
1. 为什么只做上线前 Checklist 不够很多企业做 AI 合规审计时会先补一张上线前检查清单有没有权限控制有没有日志有没有人工确认有没有敏感词策略有没有测试报告。这些检查项是必要的但对生产环境里的 AI 系统来说还不够。原因是 AI 的风险发生在运行时。一次 AI 调用可能同时经过用户输入 - Prompt 组装 - RAG 检索 - 上下文拼接 - 策略判断 - 模型生成 - tool call - 人工复核 - 输出或写入业务系统其中任何一个环节出问题都可能导致最终输出偏离预期。例如RAG 检索到了过期文档外部网页或上传文件里混入了不可信内容tool call 参数被错误生成高风险输出没有进入人工复核日志只记录了最终回答没有记录上下文和策略命中。因此企业 AI 审计不能只停留在上线前 Checklist而要设计运行时审计能力 核心目标是 看得见发生了什么 解释得清为什么发生 判断得出是否越界 沉淀得下如何整改2. 运行时审计的核心对象运行时审计不是单纯记录模型输入输出而是要覆盖完整链路。建议至少覆盖 7 类对象。审计对象需要记录什么目的应用app_id、场景、owner、风险等级知道哪个 AI 应用发生了行为用户user_id、user_role、team_id判断权限和责任边界输入input_summary、输入来源、是否外部内容判断请求意图和可信等级检索knowledge_base、chunk_id、文档版本回放 RAG 命中内容策略policy_hits、policy_version、处理结果判断规则是否生效工具tool_name、tool_args、tool_result、权限等级追踪 tool call 行为输出output_summary、final_destination、review_status判断输出去向和复核状态如果只记录 prompt 和 response后续排查时会非常被动。真正有价值的审计日志应该能把一次 AI 行为串成完整链路。3. 审计事件触发器设计不是每一次 AI 调用都需要重审。建议通过触发器判断哪些请求需要重点记录、拦截或进入复核。3.1 数据触发器当请求读取以下数据时触发客户数据个人信息合同财务源代码工单详情内部策略文档。3.2 内容触发器当输入或输出中出现以下内容时触发价格承诺合同范围法律责任供应商推荐医疗、金融等高风险内容对客户可见的承诺性表达。3.3 工具触发器当 Agent 调用以下类型工具时触发写入类工具发送类工具审批类工具删除类工具修改配置类工具查询敏感数据类工具。3.4 外部输入触发器当上下文包含以下内容时触发外部网页用户上传文件供应商上传文件第三方接口返回值邮件附件未验证知识库片段。这类内容建议默认标记为untrusted_content。3.5 异常触发器当出现以下情况时触发输出被人工驳回策略频繁命中tool call 调用失败成本异常波动同类请求反复出现错误某个知识库片段多次导致错误解释。触发器的意义是把审计从“人工记得查”变成“系统主动提示”。4. 最小审计日志字段如果不能一次性建设完整审计平台可以先从最小日志字段开始。建议高风险 AI 行为至少记录以下字段。字段示例作用request_idreq_20260707_001串联一次完整 AI 调用app_idprocurement_agent标识具体 AI 应用user_role采购经理判断权限和责任边界scenario供应商评审摘要识别业务场景risk_levelL2决定是否进入复核input_summary生成供应商报价对比摘要保留输入意图data_sourcessupplier_upload, contract_template追踪数据来源retrieved_chunk_idsdoc_18_chunk_03回放检索片段prompt_versionprompt_v3.2定位提示词版本model_versionmodel_xxx定位模型版本policy_hitsprice_commitment_risk记录策略命中tool_callsnone / approval_query追踪工具调用output_summary生成供应商优先级建议记录输出摘要human_review_statusrejected / approved记录人工复核状态final_destinationdraft_only / approval_flow判断是否影响业务状态incident_tagprice_claim_unverified标记异常类型remediation_statuspolicy_updated记录整改闭环这里有两个关键点。第一不一定要永久保存完整原文。涉及隐私、客户数据或敏感业务信息时可以采用脱敏、摘要、哈希、分级留存、最短必要留存等方式。第二字段要能支持回放。日志不是为了“证明有记录”而是为了能在问题发生后回答当时模型看到了什么命中了什么策略调用了什么工具有没有人工确认最终输出去了哪里后续整改是否完成。5. 风险分级与处理策略运行时审计必须和风险分级绑定。否则很容易出现两个极端全部放开风险不可控全部人工审核业务跑不动。建议采用三层处理。