大多数高校并不是主动决定采用 AI 的;它是自己来的。教职员工用它起草文稿, 学生用它写代码,研究小组把 agent 接入共享的实验室账户和院系数据,而中央 IT 往往事后才得知。EDUCAUSE 的研究(2025)直白地描述了这道鸿沟:AI 的使用如今 已在高校的教职员工中广泛普及,而正式的 AI 治理和可接受使用政策的覆盖却远远 滞后。一项没人看得见、也没有任何机制去强制执行的政策,不是控制——它只是一份 PDF。
这道鸿沟并非校园所独有,但校园让它更加尖锐。账户在设计上就是共享的。科研诚信 取决于知道什么触及了什么。而您最想去赋能的那群人——研究人员——恰恰是会被 粗暴的控制逼向影子工具的那群人。
具体的问题
在一个校园网络中,往往同时存在以下三件事:
- 可接受使用政策存在,但无人强制执行。 关于 AI 可以触及哪些系统、可以做什么, 有一条规则。但没有任何东西能在 agent 试图采取行动的那一刻,把这条规则转化为 一个决策。
- 共享账户抹除了归因。 一个实验室的各个 agent 以同一个服务账户、位于连接池 之后运行。原生审计把访问归因到该凭据上——而不是归因到真正执行操作的那个人 或那个 agent。
- 研究人员需要快速行动。 他们想在今天就拿一个新 agent 去试一试接近真实的 数据,而不是提个工单然后等待。如果治理是他们必须苦苦哀求才能通过的一道门, 他们就会绕过去。
这与更广阔的市场所遭遇的情形如出一辙。在那些遭受了与 AI 相关的数据泄露的组织中, 约有 97% 缺乏适当的 AI 访问控制(IBM《数据泄露成本报告 2025》,Ponemon), 而 Gartner 预计到 2027 年底将有超过 40% 的 agentic AI 项目被取消——治理债务正是 其中很大一部分原因。校园版本的这个问题,趁早修复成本更低,那时 agent 数量尚少、 爆炸半径也小。
Olivares AI 如何提供帮助
Olivares AI 是一个开放、可自托管的平台,它在您的基础设施上发现 AI agent, 映射出每个 agent 能读取和写入什么,并让您治理和审计这些访问。它采用 读取优先:在对任何东西设防之前,它先带外地观测和记录;而在它确实设防之处, 它是**默认拒绝(deny-closed)**的。对校园而言,这意味着您可以先从看清真相开始 ——然后才决定要强制执行什么。
强制执行可接受使用政策,默认拒绝
治理层把 AUP 转化为能产生决策的策略。它的 ABAC 引擎在基于角色的访问控制之后 运行,并且只能进一步收紧:当某条拒绝规则匹配时它就拒绝,否则维持既有的决策; 而一条格式错误的策略会以默认拒绝而非默认放行的方式失败。于是,一条诸如 “任何 AI agent 都不得写入成绩系统”或”沙箱 agent 不得触及 SIS”的规则,就成了 一项被强制执行的拒绝,而不是一纸通告。
请准确理解 v1 所能匹配的范围。如今的拒绝规则以主体(principal)、权限/动词(verb) 和资源为键——也就是那些实际能抵达评估器的属性。那些基于资源敏感度进行分支的 规则(例如”任何被标记为 FERPA 的东西”)需要一个资源属性接缝,那是一项有文档记录的 后续工作,尚未交付。在需要人工介入之处,平台会记录一条审批请求外加一条 仅追加(append-only)的决策轨迹,因此”是谁批准了这个 agent 去触及那个数据集” 在日后是可回答的。
关于读取优先、默认拒绝的模型,以及执行(actuation)在哪里已上线、哪里是按需的, 参见 /docs/concepts/governance。
在共享账户之间归因谁做了什么
这是校园场景中承重的能力。访问地图以诚实的置信度等级 记录哪个 agent 读取或写入哪项资源,以及该访问是被许可的还是仅仅被观测到的。 身份治理(/product/identity)把一个 agent 绑定到其凭据所 呈现的规范身份上,从而让一项访问能够被确定地归因。
