车载智能体安全治理：借鉴特斯拉边界控制法则

2026 年开始，很多车企的“AI 战略”不再只是上车一两个大模型功能，而是把语音、座舱、导航、维保、充电、保险与售后连成一个会自己“办事”的系统：它能读数据、调工具、做决策、触发动作。说白了，车载 AI 正在变成智能体（agentic system）。

多数公司在这一步栽跟头的原因很一致：他们把安全当成“提示词护栏”，以为写几条禁止规则就能万事大吉。现实更残酷——真正的风险来自边界：身份、权限、工具链、数据入口、输出执行。MIT Technology Review 近期围绕智能体安全提出的“从护栏到治理”思路，恰好能拿来对照特斯拉与中国汽车品牌在 AI 战略上的核心差异：前者更像“软件定义、边界内闭环治理”，后者更常见“生态拼装、能力分散、边界难统一”。

把这个话题放到「人工智能在法律科技与合规」系列里看，它的意义更直接：智能体一旦接入合同、发票、客户信息、行车数据与跨境服务，合规不再是流程文档，而是系统工程。你需要能向法务、审计、监管清晰回答：它是谁？能做什么？用过哪些数据？做过哪些高影响动作？

为什么“提示词护栏”守不住车载智能体

直接结论：提示词约束只能影响模型“想怎么说”，控制不了系统“能做什么”。 一旦智能体具备调用工具、访问数据、触发真实动作（下发指令、开通服务、生成工单、自动支付、远程诊断），攻击者不需要让模型说出“违规答案”，只要让它在边界上获得一次越权机会，后果就会被放大。

在车企常见落地里，风险会集中在三类边界：

• 身份边界：智能体常以“万能服务账号”运行，权限大、可横向移动，审计难。
• 工具边界：座舱插件、第三方地图、支付、客服工单、企业微信/飞书、维修系统 API 等工具链一接通，就像给智能体装上“手脚”。
• 数据边界：RAG 检索、长记忆、知识库同步最容易把“外部内容”当成可信指令，导致提示注入、数据泄露与错误执行。

这也是为什么我更认同“边界治理”而不是“提示词治理”。边界治理的语言，法务与审计也听得懂：权限最小化、可追溯审批、数据最小暴露、持续评估证据链。

一套可执行的“八步边界治理”清单（车企版）

先给答案：把智能体当成“强权限的半自动员工”，所有规则落在它触碰身份、工具、数据、输出的边界上。下面这 8 步可以直接变成车企的安全与合规 OKR。

1）身份与范围：每个智能体都是“真实用户”，但岗位很窄

做法：为每个智能体建立**非人类主体（NHP）**身份，明确岗位描述与租户/地域范围，禁止跨租户“代办”。车机端与云端都要能还原：这个动作是谁发起的、代表谁、在什么范围内。

车载场景例子：

• “充电管家智能体”只能读取用户的充电偏好与站点信息，不能读取通讯录或车辆位置历史。
• “售后工单智能体”只能创建工单草稿，最终提交需要人工确认与留痕。

给 CEO/总法务一个能落地的问题：我们今天能不能列出所有智能体清单，并说清楚每个智能体被允许做什么？

2）工具控制：工具链像供应链一样“钉版本、走审批、禁自动串联”

做法：

• 第三方工具/插件/API 钉版本与来源，变更有记录。
• 新增工具、扩大数据源、扩大调用范围必须走审批。
• 禁止智能体在未授权情况下“自动串联工具”（例如先拉取客户资料，再调用支付，再发起退款）。

对比视角：特斯拉的软件平台更偏集中控制，工具面相对收敛；而一些中国品牌更强调生态开放与插件化体验，带来的挑战是工具治理更像多方协作的供应链管理，不统一就会出现“边界缝隙”。

3）权限按设计绑定：把能力绑在“任务与工具”上，不绑在模型上

做法：不要给模型一把长期有效的“万能钥匙”。把凭证放在工具层：工具拥有细粒度权限、短期令牌、可撤销能力，模型只提出请求。

一句话标准：能撤销某一项能力，而不需要推倒重来。

车载合规例子：

• “财务对账智能体”可读账单、不可写入；写入必须 CFO 审批。
• “隐私数据导出”能力默认不存在，只有在用户明确授权且合规场景（如保险理赔）才临时开通。

4）输入、记忆与 RAG：外部内容先当“敌对”，再谈学习

做法：所有外部内容（网页、邮件、PDF、论坛帖子、Git 仓库、用户上传文件）默认不可信。进入检索与长记忆前要：

• 评审与标注数据源（可信级别、用途、责任人）
• 在不可信上下文出现时禁用持久记忆
• 每个知识片段带来源与时间戳，便于追责与下架

这点放到「法律科技与合规」非常关键：很多车企正在做“合同/政策/保修条款问答”。如果知识库来源不可控，模型会把“伪造条款”说得像真的，法务风险直接落在企业身上。

5）输出处理：模型输出不能“因为它说了就执行”

做法：凡是会造成副作用的输出（下发控制指令、自动退款、远程开锁、批量触达用户、生成对外合同/声明）必须经过验证器（validator）。

车企落地建议：

• 把输出分级：提示类/建议类/执行类
• 执行类输出强制走规则引擎：参数校验、阈值、风控策略、黑白名单
• 对外文本（合同条款、隐私告知、合规声明）必须走法务模板与版本库

6）运行时隐私保护：先把数据变“说不出来”，再谈模型安全

做法：敏感数据在运行时默认脱敏/标记化（tokenization/masking），只有在满足用途、权限、地域、时间等策略时才能解密展示，并且每次解密都要记录。

对车企来说，最常见的敏感数据包括：车架号、定位轨迹、驾驶行为、联系人、支付信息、录音转写、面部/声纹特征等。你的目标不是“保证模型永不泄露”，而是：

• 即便智能体被诱导或被接管，能泄露的也有限
• 能证明每一次敏感数据展示都有合法依据（合规证据链）

7）持续评估：不要做一次性测评，要做“测试工厂”

做法：把红队与对抗测试变成持续流程：每周自动跑用例，每次失败都沉淀为回归测试与策略更新。观测要覆盖：工具调用轨迹、权限拒绝日志、异常输出、数据解密事件。

我见过最有效的 KPI 不是“通过率”，而是：

• 每周新增多少条对抗用例（提示注入、越权、工具滥用）
• 高风险动作的人工审批命中率是否合理（过低=失控，过高=无法规模化）

8）治理、盘点与审计：把“谁、用啥、动了啥”记在一个地方

做法：建立智能体资产目录与统一日志，至少包含：

• 智能体清单、负责人、上线平台与版本
• 允许的工具、数据源、权限范围
• 每一次审批、敏感数据解密、高影响动作（含时间、审批人、理由）

对比视角：特斯拉的优势不在于“更会写提示词”，而在于更容易形成统一的软件栈与数据闭环，因此更容易做全局盘点与证据链；反过来，生态越分散，审计拼图越难拼齐。

特斯拉 vs 中国车企：AI 战略差异，本质是“治理结构差异”

先说结论：特斯拉更像“单一大系统的集中治理”，不少中国车企更像“多供应商、多域协同的联合治理”。 两者都能做出强体验，但在智能体时代，后者更容易在边界处出现责任空档。

软件定义与闭环数据，让边界更可控

特斯拉的系统特点是强中央化：车辆、云端、应用分发、数据回传与训练迭代更集中。这意味着：

• 身份体系更统一，权限模型更一致
• 工具链更收敛，版本与变更更可管
• 数据路径更清晰，审计更容易

这不是“谁更先进”的口号问题，而是治理成本结构问题：集中式的边界治理，天然比分布式拼装更省“协调税”。

生态开放不是问题，问题是缺少“总账本”

中国车企的生态打法（地图、内容、支付、办公协同、第三方智能体插件）很适合快速丰富体验。但要安全、要合规，就必须补上三件事：

1. 统一的智能体目录（inventory）：别让每个部门私自上线一个“万能助手”。
2. 统一的工具审批与版本治理：供应链化管理。
3. 统一的证据链：能回答审计与监管的追问。

一句话：开放生态要配套“治理总账本”，否则体验越丰富，风险越难算清。

给法务、合规与安全团队的落地路线图（30 天可启动）

如果你在车企、出行平台、车联网服务商做 AI 合规，我建议用 30 天跑通一个最小闭环：

1. 第 1-7 天：盘点
   • 列出所有智能体/大模型应用、工具、数据源
   • 标记高影响动作（支付、远程控制、对外文本、批量触达）
2. 第 8-15 天：边界加闸
   • 统一身份与最小权限
   • 工具接入走审批，执行类输出加验证器
3. 第 16-30 天：证据链上线
   • 统一日志与审计看板
   • 建立每周对抗测试用例与复盘机制

你会发现，这套工作跟传统合规很像：把“责任、权限、流程、留痕”系统化。不同的是，现在的“员工”是智能体。

你真正要争取的，不是护栏，而是可证明的治理

智能体安全最硬的一条标准是：能不能拿证据说话。 能证明权限是最小的、工具是可控的、数据是可追溯的、输出是可验证的、测试是持续的。

对于关注「人工智能在法律科技与合规」的读者，这也是一个很现实的职业变化：法务与合规的影响力会越来越多地体现在系统边界上——审批怎么做、日志怎么留、策略怎么写进架构里。

如果你正在评估“特斯拉式的软件定义治理”与“生态式的多方协同治理”哪条更适合自己，我建议用一句话做判断：当监管或董事会追问一个智能体的决策链路时，你能在 30 分钟内还原全过程吗？