The science and practice of proportionality in AI risk evaluations

本文探讨了如何在欧盟《人工智能法案》框架下，运用比例原则科学地校准通用人工智能模型的风险评估实践，以在有效管理系统性风险与避免给提供者施加过度负担之间取得平衡。

要点

这篇文章就像是一份**“给 AI 监管者开的科学处方”**，旨在解决一个核心难题：如何在确保 AI 安全的同时，不把它管死，也不让企业累垮？

想象一下，欧盟给 AI 公司（特别是那些开发最强大通用 AI 的公司）定了一条规矩：“你们必须做‘体检’（风险评估），证明自己的 AI 不会搞出大乱子。”

但问题来了：体检做太简单，查不出病（不安全）；体检做太复杂、太频繁，企业得破产（阻碍创新）。

这篇文章提出的核心概念叫**“比例原则”（Proportionality）。用大白话讲，就是“对症下药，量体裁衣”**。不能拿着手术刀去切蚊子，也不能用创可贴去治癌症。

为了把这个复杂的法律和技术概念讲清楚，我们可以用**“过安检”和“医生看病”**这两个比喻来拆解这篇文章的三大核心步骤：

1. 适合性（Suitability）：体检得能查出病

比喻： 就像过机场安检，你不能只让乘客把鞋脱了，却允许他们把炸弹藏在鞋底里。安检必须真的能发现危险。

• 文章观点： 评估 AI 风险的方法必须“靠谱”。
• 四个关键指标（怎么才算靠谱？）：
  • 真实（Realistic）： 别在真空里做实验。就像测试汽车刹车，得在雨天、湿滑路面上测，不能只在干燥的跑道上测。
  • 敏感（Sensitive）： 得能测出细微差别。如果不管车是好是坏，刹车测试都显示“完美”，那这测试就废了（就像体温计坏了，不管发烧还是健康都显示 37 度）。
  • 具体（Specific）： 别查无关的。如果担心 AI 写代码会泄露机密，就别花时间去测它能不能写诗。
  • 严谨（Rigorous）： 过程要科学，数据要可信，不能是“拍脑袋”决定的。

2. 必要性（Necessity）：别用大炮打蚊子

比喻： 如果你只是想去超市买瓶水，保安让你把全身衣服脱光搜身，这就是“不必要”的。虽然搜身能查出你带没带刀（有效），但代价太大（负担过重）。

• 文章观点： 在能达到同样安全效果的前提下，必须选那个让企业最轻松、干扰最小的方法。
• 怎么判断？ 比较“代价”和“效果”：
  • 侵入性： 这个测试会不会让企业的系统瘫痪？会不会泄露核心机密？
  • 资源消耗： 做这个测试要花多少钱、多少算力、多少人？
• 结论： 如果有个简单的小测试能查出 90% 的问题，而有个超级复杂的测试能查出 95%，但成本是前者的 100 倍，那在大多数情况下，简单测试就是“必要”的，除非那个 5% 的差距关乎生死。

3. 平衡性（Balancing）：动态调整，层层递进

比喻： 医生看病不会一开始就给病人做全身核磁共振（太贵太麻烦）。通常是先问症状、听诊（低成本），如果怀疑有大问题，再安排 CT，最后才做核磁。

• 文章观点： 评估不是一次性的，而是一个**“层层递进”**的过程。
• 具体做法：
  • 第一步（低门槛）： 先用简单、便宜的方法（比如简单的问答测试）给 AI 做个“初筛”。如果 AI 连这都过不了，那它肯定有危险，直接叫停。
  • 第二步（中门槛）： 如果初筛结果模棱两可，或者 AI 表现很好但风险很高，那就升级测试，用更真实、更复杂的场景（比如模拟黑客攻击）。
  • 第三步（高门槛）： 只有当风险真的很大，且前面的测试不够用时，才动用最昂贵、最侵入性的“终极测试”。
• 核心逻辑： 根据 AI 的“风险画像”（它有多强、谁在用、用来干嘛）和企业的“承受能力”（大公司还是小公司），动态决定做到哪一步。

