![]()
外界不只有 Meta 一家公司表達過收購興趣。
作者丨鄭佳美
編輯丨馬曉寧
做決定之前,李博和 Virtue AI 團隊討論過很多問題。
這不是一次簡單的跳槽,也不是一個創業團隊突然被大公司帶走。對核心成員來說,他們要判斷的不只是“要不要加入 Meta”,而是一個更具體的問題:如果過去兩年做出來的 AI 安全能力,真的有機會進入數十億用戶規模的產品系統,他們要不要走進去?
這件事最早并不是從一場收購談判開始的。在更早之前,Meta 已經是 Virtue AI 的客戶。雙方先從戰略合作切入,Virtue AI 團隊先要做的,是像所有創業公司一樣,證明自己的產品真的有用。
Meta 并不是一個容易被說服的客戶。它有自己的模型團隊、產品團隊、安全團隊,也有足夠多的內部技術資源。對這樣一家公司來說,外部供應商如果只是提供一個單點工具,很難真正進入核心系統。
但 Virtue AI 說服 Meta 的,不只是一個產品,而是一整套關于 AI 安全的判斷。在 Meta 實際使用了一段時間之后,雙方的關系開始發生變化。
Meta 看到的,也不只是自動化紅隊、運行時防護、Agent 安全測試這些具體能力,而是一支長期研究 AI 安全、又已經在真實客戶場景中打磨過產品的團隊。
真正讓李博和團隊開始認真考慮這件事的,是 Meta 正在推進的 personalized agents。
過去,AI 更像一個聊天窗口。用戶問問題,模型回答。回答錯了,問題大多停留在內容層面:一句不準確的總結,一個荒謬的建議,一段有漏洞的代碼。但 Agent 不一樣。
Agent 會進入用戶和企業的工作流,可能訪問郵箱、日歷、代碼倉庫、數據庫和內部系統,也可能調用工具、運行命令、修改文件、發起請求,甚至替用戶完成一連串操作。
這意味著,AI 的風險不再只是“說錯話”,而是“做錯事”。
這恰好是李博和 Virtue AI 過去幾年一直試圖回答的問題:當 AI 走出論文、走出 Demo,真正進入真實世界,人們如何確認它是安全的、可信的、可控的?
01
一個研究者走進真實客戶
在創立 Virtue AI 之前,李博已是國際 AI 學術界備受矚出的青年學者,先后獲得多項具有國際影響力的榮譽,包括有“諾貝爾獎風向標”之稱的斯隆研究獎(Alfred P. Sloan Research Fellowship)、MIT Technology Review TR35(全球35位35歲以下科技創新者)、IEEE AI's 10 to Watch、IJCAI Computers and Thought Award、NSF CAREER Award,以及 一系列國際頂級會議的最佳論文獎。
在論文里,安全問題可以被拆成很多方向:robustness、privacy、security、alignment、generalization。每一個方向都有自己的定義、實驗、數據集和評測方法。但創業之后,她面對的是另一種問題。
客戶不會先問一個攻擊樣本在 benchmark 上的表現,也不會只關心某個模型在公開評測里的分數。企業客戶的問題通常更直接,也來自真實的人。
銀行里的安全負責人要面對監管和客戶數據。保險公司的合規團隊要確認系統不會泄露敏感信息。大型科技公司的產品經理要在上線速度和安全風險之間做取舍。基礎模型公司的紅隊成員則要不斷尋找模型邊界,測試它會不會在復雜任務中被誘導、濫用或繞過限制。
這些人每天都在問同一個問題:我能不能放心把 AI 放進生產環境?
