人工智能代理治理和监管控制方面的差距：2026 年你需要了解的内容

澳大利亚金融监管机构已发布 严重警告 就金融机构在治理和保证实践方面存在的不足向其提出质疑 AI代理部署随着银行和养老金受托人越来越多地将人工智能融入内部运营和面向客户的服务中，这一警示也随之出现。

📊 APRA 的专项审查结果

这 澳大利亚审慎监管局（APRA） 2025 年末，我们对部分大型受监管实体进行了全面的定向审查，以评估人工智能的应用模式及相关的审慎风险。调查显示，虽然所有受审查实体都在使用人工智能技术，但仍存在一些问题。 风险管理成熟度存在显著差异 以及运营韧性能力。

APRA发现，各机构董事会对人工智能提升生产力和客户体验的潜力表现出浓厚的兴趣。然而，许多机构仍处于构建全面人工智能风险管理框架的早期阶段。

⚠️ 主要治理问题

监管机构确定了几个 关键治理缺陷尤其是在以下方面：

• 过度依赖供应商的演示 以及缺乏充分独立审查的执行摘要
• 对不可预测的模型行为评估不足 以及人工智能故障可能对关键运营造成的影响
• 董事会成员对人工智能技术的了解不足，无法进行有效的战略监督

APRA强调，董事会必须 加深对人工智能的理解 建立连贯的战略和监督机制。监管机构强调，人工智能战略应与机构的风险承受能力相符，并纳入健全的监控协议和明确的错误应对程序。

💼 当前人工智能实施格局

APRA观察到，受监管实体正在多个运营领域积极试用或部署人工智能，包括：

• 软件工程 以及发展加速
• 理赔分诊 以及加工优化
• 贷款申请处理 和承保
• 欺诈和诈骗干扰 系统
• 客户互动和服务提升

令人担忧的发现是，一些机构正在治疗 人工智能风险与传统技术风险相当这种方法未能考虑到模型行为不可预测性和算法偏差等独特挑战。

🔍 已识别的风险管理差距

该审查发现 重大运营差距 在几个关键领域：

APRA尤其强调了 人类参与的关键要求 在涉及人工智能系统的高风险决策过程中。

🔐 网络安全和访问管理挑战

网络安全作为一种…… 主要监管关注领域APRA指出，人工智能的应用正在从根本上改变威胁形势，引入了新的攻击途径，包括：

• 即时注入攻击 针对人工智能模型输入
• 不安全的集成 人工智能系统与现有基础设施之间的联系
• 人工智能生成代码中的漏洞

一项尤其令人担忧的发现是： 身份和访问管理实践 尚未充分适应人工智能代理等非人类因素。此外，人工智能辅助软件开发的激增给变更和发布控制机制带来了前所未有的压力。

APRA强制要求各机构对代理和自主工作流程实施强有力的控制，包括特权访问管理、配置监督和系统性的补丁程序更新机制。对人工智能生成代码进行安全测试也被认定为至关重要。

🔗 供应商依赖风险

审查结果显示 关于供应商集中度的讨论一些机构甚至对单一供应商的多个人工智能实例都存在依赖。令人担忧的是，只有少数机构能够拿出切实可行的退出计划或人工智能供应商的替代策略。

APRA强调， 人工智能可以嵌入到上游依赖项中可能在实体不知情的情况下，造成隐蔽的运营和战略风险。

🌐 行业回应：新的认证标准

身份和权限控制方面的重点正通过制定新的标准来解决。 FIDO联盟该组织已建立 代理身份验证技术工作组 制定代理商发起的商业活动规范。

FIDO指出，现有的身份验证和授权模型主要是为人机交互设计的，而不是为其他用途设计的。 由自主软件执行的委托操作服务提供商需要新的方法来验证谁或什么机构授权了某些操作以及在什么条件下授权了这些操作。

📘 安全框架开发

这 互联网安全中心一家主要由美国国土安全部资助的非营利组织已发布 AI安全伴侣指南 将 CIS Controls v8.1 映射到大型语言模型、AI 代理和模型上下文协议环境。

这些综合指南涵盖以下内容：

• 法学硕士指南： 涵盖快速注入漏洞和敏感数据保护问题
• MCP指南： 重点关注通过软件工具、非人类身份和网络交互实现的安全访问

（朱利安·特罗默摄）

📚 更多学习机会

对于希望向行业领袖深入了解人工智能和大数据技术的专业人士而言， 人工智能与大数据博览会 提供全面的见解。本次活动在阿姆斯特丹、加利福尼亚和伦敦举行，是……的一部分 TechEx与包括以下在内的其他领先技术会议同期举行： 网络安全与云计算博览会。 点击 这里 了解更多信息。

AI News 由 AI 提供支持 TechForge Media探索其他即将举行的企业技术活动和网络研讨会 这里。