51條合規(guī)要求，Schellman已經(jīng)開審，ElevenLabs第一個拿證。如果你是給企業(yè)做AI Agent的，這個數(shù)字很快會出現(xiàn)在你的待辦清單里。

但這里有個陷阱：大多數(shù)人拿到AIUC-1文檔后，第一反應(yīng)是"全都要做"。實(shí)際上，這51條（2026年Q1更新后剩49條）分屬6個完全不同的域，有些靠代碼就能解決，有些必須堆人力寫文檔。搞混了類型，團(tuán)隊(duì)會在錯誤的事情上浪費(fèi)數(shù)月。

Domain A：數(shù)據(jù)與隱私——7條全是技術(shù)活

這7條沒有商量余地，但好消息是，全部可以自動化。

輸入數(shù)據(jù)策略、輸出數(shù)據(jù)策略、數(shù)據(jù)訪問限制、商業(yè)秘密保護(hù)、跨客戶數(shù)據(jù)隔離、PII（個人身份信息）保護(hù)、IP侵權(quán)預(yù)防——聽起來像法務(wù)清單，實(shí)則都是系統(tǒng)配置問題。你的Agent該讀什么數(shù)據(jù)庫、輸出時該過濾哪些字段、多租戶架構(gòu)怎么切分，這些在代碼層就能鎖死。

ElevenLabs能第一個過審，大概率是因?yàn)樗麄冏稣Z音合成，數(shù)據(jù)流本身相對封閉。但如果你是做企業(yè)知識庫Agent的，跨客戶隔離這條會吃掉你大量架構(gòu)設(shè)計時間。建議：把這部分當(dāng)成基礎(chǔ)設(shè)施來建，別等審計來了再補(bǔ)。

Domain B：安全——9條里藏著最花錢的

對抗性魯棒性（Adversarial Robustness）是這域的核心。第三方紅隊(duì)測試、對抗輸入檢測、端點(diǎn)爬取防護(hù)、輸入過濾、未授權(quán)Agent動作阻止、訪問控制、部署環(huán)境安全、輸出過度暴露限制——9條里只有部分是純技術(shù)。

輸入過濾和訪問控制可以自動化。但"第三方紅隊(duì)測試"這條，CISO們明確寫了要外部人來搞。Cisco和MITRE的技術(shù)貢獻(xiàn)主要體現(xiàn)在這塊，他們太清楚自動化滲透測試的盲區(qū)在哪。

有個細(xì)節(jié)：端點(diǎn)爬取防護(hù)（Endpoint Scraping Prevention）。很多Agent需要接企業(yè)內(nèi)部系統(tǒng)，你的API文檔如果暴露在外，競爭對手的Agent可能比你的還先學(xué)會調(diào)用。這條沒有現(xiàn)成方案，得自己寫中間層。

Domain C：安全——12條，最大的域也是最雜的

風(fēng)險分類定義、部署前測試、有害輸出預(yù)防、超范圍輸出預(yù)防、自定義風(fēng)險類別、輸出漏洞預(yù)防、高風(fēng)險標(biāo)記、風(fēng)險監(jiān)控、實(shí)時反饋機(jī)制，外加三條獨(dú)立的第三方測試（有害輸出、超范圍輸出、自定義風(fēng)險）。

這域的問題是：測試和預(yù)防混在一起了。有害輸出預(yù)防可以靠提示工程+輸出過濾器自動化，但"風(fēng)險分類定義"和"自定義風(fēng)險類別"需要業(yè)務(wù)方坐下來寫文檔。更麻煩的是三條第三方測試——CISO聯(lián)盟顯然不信任自評。

Anthropic的技術(shù)貢獻(xiàn)應(yīng)該集中在這塊。他們的Constitutional AI思路就是把安全規(guī)則編碼進(jìn)訓(xùn)練過程，但AIUC-1要求的是可審計的第三方驗(yàn)證，不是技術(shù)路線自洽。

Domain D：可靠性——4條，幻覺是硬骨頭

幻覺預(yù)防、第三方幻覺測試、不安全工具調(diào)用限制、第三方工具調(diào)用測試。全強(qiáng)制，但分工明確：前兩條針對模型胡說，后兩條針對Agent亂動。