案例：AI 找代码漏洞（黑客模拟）

文章举了一个具体的例子：如果 AI 被用来找开源代码里的漏洞（就像黑客找后门），该怎么评估？

• 方法 A（简单版）： 直接告诉 AI“这里有个漏洞，你试着利用它”。
  • 优点： 便宜、快。
  • 缺点： 太假了，不像真实黑客。
• 方法 B（进阶版）： 让 AI 像真实黑客一样，在复杂的系统里自己找漏洞。
  • 优点： 比较真实。
  • 缺点： 需要搭建复杂环境，成本高。
• 方法 C（终极版）： 模拟大规模、高难度的真实网络战场景。
  • 优点： 极其精准、严谨。
  • 缺点： 极其烧钱、烧算力。

怎么选？

• 如果是小公司，或者风险看起来不高，用方法 A就够了（适合且必要）。
• 如果是大模型，且风险很高，方法 A查不出问题，那就升级到方法 B，甚至方法 C。
• 关键： 不能一上来就逼所有公司都用方法 C，那是“大炮打蚊子”，不合法也不合理。

总结：这篇文章想告诉我们什么？

1. 监管不是“一刀切”： 不能对所有 AI 公司用同一套死板的测试标准。
2. 科学是基础： 监管者不能拍脑袋决定“这个测试太贵了，不许做”，也不能说“这个测试太简单了，必须做”。必须用科学数据来证明：这个测试的“性价比”是合理的。
3. 动态平衡： 就像医生看病一样，根据病情（风险）轻重，动态调整检查手段。既要把风险管住，又要让企业能喘口气，继续搞创新。

一句话总结：
这篇论文呼吁建立一套**“科学的安检流程”**，让 AI 监管从“凭感觉”变成“凭数据”，确保我们在给 AI 戴紧箍咒的同时，不会把它勒死，也不会让它漏网。

技术摘要

这是一份关于论文《AI 风险评估中的比例原则科学与实践》（The science and practice of proportionality in AI risk evaluations）的详细技术总结。该论文发表于 2026 年 2 月 19 日的《科学》（Science）杂志。

1. 问题背景 (Problem)

随着欧盟《人工智能法案》（EU AI Act）的实施，通用人工智能（GPAI）模型提供商被要求评估其模型可能引发的系统性风险。然而，监管面临一个核心挑战：如何在确保风险评估提供有意义的风险信息（有效性）与避免对提供商施加过度负担（成本/侵入性）之间取得平衡？

目前的监管困境在于：

• 缺乏科学的方法论来确定何时要求某种评估是“相称的”（proportionate）。
• 监管者缺乏指导来应对复杂的权衡，导致监管结果可能要么保护不足，要么负担过重。
• 现有的政策讨论多关注证据生成，但未解决“多少评估努力在法律上是正当的”这一具体监管问题。

2. 方法论 (Methodology)

论文提出将欧盟法律中的比例原则（Principle of Proportionality） 具体化为 AI 模型风险评估的科学框架。该原则要求监管措施必须满足三个条件：适当性（Suitability）、必要性（Necessity）和均衡性（Balancing）。

作者通过欧盟委员会 AI 办公室的工作坊，结合法律、科学和评估实践，构建了以下评估框架：

A. 适当性 (Suitability)

评估必须对风险有实质性的贡献，达到最低的有效性水平。有效性通过信息价值（Informational Value） 来衡量。

• 四个关键标准：
  1. 现实性 (Realistic)：反映现实世界的条件和约束（如噪声输入、人类因素）。
  2. 敏感性 (Sensitive)：能检测到模型性能的有意义变化，避免饱和或过于困难导致无法衡量进步。
  3. 特异性 (Specific)：紧密关联待评估的风险（如针对特定的攻击链）。
  4. 严谨性 (Rigorous)：符合测量科学标准（有效性、可靠性、符合技术标准）。

