摘要： 2025 年，对外提供 AI 服务的风险版图发生了两个“质变”： * 监管时点进入“刚性窗口”：中欧两地的关键义务陆续到期，例如合成内容显著/隐式标识的制度化要求，以及欧盟 AI 法案对通用目的 AI（GPAI）的透明度和版权义务正式适用。忽视这些“时间节点”，意味着上线即可处在合规敞口。([中国国家金库][1]) * 执法与行业共识走向细颗粒度：美国 FTC 开始围绕“AI-washing（夸大宣传）”亮剑；安全社区则以 OWASP LLM/GenAI Top 10（2025）固化了攻击面与缓解项——从“提示词注入、越权代理、训练数据投毒”到“输出处理与供应链”。([Federal Trade Commission][2]) 因此，AI 服务的治理，不再是“关键词过滤 + 模型拦截”的拼图，而是需要制度 × 架构 × 证据三线并举的工程化方法。 阅读全文