核心概念
2026 年 5 月 28 日,OpenAI 發布《前沿治理框架》(Frontier Governance Framework),定位是一份法規翻譯層——將 2023 年發布(2025 年 4 月更新)的內部《準備框架》(Preparedness Framework)映射至兩個具體監管要求,而非引入新的安全方法論。
發布時機直接對應 EU AI Act 8 月 2 日全面透明度揭露截止期限,同時預先對齊加州《前沿 AI 透明度法》(TFAIA)。
兩個監管轄區
| 法規 | 管轄 | 負責實體 |
|---|---|---|
| EU AI Act 通用 AI 行為準則 | 歐盟 | OpenAI Ireland Limited |
| 前沿 AI 透明度法(TFAIA) | 加州(美國) | OpenAI OpCo LLC |
系統性風險操作定義
文件將「系統性風險」量化為:單一事件造成超過 50 人死亡,或財產損失逾 10 億美元。此明確門檻直接回應監管機構對模糊語言的批評。
四大威脅域
每類均有 Tier 分級,以下為 Tier 3(最高等級)定義:
- 網路攻擊(Cyber Offense):模型可在無人介入下對大量真實強化系統識別並開發功能性零日漏洞
- CBRN(生化核輻):使專家能開發可媲美 CDC A 類病原體的新型生物威脅,或自主完成受管制物質合成週期
- 有害操縱(Harmful Manipulation):選舉干預、大規模影響行動,主要透過部署後監控管理
- 失控風險(Loss of Control):系統在複雜項目執行上超越頂尖人類,且具備充分情境感知與隱蔽能力,使監控無法可靠偵測規避行為
關鍵要點
- 框架階層分離:Preparedness Framework 是底層內部文件(含超出法規要求的實踐),Frontier Governance Framework 是其面向監管的公開版本——兩者不是替代關係,前者仍為真正的風險操作核心
- 模型報告週期:每 6 個月評估一次;模型能力出現重大後訓練變化,或系統整合提高風險,須提前更新
- 外部監督機制:接近新風險等級的模型,須委託獨立第三方及外部領域專家進行壓力測試,結果提交內部安全諮詢組
- 安全認證基線:ISO 27001/27017/27018/27701、SOC 2 Type II;沙盒模型執行與受限出口流量管控
- 產業基準效應:透過主動發布,OpenAI 隱性設立業界標準——Anthropic、Google DeepMind、xAI 預計被要求比照,形成競爭性合規壓力
延伸觀點
arXiv 2024 年一份評估 12 家前沿 AI 公司框架的研究(Stelling et al.)發現,即使得分最高的 Anthropic 也僅達 34%,產業中位數為 18%。核心問題並非缺乏框架,而是承諾措辭模糊、缺乏可外部驗證的指標——OpenAI 此次發布能否真正發揮問責效果,取決於後續是否提供可量化的執行證據。
2026 年 5 月另一篇論文(Mengesha, University of Amsterdam)點出所有現有框架的結構性盲點:重預防、輕應對。各實驗室、雲端服務商與政府機構在危機回應上各行其是,尚無跨機構協調機制——個別公司合規無法解決系統性風險。研究者提出「情境回應登記冊」(SRR),借鑒核安全的事故分類制度,要求各方事前提交 if-then 回應計畫。
EU AI Act 的「動態標準」機制值得關注:法規要求公司至少達到同業最高水準,意味著一家公司的進步會自動成為競爭對手的法定義務,形成安全治理的棘輪效應。OpenAI 主動設立高標準,理論上也等同於對自己施加了更高的未來合規義務。現有監管盲點包括:內部部署的 AI 研發、美中兩國的執法槓桿,以及吹哨人保護機制的缺失。
相關頁面:GPT-5.5 Instant 系統卡:High-Capability 安全評估框架 · 智能時代的網路安全:OpenAI 五點行動計畫 · OpenAI 歐洲青少年安全藍圖與 EMEA 補助計畫 · 多代理網絡的湧現風險:Microsoft Research 紅隊測試報告
反向連結
以下頁面引用了本頁: