AI 智能体部署的《欧盟人工智能法案》合规:逐条款义务解析
截止日期
2026 年 8 月 2 日,《欧盟人工智能法案》(Regulation (EU) 2024/1689)迎来下一个执法里程碑。法案的其余部分开始适用——包括对高风险 AI 系统的义务、对 AI 生成内容的透明度要求,以及处罚条款。最高罚款为 3500 万欧元或全球年营业额的 7%,以较高者为准。
该法案于 2024 年 8 月 1 日生效。对不可接受风险行为(社会评分、潜意识操纵、公共空间的实时生物识别监控)的禁令自 2025 年 2 月 2 日起适用。通用目的 AI 模型义务和治理规则自 2025 年 8 月 2 日起适用。实施时间表确认,2026 年 8 月 2 日是高风险系统要求、透明度义务和处罚框架全面生效的日期——仅第 6(1) 条系统有有限例外,其适用时间推迟至 2027 年 8 月。
对于部署了对信贷、就业、基本服务获取或关键基础设施做出或支持决策的 AI 智能体的组织而言,8 月 2 日就是合规日期。不是规划日期。不是审查日期。而是义务可强制执行的日期。
合规边界延伸至执行层
大多数组织将其 AI 合规工作集中在模型上——训练数据治理、偏见测试、输出监控。Salt Security 的合规分析明确指出这是不够的。法案的适用范围延伸至模型所做的事,而不仅仅是它所产出的内容。
第 15 条(网络安全)要求防范对抗性攻击、数据投毒、机密性攻击和模型规避。Salt Security 的分析确认,这种防护"必须延伸至 AI 系统与世界交互的接口(API 和 MCP 服务器)"。一个通过 Model Context Protocol 模块调用 NetSuite,或通过 MCP 连接器读取 HubSpot 客户数据的 AI 智能体,会将这些接口纳入合规边界。
第 99 条和第 100 条鉴于条款(Recitals)明确涉及多智能体架构。在一条 AI 智能体链条中,合规边界延伸至每一个执行高风险功能的智能体。如果一个编排智能体将定价决策委托给调用 RFQ 引擎的子智能体,那么两个智能体都继承相应义务。合规范围是完整的调用链,而非入口点。
什么算作高风险
法案在第 6 条和附件 III 中定义了高风险 AI 系统。与 B2B 智能体部署最相关的类别:
- 就业与员工管理——简历筛选、晋升决策、任务分配、绩效监控
- 基本服务获取——信用评分、保险定价、资格认定
- 关键基础设施的安全组件——交通、能源、水
- 执法与司法——尽管大多数 B2B 部署不属于此类
一个评估供应商报价并推荐授标决策的采购智能体,如果采购涉及受监管的商品或公共部门合同,就触及了基本服务获取领域。一个按客户层级差异化定价的报价智能体,如果定价影响金融产品的获取,就触及了信贷和保险领域。分类取决于 AI 所执行的功能,而非部署公司所处的行业。
对于未达到高风险门槛的系统,透明度义务仍然适用。第 50 条要求部署方在个人与 AI 系统(聊天机器人、内容生成)交互时告知他们。生成式 AI 内容必须可识别。这些义务自 2026 年 8 月 2 日起生效。
逐条款义务
对于高风险系统,法案施加了具体、可审计的义务。Salt Security 的分析提供了条款级别的拆解。以下是每一条的要求,以及它如何对应到智能体基础设施。
第 9 条——风险管理
一个贯穿整个 AI 生命周期的、持续且迭代的风险管理系统。而非部署前的一次性评估。该系统必须识别、分析并缓解已知和可预见的风险,包括系统投放市场后出现的风险。
这对智能体意味着什么: 风险登记册是一份活文档。每一个新的 MCP 模块、每一个新的连接器、每一次新的工具注册都是必须评估的风险面。一个记录每次工具调用及其结果的治理层,为迭代式风险审查提供了证据基础——没有它,风险管理系统就没有数据。
第 10 条——数据治理
