事件经过
这份arXiv预印本(2026年7月8日发布,未经同行评审)辩称,现有的AI治理框架(EU AI Act、ISO/IEC 42001、NIST AI RMF、英国原则性方法)涉及可信度,但未能覆盖运营抗性——在严重中断下业务服务的连续性以及对少数前沿模型供应商依赖所带来的集中风险。作者提出了"AI抗性框架",包括依赖关系映射、临界性-可替代性分级、影响容限向AI特定故障模式的扩展、明确的后备原则以及供应商级别的集中度管理,与英国金融政策委员会的系统分析和关键第三方制度相对应。
影响分析
为受监管金融服务部门的首席信息安全官、安全架构师和董事会提供了一条具体、可行的路线,从AI治理政策到可证明的运营抗性——填补了当前AI风险框架未能解决的空白。
建议行动
根据提议的临界性-可替代性分级模型评估当前AI供应商集中度和后备安排。