防御于未然：Google DeepMind 发布《AI控制路线图》，为先进AI智能体戴上“紧箍咒”

TRAIT&R 定义了 三大类威胁场景 ：

1. 失控 (Loss of Control)：失去对AI系统的监管能力或无法对其施加约束。
2. 工作破坏 (Work Sabotage)：AI系统主动阻挠或破坏人类在对齐、安全等方面的努力。
3. 直接伤害 (Direct Harm)：对公司或公众造成直接损害（例如模型被盗取，这同时归属于“失控”和“直接伤害”）。

15层防御：层层设防，不留死角

路线图提出了 15项具体的控制措施，涵盖了从检测到响应的各个层面 。这些措施层层叠加，即使某一层失效，后续层级也能提供保护。

• 检测层面：从简单的思维链监控到复杂的“不透明推理审查”，逐渐深入。
• 响应层面：从异步的人工审查到实时的自动阻断，响应速度与严厉程度也随威胁等级提升。

关键机制：用“好AI”监督“坏AI”

为了监控那些能力强大的不可信智能体，框架引入了一个巧妙的设计——“监管”模型 (Supervisor Models)。

这些监管模型本身是受信任的、被认为已对齐的较小AI模型，它们被用来持续监控和分析那些更强大的、可能产生恶意的“不可信”智能体的“思维过程”和具体行动 。这形成了一个层级化的监控结构，用小而可靠的模型来看管大而不可预测的模型。

反欺诈新招：监控“激活模式”

为了防止AI刻意隐瞒真实意图（即欺骗），路线图引入了 激活模式监控 (Activation-Pattern Monitoring)。这项技术旨在深入AI模型的内部表征，检测其内部推理链条是否显示出隐藏真实动机的迹象 。它能够捕捉那些在最终输出中可能无法体现的、微妙的欺骗信号。

能力自适应防御：能力越强，管控越严

防御措施的强度与AI智能体的能力直接挂钩。框架定义了多个检测等级和防御/响应等级（例如R1、R2、R3），等级会随着模型能力的增强而自动提升 。

• 在最高安全等级（R3）下，模型被认为拥有超越人类专家的网络安全能力。此时，防御手段将不再依赖人工，而是要求系统具备自动阻断和实时干预的能力 。

内部实践：已经在监控“编码智能体”

DeepMind 已经将该框架落地，建立了一个内部原型系统。该系统已扫描了超过一百万个AI智能体的运行轨迹，并正在实时监控其内部的 Gemini Spark 编码智能体 。

目前，该系统产生的大部分警报都源于对任务的误解，而非恶意破坏，但所有可疑发现都会被上报给人类审查员进行进一步判断 。

政策指南：为监管者出谋划策

除了技术路线图，DeepMind 还发布了一份同样长达35页的配套指南，名为《AI智能体安全的三个层级》(The Three Layers of Agent Security)，专门面向政策制定者。

该指南就如何保障单个智能体、多智能体系统乃至整个生态系统的安全提出了建议，并呼吁开展预标准化工作、推动行业共识形成，以及加大对智能体身份和访问管理等领域的研发投入 。

总体安全蓝图：融入“前沿安全框架”

《AI控制路线图》并非孤立存在，它被设计为融入DeepMind更宏观的《前沿安全框架》（Frontier Safety Framework, FSF） 中 。

FSF 主要负责定义“严重风险能力等级”（Critical Capability Levels, CCLs），而从模型层面发现风险。《AI控制路线图》则在这些模型级的安全措施之下，添加了一层系统级安全层，构成了一个更全面的安全体系。

为什么现在做？

DeepMind 给出的理由非常明确：防御措施必须在真正危险的自主AI智能体出现之前就建好。

这个框架是主动防御的产物，其核心逻辑是：随着AI智能体越来越难以被监督和控制，我们必须在系统层面就建立起能够捕捉到对齐训练无法阻止的恶意行为的安全机制 。