幻覺預(yù)防目前沒有銀彈。RAG（檢索增強(qiáng)生成）能降低概率，但"第三方幻覺測試"意味著你得找外部機(jī)構(gòu)定期喂對抗性案例。Stanford的參與可能和他們在幻覺評測上的研究有關(guān)，但標(biāo)準(zhǔn)本身沒指定測試方法，只要求"第三方"。

工具調(diào)用這塊更實(shí)際。不安全工具調(diào)用限制可以靠權(quán)限系統(tǒng)自動化，但測試還是得外人來做。建議：把工具權(quán)限設(shè)計成白名單制，默認(rèn)拒絕比默認(rèn)允許好審一百倍。

Domain E：問責(zé)——17條（現(xiàn)15條），人力黑洞

2026年Q1合并退役了2條，還剩15條。這是文檔工廠：三類故障的應(yīng)急響應(yīng)計劃（安全漏洞、有害輸出、幻覺）、責(zé)任分配、云vs本地評估、供應(yīng)商盡調(diào)、內(nèi)部流程審查、可接受使用政策、處理位置記錄、監(jiān)管合規(guī)文檔、質(zhì)量管理、透明度報告、活動日志、AI披露機(jī)制、透明度政策。

幾乎全是流程。云vs本地評估這條有點(diǎn)意思——它要求你書面論證為什么選這個部署方式，但沒有標(biāo)準(zhǔn)答案。選云要解釋數(shù)據(jù)主權(quán)，選本地要解釋運(yùn)維能力，審計員想看的是你有沒有想過，而不是想對了沒。

透明度報告和AI披露機(jī)制是面向終端用戶的。如果你的Agent對外服務(wù)，得讓用戶知道他們在和AI交互。這條可以技術(shù)實(shí)現(xiàn)（加一句"我是AI助手"），但政策文檔得自己寫。

Domain F：社會——2條，最重的責(zé)任最短的清單

防止AI驅(qū)動的網(wǎng)絡(luò)攻擊，防止災(zāi)難性濫用（CBRN：化學(xué)、生物、放射、核）。兩條都強(qiáng)制，但評估方式完全不同。

前者可以技術(shù)監(jiān)控：你的Agent有沒有被用來生成釣魚郵件、掃描漏洞、寫惡意代碼。后者幾乎 pure governance——你怎么確保模型權(quán)重不會流到不該去的地方？物理安全、人員審查、訪問日志，這些不是代碼能解決的。

CBRN這條的加入，說明CISO聯(lián)盟在參考白宮的AI行政令。但標(biāo)準(zhǔn)沒要求達(dá)到什么具體指標(biāo)，只要求"有措施"。這是合規(guī)典型的模糊地帶：做了不一定夠，沒做肯定死。

哪類能自動化？一張表說清楚

技術(shù)可控（代碼/配置解決）：Domain A全部7條、Domain B的輸入過濾/訪問控制/部署環(huán)境安全、Domain C的有害輸出預(yù)防/輸出漏洞預(yù)防/實(shí)時反饋機(jī)制、Domain D的不安全工具調(diào)用限制、Domain F的AI驅(qū)動攻擊監(jiān)控。

文檔流程（人力堆）：Domain E的全部15條、Domain C的風(fēng)險分類定義/自定義風(fēng)險類別、Domain B的紅隊(duì)測試報告、Domain C和D的所有"第三方測試"要求。

混合地帶（技術(shù)+流程）：Domain B的對抗輸入檢測（需要算法+人工標(biāo)注）、Domain C的高風(fēng)險標(biāo)記（需要業(yè)務(wù)規(guī)則+人工復(fù)核）、Domain F的CBRN防護(hù)（技術(shù)措施+管理制度）。

多數(shù)團(tuán)隊(duì)踩的坑：把Domain E的文檔工作當(dāng)成低優(yōu)先級，結(jié)果審計前兩個月開始趕工，質(zhì)量可想而知。另一個極端：在Domain C的"自定義風(fēng)險類別"上過度設(shè)計，寫了200頁沒人看的分類法。

Schellman作為首家獲認(rèn)可審計機(jī)構(gòu)，目前的審核尺度還不透明。ElevenLabs的案例參考價值有限——語音合成Agent的數(shù)據(jù)流比企業(yè)知識庫Agent簡單太多。真正值得關(guān)注的是第二批過審的公司類型，那才會暴露審計員的實(shí)際關(guān)注點(diǎn)。