arXiv:2502.08610v1 安全类型: 横跨领域 摘要：随着人工智能系统融入关键基础设施，人工智能合规框架中的安全缺口亟需引起重视。本文对三大主要的人工智能治理标准——NIST AI RMF 1.0、英国的AI和数据保护风险工具包以及欧盟的ALTAI——进行了审计和定量分析。采用一种新颖的风险评估方法，我们开发了四项关键指标：风险严重性指数（RSI）、攻击潜力指数（AVPI）、合规-安全缺口百分比（CSGP）和根本原因脆弱性评分（RCVS）。我们的分析在这些框架中发现了136个关注点，揭示了显著的安全缺口。NIST无法解决识别出的风险的69.23%，ALTAI拥有最高的攻击向量脆弱性（AVPI = 0.51），而ICO工具包拥有最大的合规-安全缺口，高达80.00%的高风险关注点仍未得到解决。根本原因分析指出，ALTAI中未明确规定的过程（ALTAI RCVS = 0.33）和NIST及ICO中薄弱的实施指导（NIST和ICO RCVS = 0.25）是关键弱点。这些发现强调了在人工智能合规中需要更强有力的可执行安全控制措施。我们提出了针对性的建议，以提高安全态势，并弥合合规与实际人工智能风险之间的差距。