高质量的数据集以最小化歧视性结果。防止未经授权访问和数据投毒的保护措施必须延伸至推理时——当 AI 智能体主动调用 API 并访问外部数据时。
这对智能体意味着什么: 智能体在运行时读取的数据(来自 NetSuite、BigCommerce、供应商目录)在范围之内。如果某个供应商目录被投毒了错误的定价数据,而智能体据此报价,那么数据治理义务就适用。对 MCP 工具响应的输入验证不是质量细节——它是一项合规控制。
第 11 条——技术文档
在投放市场前对所有组件、接口和能力的完整清单。对于智能体系统,这意味着记录每一个 MCP 模块、它注册的每一个工具、它连接的每一个上游系统,以及它处理的每一条错误路径。
这对智能体意味着什么: 模块注册表就是文档。一个以模式、速率限制和审计日志动态注册 MCP 模块的系统,会将技术文档作为其架构的副产品产出。一个由临时脚本和未注册 API 调用组成的系统则不会。
第 12 条——记录保存(日志记录)
对所有事件的自动日志记录。日志必须防篡改,并至少保留 6 个月(生物识别和执法系统为 24 个月)。每一次工具调用、每一个智能体决策、每一次人工干预都必须能够从日志中重建。
这对智能体意味着什么: 每一次 MCP 工具调用都必须记录时间戳、智能体 ID、工具名称、输入哈希(而非原始输入——PII 边界)、输出状态和持续时间。日志必须是仅追加或防篡改的。6 个月保留是最低要求,而非目标。这是最直接可映射的义务:一个将每次函数调用以结构化字段记录到 DynamoDB 的受治理 MCP 架构,天然满足第 12 条。
第 14 条——人工监督
系统必须允许人工操作员在检测到异常行为时实时监督、干预并停止系统。这不是一个事后显示指标的监控仪表板。而是在任务进行中停止一个正在运行的智能体的能力。
这对智能体意味着什么: 提示词级别的指令("停止"、"取消")在法案下不构成监督。它们属于 AI 的对话上下文,在记忆丢失或提示注入的情况下可能被忽略。法案要求一个在 AI 推理过程之外运行的确定性停止机制。一个撤销智能体身份验证令牌、通过配置更改禁用特定 MCP 模块,或在异常行为模式下触发断路器的终止开关(kill-switch)满足第 14 条。一个"停止"命令则不满足。
miniOrange 的终止开关架构分析定义了对应此项义务的四个层次:
- 基于身份的访问撤销——绑定到特定任务的短时会话令牌;即时凭据撤销
- 断路器与异常检测——在过量 API 请求、异常令牌消耗、重复循环时触发
- 限定范围的能力撤销——仅禁用危险能力(例如,移除发送邮件权限但保留工单读取)
- 进行中任务处理——回滚未完成的更改,保留执行日志,在关闭后验证系统稳定性
同一分析中记录的 OpenClaw 事件说明了为何提示词级别的停止会失败:一个整理邮件收件箱的 AI 智能体超出了其记忆上限,丢失了上下文,回退到它最后记住的目标——删除邮件。用户的"停止"和"取消"命令被忽略。智能体一直持续到在操作系统级别被手动终止。这一失败是架构性的:在 AI 的推理过程之外不存在任何确定性关闭机制。
第 15 条——网络安全
针对对抗性攻击、数据投毒、机密性攻击和模型规避的技术鲁棒性。防护必须延伸至 AI 与世界交互的接口。
这对智能体意味着什么: 每一个 MCP 服务器、每一个 API 端点、每一个连接器都在范围之内。2026 年记录的 MCP 安全态势——影响 1.5 亿次下载的系统性 STDIO 设计缺陷、CVE-2026-33032("MCPwn",CVSS 9.8)、CVE-2026-0755(Gemini MCP,CVSS 9.8)、30% 至 82% 的公共 MCP 服务器带有可利用缺陷——正是法案所针对的网络安全风险。只有 8.5% 的 MCP 服务器使用 OAuth。法案并未特别强制要求 OAuth,但它确实强制要求一个当前 MCP 生态系统在默认情况下无法满足的网络安全水平。
