每一家運行AI系統的受監管企業,都面臨著一個自己看不見的法律發現風險。檢索增強生成(RAG)是一種讓大語言模型在生成回復前從內部文檔庫中提取資訊的架構。然而,法務團隊幾乎從未意識到其中潛藏的法律風險。
RAG為何成為普遍的盲區?
"工程團隊不會從數據治理的角度將向量資料庫視為數據儲存,儘管它實際上保存了敏感源文檔的向量表示。而法務團隊壓根不知道這些系統的存在,自然也無從提出正確的問題。"開源向量搜尋引擎Qdrant的聯合創始人兼CEO Andre Zayarni說道。
Zayarni表示,這一差距已造成切實的影響。他的公司曾經歷醫療機構在安全審查中失敗的情況,原因正是"向量資料庫缺乏原生審計日誌";此外,在受監管行業的項目中,也曾出現因合規團隊介入太晚,導致法務審查"拖延了好幾個月"的情況。
RAG的治理漏洞:無人負責
在不到兩年的時間裡,RAG已成為企業AI的默認基礎架構——法務部門審批供應商合同,IT部門部署管道,卻沒有任何人對向量資料庫實施審計。
"RAG並非不可見,而是無人負責。"法律服務與合規公司QuisLex的戰略AI諮詢與法務轉型副總裁Alok Priyadarshi說。
"RAG橫跨法務、資訊治理和IT三個領域,但通常由AI團隊在這些管控框架之外獨立構建。"Priyadarshi表示。因此,這一問題表面上看像是溝通不暢、知識傳遞和流程缺失的問題,根本原因卻是結構性的:工程師追求性能優化,治理團隊追求可辯護性,兩者之間既無共同語言,也沒有協同機制。
監管機構將要求系統的可溯源性
這一差距即將被填補,且不會等到任何人認為合適的時機。美國證券交易委員會、聯邦貿易委員會以及衛生與公眾服務部民權辦公室的近期行動,傳達出一個共同的監管期望:如果一個機構使用AI系統,尤其是基於RAG的系統,就應當能夠說明底層內容的來源、檢索方式、對輸出結果的影響,以及整個過程是否符合法律法規要求。
這說起來容易,做起來更難,更遑論拿出證明。
"當一份文檔被導入RAG管道後,它就不再是法務所理解的'文檔'了。"AI團隊服務商Alongside AI的聯合創始人Evan Glaser說。文檔會被拆解為數百乃至數千個向量嵌入,而這些向量無法清晰地映射回原始文件、頁面或段落。
"法務團隊習慣於用數據保管人、文檔留存令和監管鏈來思考問題,"Glaser說,"但這些概念在向量資料庫中找不到對應物。他們以為RAG的工作方式和傳統文檔檢索一樣,但實際上並非如此。"
缺失的檢索路徑
對於RAG而言,監管機構的合規要求不僅僅是"結果要準確",更是"要保留檢索路徑"。這意味著需要保存源文檔庫、文檔版本、檢索結果、時間戳、模型提示詞以及人工審核步驟,以便在監管機構詢問時能夠解釋系統為何返回特定答案。同樣,說起來容易做起來難。
"由於RAG太新、應用場景演變如此之快,法務團隊可能根本不知道這些管道的存在,也不了解其運作方式,更沒有工具去檢查它們。"語義智能平台Collate的聯合創始人兼CEO、前Hortonworks聯合創始人及Uber首席架構師Suresh Srinivas說。
Srinivas表示,這一疏漏在一定程度上源於RAG系統對企業數據的攝入、切片、嵌入和靜默留存方式,由此產生了功能性乃至可能具有法律意義的記錄,而這些記錄完全游離於現有治理框架之外。
"例如,在一起涉及AI聊天機器人基於RAG資料庫生成錯誤資訊的案件中,治理團隊會想追問:'我能把這個AI回答追溯到源頭嗎?'然而,能夠回答這個問題的元數據往往根本不存在。在RAG資料庫中,數據會被切片處理——無論是文檔、資料庫查詢結果還是結構化數據導出——而用於確定來源、歸屬和分類的元數據,很少會隨之一起傳遞。"Srinivas說。
監管機構正在追趕
唯一值得安慰的是,目前監管機構同樣還沒想清楚如何檢查RAG系統。但Glaser強調,搶先布局的窗口期正在關閉。
"現在,大多數監管機構仍在學習這些系統的工作原理……但監管機構的理解正在迅速追上,問題很快就會變得非常具體。"Glaser解釋道,"'給我看看你的向量資料庫審計記錄'不是一個假想中的未來問題,而是審查人員一旦弄清楚RAG是什麼之後,自然而然就會提出的問題。"
