事件经过
2026年7月9日,CREST(国际会员组织,认证渗透测试、事件响应、威胁情报和SOC提供商,并运营政府认可的计划,如英国NCSC CHECK、CBEST和迪拜网络力量)推出了CREST人工智能章程,由来自17个以上国家的60-73家创始签署公司支持。该章程围绕网络安全服务交付中负责任的AI使用的九项原则构建:问责制和治理、使用透明度、文档和可审计性、边界和控制(人类监督)、数据处理/主权/客户控制、安全和保密性、AI工具的安全开发、供应链保证和复原力/业务连续性。这些原则最初在2026年3月进行了预览,随后在CREST技术工作组的投入和CRESTCon行业活动的验证后最终确定。CREST表示,作为章程的后续行动,它将开发正式的、可独立评估的AI安全标准,同时进行协作工作组和研究。
影响分析
这是第一个跨境行业自律框架,专门规管网络安全服务提供商(拥有客户系统特权访问权限)如何在自己的服务交付中使用AI——与规管AI系统作为攻击目标的框架(如OWASP LLM Top 10、MITRE ATLAS)或作为待保护产品的AI框架(NIST AI RMF)不同。由于CREST认证支撑公认的国家计划(英国NCSC CHECK、英格兰银行CBEST、迪拜DESC网络力量、英国CAA ASSURE),CREST的AI原则可能成为监管机构和购买者在评估启用AI的渗透测试、红队演习和SOC服务时参考的事实上的基准——CREST本身表示正在寻求政府/监管机构认可,以减少未来的合规碎片化。
建议行动
安全服务购买方应询问提供商是否为CREST人工智能章程签署方,并请求章程规定的透明度/文档制品(AI使用披露、人类监督控制、数据主权条款)。提供商应该现在就将内部AI工具实践与九项原则进行比对,为CREST计划的正式可审计标准做好准备。