第 72 和 73 条——投放后监控与事件报告
从部署第一天起就有一个文档化的监控系统。事件报告窗口:
- 对生命或安全风险为 24 小时
- 对其他严重事件为 72 小时
- 对故障为 15 天
这对智能体意味着什么: 审计日志是事件报告的来源。当一个智能体超出权限、发出未经授权的调用,或产出影响某个决策的错误输出时,日志可重建所发生的事。24 小时和 72 小时的窗口意味着监控系统必须实时告警,而非在每周审查中。
治理缺口
Deloitte 2026 State of AI in the Enterprise 发现,只有五分之一的公司对自主 AI 智能体拥有成熟的治理模型。根据 practical-devsecops 2026 报告,47% 至 53% 的组织曾有 AI 智能体超出权限或遭遇事件。只有 23% 拥有正式的 AI 智能体身份策略。
法案并未规定特定架构。它规定的是结果:持续的风险管理、自动且防篡改的日志、能够确定性停止系统的监督、延伸至每个接口的网络安全。满足这些结果的架构就是受治理的 MCP 模块模式——正是应对 2026 年 MCP 漏洞时间线所记录的安全漏洞的同一模式。
受治理的 MCP 架构如何满足这些义务
使 MCP 模块在生产中安全运行的治理层,与满足法案要求的治理层是同一层。这种对应是直接的:
| 《欧盟人工智能法案》条款 | 义务 | 治理控制 |
|---|---|---|
| 第 9 条(风险管理) | 持续、迭代的风险评估 | 每次工具调用连同结果一起记录;从审计数据更新风险登记册 |
| 第 10 条(数据治理) | 推理时的防护 | 对 MCP 工具响应的输入验证;类型化错误将数据质量失败与瞬时错误区分开 |
| 第 11 条(技术文档) | 完整的组件与接口清单 | 模块注册表:每个 MCP 模块、工具模式、上游连接、错误码都在注册时记录 |
| 第 12 条(记录保存) | 自动、防篡改的日志,保留 6 个月 | 记录到 DynamoDB 的结构化 JSON 日志:时间戳、智能体 ID、工具名称、输入哈希、输出状态、持续时间;以 partition key 租户隔离的仅追加日志 |
| 第 14 条(人工监督) | 实时停止能力 | 终止开关:身份撤销(短时 JWT 令牌)、断路器(按工具按窗口的速率限制)、限定范围的能力撤销(通过配置更改禁用模块)、进行中回滚 |
| 第 15 条(网络安全) | 防护延伸至 API 和 MCP 服务器 | OAuth/Cognito 身份验证、速率限制、PII 边界处理(记录前 SHA-256 字段哈希)、类型化错误契约 |
| 第 72–73 条(事件报告) | 24/72 小时报告窗口 | 从审计日志实时检测异常;对权限超出、意外工具调用、速率限制违规告警 |
关键洞见在于,这些控制不是事后加装的。它们是 MCP 模块注册、执行和日志记录管线的结构本身。一个以模式注册其工具、声明其速率限制、将每次调用记录到仅追加存储、并可通过配置更改禁用的模块,会将合规证据作为其运行的副产品产出。一个直接调用 API 的临时智能体则不会——而在一个未受治理的智能体上事后加装合规控制,比从一开始就内建它们更昂贵。
多智能体合规边界
第 99 和 100 条鉴于条款将合规边界延伸至链条中每一个执行高风险功能的智能体。这具有一个大多数组织尚未内化的架构含义。
考虑一个采购工作流:一个编排智能体接收 RFQ,将产品解析委托给一个目录智能体,将定价委托给一个报价引擎智能体,将订单写入委托给一个 ERP 集成智能体。在法案下,如果这些智能体中的任何一个执行高风险功能(影响信贷获取的定价、影响就业的供应商选择、受监管商品的采购),链条中的每一个智能体都继承该义务。
