IT负责人必须能准确洞察企业内部Agentic实例的运作地点、时间及方式。许多组织在记录自动化AI驱动活动的第一步就已失败。因此,建立一个登记册至关重要,其中包含每个运行中Agent的唯一标识、其能力及其被授予的权限。这份“Agent资产清单”与欧盟AI法案第9条的要求紧密相关。第9条规定,对于高风险领域,AI风险管理必须是一个持续、基于证据的过程,贯穿部署的每个阶段(开发、准备、生产),并接受持续审查。
此外,决策者还需了解法案第13条:高风险AI系统必须被设计成其部署者能够理解系统输出。这意味着来自第三方的AI系统必须对用户具有可解释性(而非不透明的代码块),且应附带足够的文档,以确保其安全和合法使用。这一要求使得模型选择及其部署方法不仅是技术考量,更是重要的监管合规考量。