B. 必要性 (Necessity)

在达到相同或更高有效性的前提下，是否存在负担更小的替代方案？

• 评估维度：
  • 侵入性 (Intrusiveness)：对提供商业务、模型基础设施或用户体验的干扰程度。
  • 资源 (Resources)：开发成本（设计、集成）和执行成本（算力、时间、人力）。
• 帕累托前沿 (Pareto Frontier)：如果一种评估在特定有效性水平下没有负担更小的替代方案，则它是“必要的”。

C. 均衡性 (Balancing)

权衡特定评估的信息价值与其负担，判断是否存在明显的失衡。

• 风险画像 (Risk Profile)：根据模型生命周期、风险概率和严重性、以及置信度动态调整。
• 提供商能力 (Provider Capacity)：负担是相对的，需考虑提供商的规模、能力和模型分发策略。
• 迭代方法：采用“由轻到重”的策略。先进行低成本、低侵入性评估（如静态提示），若结果不明确或风险高，再逐步升级到高成本、高现实性评估。这符合预防原则。

3. 关键贡献 (Key Contributions)

1. 理论框架的落地：首次将抽象的法律“比例原则”转化为具体的、可操作的 AI 风险评估科学方法论。
2. 定义评估质量维度：提出了衡量评估“适当性”的四个具体技术指标（现实性、敏感性、特异性、严谨性）。
3. 引入帕累托前沿概念：在评估方法选择中引入经济学/优化概念，用于界定“必要性”，即寻找在特定有效性下负担最小的评估点。
4. 案例实证分析：通过“开源代码库漏洞发现”的具体案例，对比了三种评估方法（HonestCyberEval, BountyBench, CyberGym），展示了它们如何在负担 - 有效性曲线上形成不同的帕累托前沿，并论证了迭代评估的必要性。
5. 识别研究挑战：明确了未来研究的方向，包括确定最小信息价值阈值、开发比较不同评估“同等有效性”的方法论、以及降低评估资源需求的技术。

4. 结果与发现 (Results & Findings)

• 评估方法的多样性：在漏洞发现案例中，没有一种单一的评估方法是万能的。
  • HonestCyberEval：负担低，适合初步筛查（失败即有意义，成功仅作为弱信号）。
  • BountyBench：操作更现实，能区分失败模式，但系统整合成本高。
  • CyberGym：特异性、敏感性和严谨性最高，但计算和执行成本最高。
• 动态平衡的必要性：监管要求不能是静态的。对于低风险模型，简单的评估可能已足够（满足适当性）；对于高风险模型，必须升级到高负担评估以获取足够的置信度。
• 迭代流程的有效性：通过从低负担评估开始，仅在必要时升级到高负担评估，可以在不牺牲安全性的前提下显著降低整体合规成本。
• 科学判断的重要性：确定“信息价值”与“负担”之间的平衡点，需要基于证据的规范性判断（Normative Judgment），而非简单的二元规则。

5. 意义与影响 (Significance)

• 监管优化：为欧盟及全球监管机构提供了科学依据，使其能够制定既有效又不过度阻碍创新的 AI 法规。
• 促进创新：通过明确“必要性”标准，防止了“大锤砸核桃”式的过度监管，保护了技术提供商的竞争力。
• 科学标准化：推动了 AI 安全评估从定性描述向定量、可比较的科学测量转变，强调了评估方法的透明度和可重复性。
• 全球示范：作为全球首个尝试在具有法律约束力的框架内系统应用比例原则的案例，该研究为其他司法管辖区的 AI 治理提供了重要参考。

总结：该论文不仅是一个法律解释，更是一份技术蓝图。它主张通过科学的方法（如帕累托优化、迭代评估、多维指标）将法律原则转化为具体的工程实践，从而在 AI 风险管理与技术创新之间找到可持续的平衡点。