风险等级适用场景处理方式L1 低风险内部摘要、知识整理、会议纪要、低影响脚本辅助自动处理保留基础日志L2 中风险外发内容草稿、需求分析、技术方案初稿、测试样例、客户回复建议明确 reviewer保留审计记录L3 高风险生产代码核心逻辑、数据库变更、权限策略、客户沟通定稿、商业决策、涉及隐私与合规的数据处理不允许 AI 生成后直接采用必须人工主写或双重验证这套分级的核心不是限制 AI而是限制 AI 在高风险场景里的自动闭环。6. 采购 Agent 示例假设企业上线了一个采购 Agent。它可以汇总供应商资料对比报价和服务条款生成采购评审摘要。某次运行中供应商上传文件里出现了一段描述本报价在特殊项目中可视为长期优惠。采购 Agent 在生成摘要时将其写成该供应商具备长期价格优势。这句话可能触发三层风险风险说明业务风险采购经理可能把它作为供应商排序依据法务风险长期价格优势可能被误读为合同承诺组织风险后续难以解释该判断来自正式报价、合同条款还是供应商单方面描述如果系统具备运行时审计应能回放以下信息回放项结论数据来源来自供应商上传文件属于外部不可信输入上下文模型同时看到历史报价表和供应商补充说明策略命中未命中“价格承诺需内部确认”策略工具调用未写入审批系统只生成摘要草稿人工复核采购经理驳回要求补充合同依据整改动作更新价格承诺策略标记 supplier_upload 为 untrusted_content相关输出升级为 L2/L3 复核这类案例说明运行时审计的价值不是证明 AI 永远不会错而是在 AI 出现偏差时快速定位偏差来源并把偏差变成下一轮控制能力。7. 最小落地步骤如果没有完整平台可以先做一个最小版本。Step 1选 3 个高风险场景优先选择客户可见输出涉及合同、价格、采购、财务的输出能调用工具或写入业务系统的 Agent会读取客户数据、个人信息、源代码或内部敏感文档的场景。Step 2定义 5 类触发器先从以下触发器开始敏感数据触发外部不可信内容触发工具调用触发客户承诺触发人工驳回触发。Step 3记录最小日志字段至少记录request_idapp_idscenariorisk_leveldata_sourcespolicy_hitstool_callsoutput_summaryhuman_review_statusincident_tag。Step 4建立复核队列把 L2、L3 内容集中进入 reviewer 队列。复核队列不只是让人确认一次而是为了沉淀“哪些风险经常出现”。Step 5每周复盘 30 分钟每周只看三类问题哪些触发器命中最多哪些输出被人工驳回最多哪些问题应该转成新策略或新测试样本。8. FAQQ1运行时审计是不是必须保存完整 Prompt 和上下文不一定。可以根据风险等级选择完整保存、摘要保存、脱敏保存、哈希留存或分级留存。关键是保留足够的可回放线索。Q2所有 AI 请求都要进入人工复核吗不建议。更合理的方式是按风险分级处理低风险自动化中风险 review高风险人工主写或双重验证。Q3只有 Agent 才需要运行时审计吗不是。RAG、知识库问答、客户回复生成、代码助手、数据分析助手等只要进入真实业务流程都需要考虑运行时审计。Q4运行时审计和普通日志有什么区别普通日志记录“发生过”。运行时审计要回答“为什么发生、是否越界、如何整改”。Q5最先应该做哪件事先盘点 AI 应用资产和高风险场景再定义触发器和最小日志字段。不要一开始就追求完整平台。9. 上线前检查清单发布前可以把下面这张清单放进技术方案评审或上线评审材料里。检查项必填 / 建议通过标准是否完成 AI 应用资产登记必填有 app_id、owner、场景、风险等级是否定义高风险场景必填至少覆盖客户可见输出、工具调用、敏感数据读取是否定义审计触发器必填数据、内容、工具、外部输入、异常 5 类至少覆盖 3 类是否记录最小日志字段必填request_id、data_sources、policy_hits、tool_calls、human_review_status 可回放是否区分 L1 / L2 / L3必填高风险动作不允许 AI 自动闭环是否建立 reviewer 队列建议L2 / L3 内容有明确 reviewer 和处理结果是否有整改回流机制建议异常能转为策略、测试样本或权限调整是否确认数据留存策略必填涉及隐私和客户数据时有脱敏、摘要或分级留存策略这张表的作用不是替代公司内部安全流程而是帮助技术、产品、安全/合规团队在同一张表里对齐当前 AI 系统到底能不能被回放、被复核、被持续改进。结尾企业 AI 合规审计不是只做一张上线前 Checklist。真正关键的是把审计能力嵌进 AI 系统运行链路里让输入、检索、策略、工具、输出、人工复核和整改闭环都能被追踪。如果你正在推进 AI 助手、RAG、Agent、知识库问答、采购助手、客户成功 Copilot、代码助手或内部自动化工具上线可以先用《企业 AI 合规审计 Checklist》做一次最小自查。重点检查哪些 AI 应用已经在运行哪些场景应该触发运行时审计哪些数据源和工具调用需要重点留痕哪些输出必须进入人工复核哪些异常可以沉淀为策略和测试样本。Checklist 不是终点而是把审计能力嵌进系统的第一步。如果你需要把这套内容放进技术方案评审或上线前自查流程可以评论或私信AI审计获取《企业 AI 合规审计 Checklist》完整版。