治理到執行防線論文閱讀分析：很多 agent 團隊真正缺的，不是再多一個 guardrail，而是先搞清楚哪個控制該放在哪一層

論文基本資訊

• 論文標題：From Governance Norms to Enforceable Controls: A Layered Translation Method for Runtime Guardrails in Agentic AI
• 作者：Christopher Koch
• 年份：2026
• 來源：arXiv:2604.05229
• 論文連結：https://arxiv.org/abs/2604.05229
• DOI：10.48550/arXiv.2604.05229
• 主題：Agentic AI、Runtime Guardrails、AI Governance、Policy Translation、Assurance、Execution-Time Control

本文由 AI 產生、整理與撰寫。

最近 agent security / AI governance 這條線很容易卡在一個尷尬狀態：高層原則 everyone agrees，真正要落到 agent runtime 時 everyone improvises。

ISO/IEC 42001、NIST AI RMF、各種治理框架都會告訴你要做風險管理、責任分工、監督、可追溯、human oversight；問題是，當系統變成會自己規劃、自己用工具、自己跨多步驟執行、還會對外界產生實際效果的 agentic AI 時，這些治理原則到底該怎麼翻成可執行控制？哪些該在設計期做？哪些該放到 runtime 攔？哪些根本不該假裝能靠 runtime guardrail 解決？

這篇 paper 的價值就在這裡。它不是再丟一套新的花俏 guardrail，而是處理一個更底層、但更常被忽略的問題：

從治理語言走到執行語言，中間其實缺了一層「控制翻譯」工程。

作者的核心主張很克制，但我覺得非常對：治理標準很重要，但它們本身不會自動長成 runtime guardrails；真正需要的是一套分層轉譯方法，把治理目標拆成設計約束、執行期中介、人工升級與保證證據。

這篇論文在解什麼問題？

作者先點出 agentic AI 跟一般單輪生成系統的本質差異：風險不只發生在模型訓練或部署前，也會在執行過程裡才浮出來。原因很簡單，agent 不是只回一句話，而是會：

• 自己規劃多步驟流程
• 呼叫工具、API、外部資料源
• 維持 state、記住中間結果
• 根據新觀察反覆調整策略
• 最後對真實世界產生效果

這代表很多風險根本不是 prompt 送進去那一刻就能看穿，而是要等 agent 真的開始跑，才知道它有沒有越權、走歪、誤用工具、把資料帶錯地方，或在不該自動做決策的地方自己做了決策。

所以這篇 paper 要補的，不是「再定義一次 AI governance」，而是更務實地問：

一條來自治理框架的要求，什麼時候該翻成 architecture constraint，什麼時候該翻成 runtime policy，什麼時候該交給人工升級與 audit loop？

作者提出的不是單一 guardrail，而是四層控制架構

我認為這篇最值得看的地方，是它把控制放置問題講得很清楚。作者把 agentic AI 的控制分成四層：

• Governance Objectives：最上層的治理目標，例如 accountability、oversight、risk tolerance、role separation。
• Design-Time Constraints：在系統設計與部署前就應該被固定下來的約束，例如 tool allowlist、approval boundary、data partitioning、least privilege。
• Runtime Mediation：真的需要在執行當下觀察、判斷、攔截的 guardrails，例如 action gating、policy checks、human escalation、context-sensitive approval。
• Assurance Feedback：把 log、trace、審計結果、事故經驗回灌，確認控制是否有效，以及要不要調整。

這個分法看似平常，其實剛好補到現在很多 agent 團隊最常犯的錯：把所有問題都往 runtime guardrail 身上推。

很多事情其實不該等 agent 跑起來再攔。像是權限分區、資料邊界、角色職責、哪些 action 一律不能自動執行，這些本來就該在 architecture 或 deployment policy 層先定死。反過來，也有些事情只有在執行時才看得見，例如 agent 此刻拿到的上下文、呼叫的工具組合、任務是否開始偏離使用者原意、現在這一步的影響半徑是不是超出可接受範圍。

作者等於是在提醒大家：runtime guardrail 不是垃圾桶，不是什麼治理要求都往裡面丟。

論文的核心武器：control tuple 與 runtime-enforceability rubric

這篇比較像方法論 paper，不是 benchmark paper，所以重點不是數字，而是它怎麼決定控制該放哪裡。作者用了兩個很關鍵的概念：

• Control tuple：把每個控制需求拆成誰負責、控制什麼、在什麼時間點生效、用什麼方式執行、產出什麼 assurance evidence。
• Runtime-enforceability rubric：判斷某個控制是不是適合在 runtime 執行，主要看它是否可觀測、可判定、以及是否時間敏感到值得在 execution-time 介入。

這個判準我很喜歡，因為它非常反直覺地幫大家踩煞車。現在市場上很多 guardrail 敘事都太樂觀，彷彿只要多放一個 model、再加一層 policy engine，就能把高階治理要求全部在 runtime 自動化。但作者指出，並不是每一條治理要求都適合這樣做。

如果一個要求根本不容易在執行時被觀察、沒有明確判準、或者不是非得在當下即時處理，那它更適合被落在：

• 設計期約束
• 流程審批
• 人工升級
• 事後 assurance 與 audit

換句話說，真正成熟的 agent governance，不是把所有原則都做成「實時攔截」，而是承認不同風險需要不同時間尺度的控制。

這篇 paper 真正想矯正的，是「把 runtime guardrail 神化」這件事

如果用一句話總結這篇，我會說它在對整個 agent governance 熱潮潑冷水，而且是有建設性的那種。

過去一段時間，很多討論都很容易往這種方向滑：

• 有治理要求 → 寫個 policy
• 有 policy → 接個 runtime engine
• 有 runtime engine → 事情就算被治理了

這篇 paper 認真告訴你：不是。

有些控制天然就不該被包裝成 runtime guardrail。因為 runtime guardrail 最適合的，是那些：

• 能在當下看到
• 能清楚判斷對錯或是否越界
• 一旦放過就會立刻造成風險擴散

例如：某個 tool call 是否超出授權範圍、某個高風險 action 是否需要 human approval、某份敏感資料是否正被導向不可信目的地。這些很適合 execution-time intervention。

但像是抽象的責任歸屬、整體風險偏好、組織治理成熟度、部門間職責分界，這些比較像是上位治理要求，若硬要全部壓成 runtime check，最後常常只會得到一堆看起來很有控制感、其實沒有可驗證性的 pseudo-guardrails。

採購代理案例為什麼重要？

作者用 procurement agent 當案例，我覺得挑得不錯。因為採購這種任務很能凸顯 agentic AI 的真實難題：它不是純文字生成，而是會碰到金額、授權、供應商、法遵、風險容忍度、人工覆核與審計留痕。

這類場景很適合拿來驗證一個觀點：

真正麻煩的不是 agent 會不會講錯，而是它何時能自己做、何時必須停、何時該升級給人、以及整個過程能不能留下足夠 assurance evidence。

也就是說，agent governance 最後並不是一句「請遵循公司政策」能解決，而是要把政策翻成：

• 可配置的權限與門檻
• 可觸發的升級條件
• 可稽核的記錄格式
• 可驗證的控制分層

這正是這篇 paper 想建立的方法論。

我怎麼看這篇論文？

我會把這篇放進「不炫，但很重要」那一類。它沒有丟出 90% ASR、也沒有秀多代理 fancy architecture，可是它碰的是更本質的工程問題：治理要求要怎麼被翻成能真正落地的控制設計。

它最有價值的地方至少有三個：

• 第一，它把治理和 runtime security 中間那段常被跳過的翻譯層講清楚。
• 第二，它幫團隊避免把所有問題都錯放到 runtime guardrail。
• 第三，它把 assurance feedback 拉回來，提醒大家控制不是設了就算，還要能證明有效。

當然，這篇也有邊界。它比較像控制設計方法，不是大規模實證研究；提出的是架構與判準，不是完整可直接安裝的產品方案。所以如果你期待的是某種拿來即用的 guardrail stack，這篇不會給你。但如果你想釐清哪些問題該在哪一層解，它反而比很多「我們有一個新的 runtime safety layer」更有用。

總結

From Governance Norms to Enforceable Controls 這篇論文最值得記住的，不是它又替 agent governance 增加一份抽象框架，而是它直接點破一件常被忽略的事：

治理原則不會自動變成 guardrail；中間需要一套分層、可判斷、可驗證的控制翻譯方法。

如果最近這一波 agentic AI 討論一直在問「要不要加 runtime guardrails」，那這篇真正補上的問題是：到底哪些東西值得放進 runtime，哪些該在 architecture、workflow、human escalation、audit feedback 就先處理掉？

很多團隊真正缺的，可能不是再多一個 guardrail model，而是先學會把治理要求翻譯成正確層次的控制。這篇 paper 的價值，就在它把這件事講得很明白。