1月23日，兰德公司发布《保证先进人工智能安全的四种治理方式》研究报告^[1]，旨在加强AI安全与保护AI创新之间取得平衡，回应私营部门自主监管不足及政府干预可能带来的风险问题。

当前，先进AI的社会风险引发大量关注，企业承诺的自我监管因竞争压力和执行不统一而存在不足，而政府过度干预则有可能限制创新，抬高中小企业门槛，损害美国的竞争力。报告通过分析核能、化工、医疗等七大高风险行业的AI安全治理经验，提炼出AI合规与安全管理的4项核心要素：提供权威、资源和专业能力的领导力与机构能力；明确资产保护要求的安全规范；包含审计、报告等的合规验证流程；包含处罚、福利撤销等的执行机制。同时确立参与比例（根据参与主体的风险和运营能力来调整）、利益相关方透明参与等两大设计原则，以减少不必要的负担、提升体系合法性与合规率。报告提出的四种先进的AI安全治理方式包括：

1、政府强制设立AI安全标准（SAFE-AI）。由国会立法授权，商务部（DOC）下设的人工智能标准与创新中心（CAISI）监管，针对高风险通用AI开发者制定分级的指令性及结果导向性安全标准，通过审计、渗透测试等验证合规，以及纠正行动计划、梯度处罚、运营暂停等强制执行措施，实现高安全标准和法律的强约束力。

2、由联邦机构对AI开发者授权（Secure AI Authorization）。将安全设计原则纳入联邦采购规则，由联邦风险和授权管理计划（FedRAMP）拓展办公室运营，自愿获得的授权绑定联邦采购。按数据敏感性和影响设授权分级，仅适用于承接联邦业务的开发者，以第三方审计、持续监控来验证合规性，违规将暂停或撤销联邦使用授权。

3、行业主导的AI安全认证（FASSO）。由行业联盟主导的多利益相关方治理体系，设立标准、认证、合规委员会，制定兼顾严谨性与可行性的安全标准。开发者自愿参与但需遵守绑定规则，通过第三方审计、持续监控验证，违规将暂停/撤销认证并公开披露，核心是行业自主制定并执行标准。

4、自我监管结合政企协作。无正式合规体系，聚焦政府在AI安全标准制定、威胁情报共享、渗透测试支持、人员背景审查等四方面提供的指导，依托市场力量推动企业自愿采用安全标准，政府与企业双向共享信息、互补能力，最大程度减少对行业的干预。

报告从安全实现水平、合规可能性、行业负担最小化三个维度对四种治理方式的优劣进行了对比，详见表1。

报告指出，在治理方式的选择上，决策方需根据治理的核心初衷、AI系统可能的风险水平、市场激励对风险的缓解效果来选择路径：若认为先进的AI可能带来灾难性社会危害，宜采用政府主导的严格合规体系（如SAFE-AI）；若对AI风险持温和性判断，可选择行业主导倡议或政企自愿合作的轻量化框架，核心是在保障AI安全与保护AI创新间找到适配的平衡点。

表1  四种治理方式优劣对比

                     （李宏 赵梦珂）