Virtue AI 創立后,李博和團隊試圖把研究里的安全問題,翻譯成企業可以真正部署的產品。這不是一件簡單的事。研究可以證明某種攻擊是可能的,但企業需要的是一套流程:上線前怎么測,上線后怎么防,出了問題怎么追溯,風險怎么記錄,權限怎么控制,合規怎么交代。
也正是在這些客戶身上,Virtue AI 逐漸形成了一套更工程化的判斷:AI 安全不是一個單點功能,而是一套覆蓋開發、測試、部署和運行全過程的基礎設施。
過去兩年,Virtue AI 服務過 Fortune 500 企業,也和國際領先 AI 實驗室合作,開展模型和 Agent 的安全評估。這些客戶來自不同行業,但他們遇到的問題越來越相似。
金融行業最早把 AI 安全當成剛需。銀行、保險、資產管理機構本身受到嚴格監管,又處理大量敏感數據。對他們來說,AI 系統能不能上線,不只是技術問題,也是合規問題、審計問題和責任問題。
大型科技公司和基礎模型公司則更早遇到前沿風險。Prompt Injection、模型濫用、Agent 攻擊、工具調用風險,這些問題不再只是研究論文里的案例,而是產品團隊每天都可能遇到的真實場景。
最近一年,企業軟件、辦公自動化 Copilot、客服系統和代碼生成平臺也開始更快采用 AI。很多公司原本只是想讓 AI 幫員工寫郵件、總結文檔、生成代碼,但很快就發現,只要 AI 開始連接內部系統,安全邊界就會被重新打開。
在不同場景里,安全負責人、產品經理、工程團隊和法務合規團隊的關切并不完全一樣。產品團隊關心上線速度,安全團隊關心風險邊界,法務和合規團隊關心責任和審計,業務團隊則關心 AI 到底能不能提高效率。
Virtue AI 要做的,是把這些不同角色的關切放進同一個系統里。
上線之前,企業需要自動化紅隊。它解決的是最基礎的問題:在 AI 真正進入業務之前,企業到底知不知道它會在哪里出問題。Prompt Injection、越獄、數據泄漏、越權訪問、Agent 濫用,這些問題都應該盡可能在上線前暴露出來。
上線之后,企業需要運行時防護。因為沒有任何測試能夠覆蓋所有真實情況,AI 進入生產環境后,仍然需要實時檢測惡意 Prompt、危險工具調用、異常 Agent 行為和敏感數據泄露。
這也是Virtue AI 的產品之一 VirtueGuard 的位置。它不是只處理文本的簡單 guardrail,而是面向真實企業環境的實時防護系統。企業里的風險不會只出現在一種語言里,也不會只出現在一種輸入形式里。它可能來自 text、image、video、audio、code,也可能來自一個跨語言、跨系統、跨工具的復雜任務。
到了 Agent 階段,問題會更復雜。傳統 Chatbot 主要生成內容,Agent 卻會調用工具、訪問系統、執行動作。因此,安全系統不能只看輸入和輸出,還要看 Tool、MCP、Memory、Action、Network 等環節,判斷每一步是否符合企業安全策略。
VirtueAgent Suite 要解決的,正是這個問題。它更像是 agentic systems 的 agentGuard 和 gateway,既要在 Agent 執行動作前發現風險,也要在 Agent 運行過程中約束它能訪問什么、能調用什么、能執行什么。
最后是治理和合規。大型企業不只關心 AI 會不會出錯,還要回答監管和審計問題:是否符合企業政策,是否符合行業規范,是否留下完整日志,風險管理流程是否可追溯。
所以,Virtue AI 衡量產品效果時,也不會只看一個指標。漏洞發現數量、風險類別覆蓋、攻擊攔截率、誤報率、系統延遲、上線時間縮短,以及是否幫助客戶形成可審計的治理流程,都是重要指標。
02
Meta 想要的,不只是一個工具
回到 Meta 收購 Virtue AI 這件事。從形式上看,這次更接近硅谷常見的團隊收購。Meta 一開始關注的,也不只是某一個單點產品,而是更廣義的 AI 安全能力。
模型安全、Agent 安全、紅隊、治理、運行時保護,這些能力都和 Meta 未來要做的 personalized agents 有關。對 Meta 來說,personalized agents 不只是一個新的 AI 應用形態。它意味著 AI 會更深入地進入用戶生活和工作場景,理解用戶偏好,幫用戶完成任務,也可能在更多系統和工具之間行動。
這也是安全問題最容易被放大的地方。如果一個模型只是回答問題,安全系統可以更多關注內容邊界。但如果一個 Agent 能替用戶執行任務,安全系統就必須知道它在什么上下文里行動、代表誰行動、有沒有權限行動、行動之前是否需要確認、行動之后是否可以追溯。
這和 Virtue AI 過去兩年的經驗高度重合。過去,他們在企業客戶身上證明了一套 AI 安全基礎設施的必要性。進入 Meta 之后,這些經驗有機會被放進更大規模的產品系統里。這也是 Virtue AI 一直以來的目標:making AI secure and trustworthy for everyone。
但做決定并不容易。團隊需要考慮研究自主性,也需要考慮團隊完整性;需要考慮產品延續性,也需要考慮已有客戶的責任;更重要的是,他們要判斷自己進入 Meta 之后,能不能真正影響核心系統,而不是只停留在邊緣位置。
外界也不只有 Meta 一家公司表達過興趣。但最后選擇 Meta,是因為它的產品方向、組織位置和安全需求,與 Virtue AI 過去兩年的積累更匹配。
換句話說,這不是一次簡單的“被大廠買走”。更像是一個研究者和一支創業團隊,在經歷了學術研究、產品驗證和真實客戶之后,走進了下一代 AI 系統的建設現場。
03
當 AI 成為「數字員工」
李博對 Agent 時代有一個很關鍵的判斷:未來 AI 安全最大的挑戰,不只是模型越來越強,而是模型能力增長很快,但安全基礎設施、治理流程和行業標準沒有同步跟上。
強大的模型如果缺少足夠強的安全系統,會放大已有風險。過去,很多人討論 AI 安全時,關注的是模型會不會輸出危險內容、會不會幻覺、會不會被越獄。但 Agent 時代的問題更像企業安全問題。
如果把企業里的 AI Agent 看成一種“數字員工”,那么企業也需要重新設計它的入職、授權、監督和退出機制。那些過去屬于身份管理、權限控制、企業安全和審計的問題,現在都會成為 Agent 安全的一部分。
Prompt Injection 在這個場景下也會變得更危險。在普通聊天中,Prompt Injection 很多時候影響的是模型輸出。但如果 Agent 能調用工具、讀取文件、訪問郵件或執行命令,被注入的指令就可能影響真實動作。一個看似普通的網頁、一封郵件、一段文檔,都可能成為攻擊入口。
更復雜的是多步組合風險。Agent 的每一步單獨看都可能合理:讀取一個文件、調用一個工具、生成一段代碼、修改一個配置。但這些步驟連在一起,可能導致越權訪問、數據泄漏或破壞性操作。
安全系統必須理解的不只是單次輸入輸出,而是整個執行鏈路。這就是為什么 Agent 安全不能只靠一個模型層面的回答。
04
安全不再只是發布前的最后一道門
近幾年行業中的一些事件,也讓這種變化變得更直觀。
模型過度迎合用戶,說明 AI 安全不只是阻止危險內容輸出,也包括防止模型強化用戶的錯誤判斷、負面情緒或沖動行為。這不只是體驗問題,也涉及 alignment、可信 AI 和安全。
AI 搜索摘要給出荒謬答案,說明可信 AI 不只是普通幻覺問題,還涉及信息來源、語境理解、檢索質量和系統設計。如果企業內部知識庫里混入舊文件、錯誤文件或低質量文檔,AI 也可能把這些內容總結成看起來很權威的答案,反而放大組織內部的錯誤信息。
