据外媒独家报道,美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency,简称CISA)计划于本周发布首个专门针对人工智能安全的约束性操作指令(Binding Operational Directive,简称BOD),标志着美国人工智能安全治理从“自愿指南”正式迈入“强制性合规”阶段。这一消息由Daily Security Review于7月14日独家披露。此前,CISA的约束性操作指令仅覆盖传统网络安全领域,如漏洞修补时限、多因素认证等,从未针对人工智能(Artificial Intelligence,简称AI)系统发布过强制要求。
BOD:法律约束力下的“你必须做”
BOD基于美国《联邦信息安全现代化法案》授权,对联邦民事行政部门具有法律约束力。与指南(Guidance)不同,BOD是强制性的“指令命令”——联邦机构必须在指定截止日期前完成安全部署,CISA有权对不遵守的机构进行公开问责,指令中的安全要求也将通过政府采购条款向私营部门辐射。
预计五大核心强制要求浮出水面
基于CISA此前发布的《Agentic AI安全采用指南》及行业分析,本次BOD预计将涵盖以下核心强制要求:
一 AI系统资产清单与风险登记
联邦机构须完成所有在用AI系统的盘点并按风险等级分类;
二 AI智能体访问控制基线
AI智能体必须配置专用最小权限身份,不得使用人类通用凭据;
三 AI供应链透明度要求
AI模型来源、训练数据来源和依赖链须有完整文档记录;
四 AI安全事件强制报告
涉及AI系统的安全事件须在24小时内向CISA报告;
五 AI系统退役与数据清除
停用AI系统须安全清除训练数据和推理日志。
全球AI治理格局加速重塑
行业分析认为,CISA BOD的发布恰逢欧盟《人工智能法案》(Artificial Intelligence Act,简称AI Act)全面适用进入倒计时(距8月全面适用仅剩17天),两大治理体系将同步步入“强制合规”时代。此前全球AI安全治理以自愿性框架为主,BOD的出台意味着:美国联邦政府作为全球最大IT采购方,其AI安全入网门槛将通过采购合同向全球供应商传导。欧盟AI Act的高风险系统合规要求与CISA BOD的联邦AI系统安全基线,正共同构成事实上的全球AI安全“双标准”。业内预计,此举将推动AI安全产品市场迎来爆发式增长,CISA在AI安全领域的情报中枢角色将进一步强化。
撰稿|魏东
责编|卢蔷
声明:本文来自三所数据安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。