AI构建的代码库可能缺乏治理。这意味着什么？

在AI辅助编程工具如Claude、Cursor、Bolt、v0或Replit的帮助下，开发者可以快速交付产品。然而，这些产品是否真正可信？问题在于，很少有人会问：你能证明你的AI构建的软件实际做了什么吗？不是你认为它做了什么，而是它真正做出的决策、允许的操作、阻断的行为，以及当这些环节缺失时会发生什么。

大多数AI构建的代码库无法回答这个问题，并非因为开发者粗心，而是因为代码生成工具本身不生成治理记录。这个看不见的鸿沟直到客户询问、投资者深究或出现问题时才会暴露。为此，Shaun Williamson创建了ASE——审计主权引擎（Auditome Sovereign Engine）。每个通过ASE执行的AI辅助操作都会在运行前生成一个加密签名的收据，记录谁发起了请求、他们拥有什么权限、适用的策略、存在的证据以及最终决策。收据是不可篡改的，且可独立验证——任何持有收据的人都能在不访问原始系统的情况下验证其真实性。如果操作被阻止，会有签名的拒绝收据说明原因；如果需要人工审核，则有升级收据；如果事后对决策提出质疑，则会生成锚定原始决策的补救收据。每个判断、每张收据，构成一个连续的证据链。

为了推广这一理念，Williamson开放了10个基础诊断（Foundation Diagnostic）的名额，价格为495美元。诊断内容包括治理缺口分析、可追溯性缺口、权限和批准缺口、高风险路径和模块、证据支持声明评估，以及优先级修复建议。诊断报告以通俗英语撰写，并附有面向开发者的附录。如果未能提供清晰、有证据支持的报告，作者承诺全额退款。这是一个机会，让AI构建的软件能够证明自己的行为，而不仅仅是声称。值得注意的是，这并非渗透测试、法律建议或合规认证，而是一个结构化的、基于证据的诊断工具。