天使轮数千万元融资，这家公司想成为 AI 时代用户的安全执行顾问

01 

内容安全只是 AI 安全的一小部分

Founder Park：简单介绍下缔零科技，具体是做什么业务的？

谭亦朗：我们是一家专注于人类认知安全的企业，过去一直在做各家互联网企业的安全治理工作，包括平台上的有害内容治理、有害用户治理等，这也是我们在创业前做的事情。

AI 来了之后，一方面是 AIGC 会带来很大的风险敞口。过去我们一直是在跟人类对手做对抗，坏人们是手动地跟我们做对抗和交互的。现在我们发现，坏人也可以用 AI 了，大家整体的武装力量都不一样了，我们应该有一种全新的方法来应对它。这是我们看到的第一个变化。

第二个变化是，我们看到了一个更大的命题：我们跟智能体之间的信任关系要怎么构建？它会带来什么样的需求和问题？当时对我们来说，这是非常新奇且有巨大需求的地方。于是，我和另外两位合伙人成立了缔零科技这家公司。

从 2024 年 3 月份到 2025 年前，我们其实都在探索一件事情：怎么去构建一个原生的、能持续生长的认知安全智能体。这个智能体可能跟我们传统理解的 Agent 并不一样，我们希望有一种方式能够帮助人类一直守住它的认知安全。

解释一下什么叫「认知安全」。

认知安全是指，智能体在运行过程中会看到各类信息，这些信息通过音频、视频或者肢体语言等信号传递给我们，我们会对这些信息做出反应，可能是认可、不认可，也可能是恶心、反感。每个人在清醒的时候都有大量的信息涌进来。过去我们把注意力集中在文字、对话或者音视频上，因为我们认为这些媒介所带有的信息密度非常高，而且带有恶意的可能性也更高。

过去我们一直把认知安全简化为所谓的内容安全，但其实并非如此。

在 AI 时代，AI 安全既包括 AI 在运行过程中会不会产生有害信息，或者被恶意利用；同时也包括 AI 智能体在构建、训练过程中有没有被污染，有没有一些不怀好意的后门，或者一些不那么符合人类价值观的信息被糅合在里面。

我们从 AI 诞生初期就关注它的安全。在预训练时，我们会看训练数据是不是干净，有没有做过清洗，有没有包含我们不想看到的信息，例如大量的垃圾广告等，在后面的对齐（alignment）过程中，它有没有很好地对齐到我们所需要的工作环境，也就是跟人类价值观对齐，这都是我们在做 AI 安全时考虑到的问题。

2024 年我们发布的第一款产品是「缔零智数」，这是一款帮助大家做模型对齐的数据集产品。它能帮助模型厂商或者数据中间商，使用这些数据集让 AI 在国内的尺度里，对齐到我国对 AI 安全的一些要求，以及我国人民对 AI 安全的一些基本理解，比如宗教信仰、文化习俗等。

在 2025 年，我们推出了新的产品「缔零法则」。它做的一件很重要的事，实际上是在模型推理层，在模型生成内容或做出响应的时候，确保它的整个动作是在框架之内的。如果说前面我们做的对齐像儒家，给模型一些思想、大的框架和原则；那么我们现在做的「缔零法则」更像法家，把 AI 框在一个非常稳固的框架里运行，使它不能越雷池一步。如果它做出了一些不符合我们要求的反应，响应就会被终止。这就是我们「缔零法则 1.0」的状态。

我们这家企业其实就是围绕「认知安全」，思考如何保障人类的认知安全来构建各种系列产品的。

未来，我们可能会推出面向 C 端的认知安全产品。比如围绕个人用户，我们会帮他打造一道足够坚固的认知安全屏障，来确保一些有害信息不流入。大家可能会觉得这很像一个「信息茧房」，但实际上这个茧房的规则不是由我们或者平台来掌握，而是用户为自己构建的一道认知护栏。我们不希望家里的老人被诈骗、被保健品推销洗脑，被谣言蒙骗；我们也不希望自己的小孩过早地受到涉黄涉暴或自杀自残等不好信息的干扰。用户总有这么一些认知安全的需求。我们认为这种 C 端的人类认知安全需求也应该被重视。我们公司存在的核⼼理念，就是从各个角度去满足这些认知安全的需求。

Founder Park：做安全产品这一块，关于对齐和泛化这方面是怎么处理的？

谭亦朗：分成两个部分。第一个是在模型训练层，当它还没被封装好、还在训练的过程中，我们会做一系列的对齐（alignment）。这部分对齐更像是，我们给它一个非常标准的案例，告诉它这个案例应该如何应答，这其实是给模型一个规范，并通过后续一系列手段使得它在这个规范上做得更好。但实际上，它无论做得多好都是针对单一案例的，既不能穷举，也没办法很好地覆盖所有的认知安全场景。

另外，一个模型在不同的国家有不同的意识形态和价值判断，应该怎么去平衡？模型的对齐，其实人与人之间都没有完全对齐，大家的价值判断和意识形态都不一致，这个问题几乎是无解的。我们只能推出一些针对不同国家的版本，例如我们的客户希望落地泰国，那我们就围绕泰国的意识形态、价值判断和当地的宗教公序良俗来部署一套对齐方案。但如果对方是希望去越南或者老挝，整个事情又不一样了。如果用我们比较重的对齐方案，这是几乎没办法通用的。

但是在推理层，也就是「缔零法则」这个范围里，我们会把用户的 query 作为一个引子，模型的输出实际上也是流式输出的。过程中会把输出切片，例如每 100 个 token 截断一次去做内容检索。但这是比较常见的方案，它不太符合真实的逻辑，因为完整的语义是在对话里边形成的，并不是说那 100 个 token 就能代表整个语义的表达。我们会看非常多的东西，例如一个 response 加下一个 query 的组合，或者一个 query 加 response 的组合等等。我们有非常多的设计方式，主要的目标是找到那些不怀好意、在恶意使用 AI 的人。

我们需要去定位真正的有害目标，单次的或者一两百个 token 的内容，是不足以定位他真正的恶意的。我们会比传统产品看得更多，并且更在意用户本身的意图是不是恶意的。

Founder Park：现阶段你们产品的主要业务，是给客户提供内容审核服务吗？

谭亦朗：是的。过去全国有 10-15 万左右的审核员。审核工作是 24 小时不停运转的，因为内容发布是连续的。这会产生很多问题，例如审核员长期接触的都是负面信息，会对他们造成持续的侵扰，而且他们有比较大的 KPI 压力，一天要处理多少条是有指标的。他们就处于那样一个环境里面，那不是一个人类该做的工作，非常辛苦，是精神意义上的苦力。

这些基本都是人类的黑暗面。他们把黑暗面拦住了，是一帮非常伟大的人。但是这样的工作其实不太适合长期存在。第一，岗位本身的不固定性，以及对审核员心理健康的伤害。第二，这样的工作成本对于企业来说非常非常高，企业无时无刻不想把这个成本降掉。这十几万人的岗位实际上并不是牢固的、能长期从事的岗位。

这就陷入一个困境：企业不断地给员工加码，KPI 越来越严格，班次越来越长；而岗位上的审核员们也面临着压力，他真的没有办法再提速了，人类是有极限的。并且他们不断持续接受负面信息，又一直没有得到企业的正向激励，所以就变得非常压抑。很多研究和报道，都已经证实了这一点。他们长期暴露在这些极端、暴力、色情内容下，其实无异于在有毒有害环境中工作，只是后者是物质的，而前者是精神的。