Coding Agent 誤刪生產數據庫,則更直接地說明:當 AI 能執行動作,風險已經從“答錯”升級為“做錯”。隨著 AI coding assistant 被越來越多開發者使用,另一個風險也在變大:AI 生成的代碼可能包含安全弱點,開發者也可能因為過度信任模型而減少審查。
這些事件共同指向一個趨勢:AI 安全不能再只被放在產品發布前的最后一步。過去,安全常常像一道發布流程:模型訓練完,產品做出來,然后評測、紅隊、合規,最后上線。
但 Agent 時代,這種方式已經不夠了。安全必須更早進入產品設計,進入權限系統,進入工具調用,進入運行時監控,也進入治理流程。
這也是李博理解 alignment 和 AI security 的方式。Alignment 關注 AI 系統的目標、價值和行為是否符合人類意圖;AI security 關注系統在真實環境中是否能抵御攻擊、濫用和異常行為。到了 Agent 時代,這兩件事很難分開。
一個系統是否可信,不能只看模型在公開評測里的分數,也不能只看它是否會輸出安全答案。更重要的是,它能訪問什么數據,能調用什么工具,能執行什么動作,是否符合權限,是否留下審計記錄,是否能在運行中被持續監控。
前沿模型的安全測試也因此正在變得更復雜。公開系統卡、agentic safety 測試、computer use 測試、coding capability 測試、cyber evaluations,都會越來越重要。測試不能只問模型幾個普通問題,而要把模型放進有目標、有上下文、有工具使用能力的復雜場景里,看它到底會怎么做。
紅隊機制也需要變化。內部紅隊適合持續嵌入研發流程,在訓練、微調和產品化過程中發現問題;外部紅隊則提供獨立視角,在關鍵發布節點幫助團隊發現盲區。更成熟的方式,是讓安全評估成為模型迭代的一部分,而不是發布前最后一道檢查。
治理同樣如此。AI 安全治理最難的地方,不只是技術變化快,也不只是風險定義不清,而是參與方很多。研究團隊、產品團隊、法務、合規、政策、客戶、監管機構,甚至社會公眾,對“可接受風險”的理解都不一樣。
所以治理不是寫幾條原則就夠了,而是要把原則變成可執行、可衡量、可審計的流程。組織既要快速創新,也要能對風險負責。
05
一個 AI 安全研究者的新位置
從研究者,到創業者,再到 Meta Superintelligence Labs,李博的路徑背后,是 AI 安全位置的變化。
在學術界,她研究的是 AI 系統為什么會不可靠、不安全、不可信。在 Virtue AI,她面對的是客戶每天都會問的現實問題:系統能不能上線,風險能不能看見,權限能不能控制,出了問題能不能審計。
進入 Meta 之后,她和團隊要面對的,是更大規模的產品系統,以及更復雜的 personalized agents 場景。這件事最值得關注的地方,也許不只是李博去了哪里,而是 AI 安全正在從邊緣走向中心。
未來 3 年,AI 安全會從“模型安全”走向“系統安全”和“Agent 安全”。企業不會只在上線前測試一次 AI,而是會在開發、測試、部署、運行全過程中持續紅隊、持續監控、持續治理。
這或許是李博及其團隊加入 Meta 最值得關注的地方。
它不是一個單純的個人去向,也不是一個普通團隊加入大廠的故事,而是一個 AI 安全研究者在經歷學術研究和創業驗證之后,進入下一代 AI 系統建設現場的故事。
當 AI 只是聊天工具,安全可以是最后一道檢查。
但當 AI 開始替人做事,安全就必須成為系統本身。
![]()
![]()
上車,帶你看遍全球 AI 頂會精華
可獨家暢覽:
專家演講PPT
大會報告全文
熱門論文解讀
學術新星訪談
![]()
未經「AI科技評論」授權,嚴禁以任何方式在網頁、論壇、社區進行轉載!
公眾號轉載請先在「AI科技評論」后臺留言取得授權,轉載時需標注來源并插入本公眾號名片。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.