其他AI盲區
Glaser還指出,RAG只是最顯眼的一個例子。隨著監管機構深入調查那些以打破傳統治理假設的方式轉換數據的AI系統,其他盲區也將陸續暴露。模型微調、智能體工作流、提示詞模板和系統提示詞,都是可能面臨官方審計的重大盲區。
模型微調。"當你用公司數據對模型進行微調時,這些數據就嵌入了模型權重之中,既無法被選擇性地檢索、刪除,也無法被置於數據留存狀態。"Glaser說。他舉例指出,如果某員工的數據被用於微調,而該員工隨後依據GDPR或類似法規行使刪除權,"你可能不得不從頭重新訓練模型才能滿足合規要求。"
智能體工作流。"當AI智能體將多個工具串聯在一起——查詢資料庫、調用API或生成文檔——決策路徑就會變得極難還原,"Glaser說,"每一步操作可能都有獨立日誌,但引導系統做出特定行動的綜合推理過程,往往沒有被記錄在任何地方。"
提示詞模板。"這些指令決定了AI產出的每一個結果。如果系統提示詞寫著'速度優先於準確性'或'不得提及競品',這些都是具有法律含義的商業決策——通常由工程師編寫,存放在一個團隊外部人員從未見過的配置文件里。"Glaser說。
他建議在所有這些領域採用一個通用的自檢標準:"如果你無法向監管機構清楚說明系統使用了哪些數據、什麼指令規範了它的行為,以及某個特定輸出是如何產生的,那你就存在治理漏洞。對你組織中的每一個AI系統都用這個標準去檢驗,而不只是RAG。"
CIO應該怎麼做
好消息是,這個問題或許會隨著技術發展自然消解。"RAG之所以存在,是因為大語言模型的上下文窗口太小,無法在單個提示詞中容納大量文檔。這一限制正在被實時突破。"Blessing說。
Blessing指出,Anthropic最近已以標準定價為Claude提供了100萬Token的上下文窗口。"單次可處理75萬個英文單詞。現在大家都在拼命想辦法治理的這套架構,顯然只是一種過渡性方案。"他說。
然而,監管機構不會等待這一過渡完成。他們想知道的是你現在在做什麼,或者過去做了什麼。
Priyadarshi表示,RAG的審計就緒狀態不在於是否有文檔,而在於能否重建和證明某個輸出是如何生成的。
"對於概率性系統而言,這並不意味著逐字逐句地復現同一個答案,而是要清晰、一致地說明是什麼影響了這個答案、為什麼,讓監管機構看到的是證據,而不是解釋,"Priyadarshi說,"審計就緒不是定期執行的一次性任務,而是建立在可溯源性基礎上的持續能力,CIO對此負有直接責任。"
Priyadarshi認為,這需要具備三項核心能力:"實際操作中,這意味著要將審計就緒檢查嵌入AI開發生命周期的每個關鍵節點——系統上線時、每次重大更新時,以及對活躍系統至少每季度一次。"
Q&A
Q1:RAG管道為什麼會成為企業的法律風險盲區?
A:RAG橫跨法務、資訊治理和IT三個部門,卻通常由AI工程團隊在這些管控框架之外獨立構建。工程師不把向量資料庫視為需要治理的數據儲存,法務團隊又根本不知道這類系統的存在。結果就是沒有人對向量資料庫實施審計,產生了大量游離於治理框架之外的功能性數據記錄,一旦監管機構介入,企業將面臨無法溯源、無法舉證的法律風險。
Q2:監管機構對RAG系統會提出哪些具體要求?
A:監管機構(如美國證券交易委員會、聯邦貿易委員會等)的核心期望是:企業必須能夠說明AI系統底層內容的來源、檢索方式、對輸出結果的影響,以及整個過程是否合規。具體來說,就是要保留源文檔庫、文檔版本、檢索結果、時間戳、模型提示詞和人工審核步驟,確保在被問詢時能清晰解釋系統為何返回特定答案。
Q3:除了RAG,企業AI系統還有哪些治理盲區?
A:主要有三類:一是模型微調,公司數據一旦嵌入模型權重,就無法被選擇性刪除,可能導致無法響應GDPR等數據刪除權要求;二是智能體工作流,多工具串聯時綜合推理過程往往沒有完整記錄,決策路徑難以還原;三是提示詞模板,系統提示詞中隱含的業務決策通常只有工程師知曉,具有潛在法律含義卻缺乏監管。