对于企业而言，审核员就是零件，换个更便宜的零件，没有任何犹豫。

我们的产品比较直接，不去做什么降低人审率之类的事情，我们希望直接把内容审核这件事交给 AI 去处理。它的标准尺度以及计算的精度，都可以在机器层面来提升。

当然更深的一个方向是 UGC 层次。一个大的 UGC 平台，一秒钟产生的内容绝对不会超过 50 条，全球只有极少数的平台 QPS（每秒产生的内容数）能到五六十。但是在 AI UGC 平台，QPS 能非常轻松地超过数千，也就是说内容产生的速度以千倍增长。原本那套治理体系，虽然是个漏斗体系，最后 1%、2% 需要审核员来审，但是底层量级已经上涨了 1000 倍。有多少人可以这么去做这个事情？原本已经有十几万人了。所以，我们希望无论是从经济逻辑上，还是从人道主义逻辑上，都把这个职业给解放出来，这是我们想做的事情。

Founder Park：对于这些企业来说，真正能打动他们落地的点到底是什么？

谭亦朗：其实对于企业而言，唯一考虑的就是精度和成本。只要产品的精度一致或者更高，成本只要能往下压，他们会毫不犹豫地选择一个更便宜的做法。

Founder Park：不同的企业或者垂直行业，比如说小红书和 B 站的内容审核，在内容尺度和领域上会有一些不一样。在落地的时候，你们会用企业过往提供的一些数据或者知识图谱来进行快速适配吗？适配的工作量大吗？

谭亦朗：我们采用了一些全新的架构和解法，跟过去的整套方案都完全不同，不太依赖过去累积的东西。其实我们做的事情也非常简单，我们模拟了人的思路。人类如何去认识这些不怀好意的对手？人类如何去看待一个全新的文化符号，比如一个新的梗、一段话，或者某个带有另外含义的新内容？人类如何认识它，我们的模型就如何认识它。

这种接入过程需要时间磨合，但磨合的时间和人类相比会更短。因为人类审核员入职一个企业的时候，也需要培训和磨合，需要一两个月的时间。我们其实只是缩减了这个磨合的时间，但对于我们来说并不会很重。我们采用了一个新的架构，这个架构允许模型在过程中学习。只要有一个比较好的试跑环境，可能试跑一段时间之后它自己就适配好了，并不需要我们过多的关注和调试。

我们会依赖客户返回的质检结果。客户会抽样，例如我们交付了 100 条，他可能抽样 5 条，我们根据返回的 5 条的结果来调整我们的尺度。我们在实际运行过程中也确实是会跟人类去比较结果的，几乎就是跟人类平齐地去比较。当然，甲方有一个非常重要的指标，就是希望我们的精度和他们现在的精度至少对齐或者是更高，所以他们会用这种并行的方式来考验我们的结果。

Founder Park：ToC 产品的想象力空间会更大，在你们的规划里这款产品的定位是？

谭亦朗：我们希望把它打造成一个我们可以完全信任的助手，这个助手来帮助我们判断什么东西可信，什么东西不可信。我们希望它是这样的一个智能。

当然它可能会有更深一层的用途。未来我们都能想象，大家都会有一个非常亲密的 Master Agent（主智能体）。他可能在手机上推理，可能在 PC 上推理，或者在智能眼镜等设备上推理。你总会有一个 Master Agent 帮助你去连接其他 Agent。我们更希望我们的这个智能，无论它是在原生的生态系统里，还是在另外部署的一个助理里，它能帮助人类和 Master Agent 之间构建信任。我能够完全相信那个帮我处理事务的 Master Agent，原因就是有我们的产品在帮助判断 Master Agent 的操作是不是合理。它更像一个安全顾问，在不断地告诉你这件事这么做有什么样的风险，能不能行。

Founder Park：我理解了，它的角色大概是一个法务或者安全顾问。但是在产品形态上会有什么想象吗？

谭亦朗：有点像 iPhone 相册里会有一个屏蔽色情内容的按钮，这个功能其实非常像我们产品的一个构思。我们会更多地嵌入在生态系统里边，所以更多的合作厂商可能会是小米、华为、联想这样拥有完整硬件生态链的企业。