诚实原则在这里比在任何地方都更重要:只有当每个 agent 或每个会话的身份被传播到 访问中时,归因才是确定的。当多个 agent 以同一个共享实验室账户、位于连接池之后 运行时,归因就坍缩到那个单一身份上——产品会如实说明,把这种共享绑定作为一项 治理发现(governance finding)呈现出来,而不是去猜测某个人。一个被绑定到不止一个 agent 的身份会被标记出来,而不是被掩盖过去。补救措施是运维层面的:传播每个 agent 的身份(例如传播到连接的应用名称中),归因便会随之变得清晰。我们绝不会打印出一个 信号无法支撑的名字。
为研究人员提供受治理的沙箱
研究人员可以针对模拟的资源、而非生产环境,对 agent 场景进行隔离的、临时性的 执行。默认的沙箱运行器在构造上即是隔离的:它不持有指向您的存储、网络或密钥的 任何句柄,并且当某一步骤请求一个场景未模拟的资源时,它会返回一个确定性的 mock-miss 标记,而不会触及任何真实的东西。运行是临时性的;每一次运行都会记录 真实的运行器以及它是否处于隔离状态,因此一个降级的后端是可见的,绝不会被隐藏。 更强的操作系统级隔离(一个加固容器或一个 microVM)是一个可插拔的后端,由自托管 运维方接入。
这给了实验室一个安全的场所,让其在新 agent 触及任何真实数据之前先去试用它—— 这正是您把行动迅速的研究人员留在治理之内、而非绕过治理的方式。对于那些确实 治理真实系统的 agent,一套经同意门控(consent-gated)的防御性红队测试组件 (提示词注入、越狱、数据外泄)可以探测该 agent 的抵抗力,并依据 OWASP Top 10 for Agentic Applications 进行评分。它只针对您拥有且已授权的 agent 运行——它是一套 测试套件,而不是一件进攻性工具。
用于科研诚信与审计的证据
评估(Evaluations)会拿候选 agent 的输出与带版本的黄金套件(golden suite)进行评分 ——当一个研究小组需要一份可复现的记录、证明某个 agent 在一次次运行中都达到了某项 标准时,这很有用。评判器是诚实的:如果没有接入任何评分后端,一次运行会被记录为 skipped(已跳过),绝不会被默默判为通过;并且原始输出绝不会被持久化——只持久化 一个单向哈希和一个经过脱敏的标签。参见 /product/evals。
对机构而言,合规层(/product/compliance)会把平台已经观测和 审计到的内容,聚合成一个密封的、仅追加的证据包,并锚定到一条哈希链账本上。一项 有支撑证据的控制项会被标记为已满足;没有的则会被标记为一处缺口(gap),绝不会 被伪造成通过。这是一种面向 EU AI Act 和 ISO/IEC 42001 等框架的技术性映射——它 不是法律意见,并且产品不宣称获得任何认证。
它是什么——以及它不是什么
- 它是一个开放、可自托管的、面向您基础设施上 AI 的治理与观测层。控制平面 可以在您自己的硬件上离线 / 气隙运行,因此归因和策略数据绝不离开校园。
- 它采用读取优先、默认拒绝。 它广泛地观测和治理;它不会广泛地执行(actuate)。 在它能够采取行动之处,那个面是已上线的、按需的,或是一个声明过的接缝—— 模块目录会标明属于哪一种。
- 它处于 1.0 之前(pre-1.0)。 该目录包含 23 个模块,其中约 20 个已接入;上文 的某些能力已具备,某些是按需的,某些是有文档记录的后续工作。我们会逐一标明。
- 它不运行您的模型,它也不是气隙推理。 气隙指的是控制平面。只有自托管模型 (vLLM、Ollama)才能离线运行;像 Claude 这样的托管模型则不行。
- 它不是一份认证。 没有 SOC 2 / ISO / EU AI Act 认证——这套合规映射是”朝着” 那些框架”设计的”,并生成证据,而不是一枚印章。关于安全态势参见 /security,关于治理模型参见 /docs/concepts/governance。
采用已然广泛;滞后的是监管(EDUCAUSE,2025)。诚实的起点是先看清您的 AI 已经触及了什么,再决定它可以做什么,然后去证明它——按这个顺序。