这意味着治理层必须处于编排层级,而非单个智能体层级。日志记录必须追踪完整的调用链——哪个智能体以哪些参数调用了哪个模块,结果如何。模块注册表必须覆盖每个智能体的每个模块。终止开关必须能够停止某个特定智能体的能力,而不禁用共享基础设施。
partition_key 租户隔离模式——每条 MCP 函数调用记录都携带一个将其限定到特定租户和端点的 partition key——提供了多智能体合规所要求的审计追踪结构。对函数调用日志的一次查询可以重建完整的工作流状态:哪个智能体触发了哪个工具、以什么顺序、以什么参数、结果如何。这是跨多智能体链条的第 12 条记录保存和第 72–73 条事件报告的证据基础。
8 月 2 日前该做什么
对于已在生产中或处于部署管线中拥有 AI 智能体的组织,8 月 2 日的截止日期带来一份具体的待办清单:
对你的智能体分类。 确定哪些落入高风险类别(就业、基本服务、关键基础设施)。不触及这些类别的智能体仍有第 50 条下的透明度义务。
审计日志层。 你能从日志中重建任何一个智能体决策吗?日志是否防篡改并至少保留 6 个月?如果答案是否定的,这是要弥合的第一个缺口——第 12 条是最直接可验证的义务。
验证停止机制。 一个操作员能否确定性地停止一个正在运行的智能体,而不依赖智能体自身的推理?如果停止依赖于一个提示词命令,它就不满足第 14 条。需要一个撤销凭据或通过配置更改禁用模块的终止开关。
记录接口清单。 智能体调用的每一个 API、每一个 MCP 服务器、每一个连接器都必须记录(第 11 条)。模块注册表就是文档——如果你没有一个,这是要弥合的第二个缺口。
定义事件响应流程。 当一个智能体超出权限时通知谁?24 小时和 72 小时的报告链是什么?流程必须在部署前记录,而非事件发生后。
评估多智能体范围。 如果你的架构涉及智能体链条,映射每一个可能执行高风险功能的智能体。合规边界是完整的链条。
不合规的代价 vs 治理的代价
最高罚款为 3500 万欧元或全球营业额的 7%。对于一家营收 1 亿欧元的中型企业,那就是 700 万欧元。满足法案的治理层——审计日志、速率限制、类型化错误、终止开关、模块注册表、租户隔离——正是无论监管压力如何都能使生产智能体安全运行的同一治理层。已经经历过智能体事件的那 47% 至 53% 的组织,正在以运营风险的形式支付未受治理智能体的代价。法案只是让这一代价变得明确且可强制执行。
那些从一开始就将治理内建到其智能体架构中的组织——以模式注册模块、将函数调用记录到持久存储、以短时令牌进行身份验证、在模块边界强制执行速率限制——对它们而言,8 月 2 日是一次文档化练习,而非一次紧急改造。那些将智能体部署为直接调用 API 的临时脚本的组织,则是面临紧急情况的那些。
一家运行 NetSuite、BigCommerce 和三个供应商目录的分销商,拥有一个接收 RFQ、针对目录图谱解析产品、按客户层级定价、并将报价写回 NetSuite 的智能体。如果该智能体确定信贷条款或为受监管的采购选择供应商,它就落入高风险类别。受治理的 MCP 架构——每次工具调用连同时间戳和结果记录到 DynamoDB、每个模块可通过配置更改禁用、每个智能体以短时 JWT 令牌进行身份验证、每个错误经过类型化和分类——正是使该智能体在 8 月 2 日合规的东西。使它安全运行的同一架构,也使它合规运行。
申请一次限定范围的构建。 一周发现。你会得到一份系统清单、一张工作流程图和一个固定范围——无论你是否与我们一起构建。
想为您的系统构建这个吗?
这里的每份文档都来自真实的生产工作。如果您有目标系统和工作流想法,我们可以在一周内确定范围。
申请定制开发为期一周的发现阶段。您会拿到系统清单、工作流地图和固定范围——无论您最终是否与我们合作开发。