现在在早期验证产品形态时，可能会以插件或者后台运行的 APP 方式来呈现。我们主要还是在视觉层，把对于个人用户定义出来的有害内容给拦截掉。

我们可能会更偏向于让它的感知尽量弱化。它可能不是一个需要非常强用户感知的产品形态。它应该有点像在国内，你晚上在街道上面走，虽然没看见警察，但是你会有一个安全感。我们希望是更像是这样的一个东西，你可能不是那么强感知，但是你的安全感供给来自于这里。

我们并不希望客户每天都盯着它，但是至少它有危险的时候会跑出来提醒。当然，客户主动问起的时候，他觉得不对劲的时候，也可以主动询问。

Founder Park：如果真的有 Master Agent，大模型厂商本身可能也会涉足这块业务，你们和他们的关系会是什么样的？是补强吗？

谭亦朗：大模型厂商在 Master Agent 这个方向上会有什么样的产品推出，我们可能还没看到。但是我们跟大模型厂商过去的关系一直都是，我们作为安全方向的专家，给他们提供安全方面的能力补齐。我相信在未来我们跟他们的合作也会以类似的形态一直走下去。

因为对于他们来说，这并不是主业。就像互联网时代，无论是移动互联网还是 PC 互联网，每个企业也有安全部门、内容安全审核，但其实大家都把它看成一个必须要做，但做好了又不会对 DAU 有任何增长、不会对上市路径有帮助的成本部门。我相信未来，安全对于大模型厂商或其他 AI 应用企业也是同理。

我们在 B 端的合作，更像一个安全专家，我帮你尽可能节省成本的情况下，把安全做好。这同样也是他们不想花大精力去做的事情，因为它不是主线，尽可能便宜就好。

对于 C 端用户来说，我们希望提供一个可靠的后盾，这个后盾能够帮助他守住他的认知安全或者数据隐私安全，使得他能够相信对接进来的 Agent，无论是 Master Agent 还是其他的 agent，能让这些 Agent 帮用户订外卖，帮忙打车。过去可能是系统在做这件事，那未来可能更多的是安全助手去做这个事情。

Founder Park：ToC 出海的话，可能要根据不同国家，甚至像美国不同的州都会有一些小的政策差异，这种适配难度大吗？

谭亦朗：是这样的，我们 C 端认知安全的模型是单独训练的，它里边不带尺度的，不带任何偏见。所谓的意识形态或者价值判断本身也是一种偏见，我们这个模型不带任何偏见。

因为它主要的要求是满足 C 端用户自己定义的一套规则，是让用户自己去定义自己的认知安全规则，辅助自己来控制好外部信息的输入。它其实有点像自己设立的一个安全保镖，我告诉这个保镖，谁来了得拦住，什么东西可以让他过。

这样的话，我们只要处理好数据隐私安全就行。因为用户交给保镖的信息，必须要在本地处理完。只要把这个完整的数据链处理好，应该能符合绝大多数地方的数据安全要求。所以我们会尽可能把风险压制得更小一点。

至于出海地区，我们可能会挑选一些地区来优先去做，例如优先考虑中东和东南亚。

Founder Park：对于你们来说，一个是明确的 ToB 业务，还有一个是未来的 ToC 业务，会怎么分配在这两块业务上的比重？

谭亦朗：我觉得在现阶段可能会是 7:3 开。付费意愿更强的还是 B 端，他们有非常现实的需求，有非常直接的监管压力，并且本身已经有相关支出，所以现在的付费意愿是最强的。作为企业生存的节奏来看，现在肯定是 B 端优先。

对于 C 端，我们其实在培养早期用户的体感，看他们的需求具体是什么样的形态可以接受，并且他们真正能更好接入的形式是什么。包括刚才提到的 Master Agent 和更好的智能硬件，其实都还没有完全定义下来，所以我们其实也在 C 端等待和寻找机会。

我们早期的营收可能都会来自 B 端，C 端这条路线我们绝对不会放弃，并且它是我们非常重要的一个方向。因为我们这个企业的核心愿景，就是想去构建围绕人类认知安全需求的、持续生长的认知安全智能。这需要以群众基础为第一目标。未来可能会反过来，C 端变成 7，B 端变成 3，我们也期待看到那个转变。

Founder Park：我担心的是，B 端的很多业务，因为每家公司的内容策略都不太一样，最后会不会变成你们接一个客户就需要给这个客户做一套定制的配置和策略，从而在交付上变成一个很重的业务？

谭亦朗：这是我们的「缔零法则 2.0」正在解决的问题，预计会在春季推出。它的整套方案会把我们现在接入部分的适配和智能生长也自动化掉。我们过去只是把审核的动作自动化了，那我们会在 2.0，把适配、调整或者监督管理的动作也 80-90% 地自动化掉。剩下的部分，我们可能更多是跟客户交互，让客户来做质检，提供正确答案的反馈。

也就是说，我们的适配成本也会在我们第二代产品发布的时候急速下降。它既是我们第一代产品的内部提效，也是第二代产品的组成部分。这是我们目前正在解决的一个非常核心的问题。如果不断地做定制，整个企业的 ROI 都会非常差，而且会沦为一个定制公司，我们并不想这样。所以在构思 2.0 的时候，第一个解决的就是这个问题。

Founder Park：会不会有点类似于，你们在 ToB 端做了一个安全的 Agent，用户在策略搭配的时候就已经介入，并且很大程度上借助 AI 的能力实现自主化配置，而不需要像以前一样由人来单独对接和配置？

谭亦朗：是的。我们现在训练的一些新模型，都是围绕这个部分，相当于我们过去运营和策略部分的专用模型。这些模型客户可能看不见，但是当他说出需求的时候，我们把需求转化为我们内部的治理架构，这个部分就是这些模型在起作用。后面的治理架构是自构建的，并且能够自我验证。验证效果之后，会在上线时让客户去确认一下。这样，我们后台的运行部分，也就是过去运营和安全策略做的事情，基本上都自动化掉了。

Founder Park：很多安全内容的处理需要根据用户的聊天内容来进行判断，你们现阶段是如何处理超长上下文信息的？

谭亦朗：其实现在大模型的上下文已经比人类要好很多了，实际上要做的事情是如何构建起「上下文工程」或者「记忆工程」。如果我们能把记忆工程做好的话，就不用依赖模型的单次上下文长度，而是用更好的记忆工程来把过去关键的一些信号记录下来，把这些信号攒到一起来做推理。

它有点像人类去做推演，我们在纸上画下来、写下来一些特殊的标记，然后对着白板上或者纸上的标记来做一次综合的判断。其实是一个辅助记忆的过程，我们的记忆工程其实也是类似的设置。

Founder Park：现阶段模型的搭配，会是端侧小模型和云端大模型配合吗？

谭亦朗：我们设计的 C 端认知安全产品里，是端侧和云端同时推理的，分层推理。并且为了保障用户的完全隐私安全，所有的隐私数据都会在本地手机或 PC 去推理，然后一些抽象过的、复杂的信号处理会放到云端。

这更像是什么呢？更像是云端在不断地增强端侧的智能。每一次云端的调用都在增强端侧的智能，不像是联合来处理一个事情，而更像是你端侧智能遇到困难的时候，这一次基于脱敏信息帮你增强。下次再遇到类似情况就不用再调用云端了，你自己就可以处理。有点像一个大智能跟一个小智能的关系。

因为我们做 C 端应用，隐私安全非常重要，而且我们的产品要出海。海外各个国家的隐私安全保护条例其实都会不一样，我们尽可能把它做得更完备一点，这样就不会出其他风险。