摘要
用安全的模型去守护不安全的模型,用智能的系统去抵御来自智能的攻击。
极客在创业,小白在买课,画师在失业,但一个尴尬的现实却是:AI 落地热火朝天,但剧情走的不是降临路线,而是掷骰子。
而且,在行业初期,这个骰子最先落地的面,往往不是黄色就是灰色。
原因也很简单,暴利催生动力,更何况发展初期的行业,总是漏洞百出。看这么一组数据就清楚了:
当前,超过 43% 的 MCP 服务节点存在未经验证的 Shell 调用路径,超过 83% 的部署存在 MCP(Model Context Protocol)配置漏洞;88% 的 AI 组件部署根本没启用任何形式的防护机制;15 万个 Ollama 等轻量 AI 部署框架当前在全球公网暴露,超过 10 亿美元的算力被劫持用于挖矿……
更讽刺的是,攻击最聪明的大模型,只需要最低级的手法——只要一套默认开放的端口,一个暴露的 YAML 配置文件,或者一个未经验证的 Shell 调用路径,甚至,只要提示词输入的够精准,大模型自己就能帮灰产找到攻击的方向。企业数据隐私的大门,就这么在 AI 时代被任意进出。
但问题并非无解:AI 不止有生成与攻击两面。如何把 AI 用于防护,也越来越多的成为这个时代主旋律;与此同时,在云上,为 AI 制定规则,也成为头部云厂商的重点摸索方向,而阿里云安全就是其中最典型的代表。
刚刚落幕的阿里云飞天发布时刻上,阿里云正式官宣了其云安全的两条路径:Security for AI 和 AI for Security,并发布了「AI 云 盾(Cloud Shield for AI)系列产品」为客户提供「模型应用端到端的安全解决方案」,正是当下行业探索的一个最佳例证。
01
AI 掷骰子,为什么总是灰色与黄色先朝上?
在人类的技术史上,AI 并不是第一个「先被黄暴试水」的新物种,灰黄先爆发,也是技术普及的规律而非意外。
1839 年银板照相术一出,第一波用户是色情行业;
互联网初期,电商没起步,成人网站已经开始琢磨在线支付;
今天的大模型羊毛党,某种程度上,也是在复刻「域名时代」的暴富神话。
时代的红利,总是先被灰色与黄色先摸走。因为他们不讲合规、不等监管、效率自然超高。
也因此,每一个技术的爆发期,都先是一锅「浑汤」,AI 自然不例外。
2023 年 12 月,一位黑客只用了一句提示词——「$1 报价」,就诱导一家 4S 店的客服机器人差点以 1 美元卖出一台雪佛兰。这就是 AI 时代最常见的「提示词攻击」(prompt Injection):不需要权限验证,不留日志痕迹,只靠「说得巧」,就能换掉整个逻辑链。
再深一步,是「越狱攻击」(Jailbreak)。攻击者用反问句、角色扮演、绕路提示等方式,成功让模型说出原本不该说的东西:色情内容、毒品制造、伪警告信息……
在香港,有人甚至靠伪造高管语音,从企业账户里卷走了 2 亿港元。
除了骗局,AI 还有「非故意输出」的风险:2023 年,某教育巨头的大模型系统在生成教案时误输出带有极端内容的「毒教材」,仅 3 天,家长维权、舆情爆发,公司股价蒸发 120 亿元。
AI 不懂法律,但它有能力,而能力一旦脱离监督,就具备伤害性。
但另一个角度来看,AI 的技术是新的,但灰产与黄色的最终流向与手段却是不变的,而要解决它,靠的还是安全。
02
Security for AI
先说一个被 AI 行业集体回避的冷知识:
大模型的本质,不是「智能」,也不是「理解」,而是概率控制下的语义生成。也是因此,一旦超出训练语境,就可能输出意料之外的结果。
这种超纲可能是,你想要它写新闻,它给你写诗;也可能是你想让它推荐商品,它突然告诉你今天东京的温度是零上 25 摄氏度。更有甚者,你告诉它在游戏里,如果拿不到某某软件的正版序列号,它就会被枪毙,大模型就真的可以想尽办法帮用户 0 成本找到一个正版软件序列号。
而要想保证输出可控,企业就得又懂模型,又懂安全。根据 IDC 最新《中国安全大模型能力测评报告》,阿里在与国内所有具备安全大模型能力的头部厂商 PK 中,在 7 项指标中有 4 项为第一,其余 3 项也全部高于行业均值。
做法上,阿里云安全给出的答案也很直接:让安全跑在 AI 速度前面,构建一套自下而上、横跨三层的全栈防护框架——从基础设施安全,到大模型输入输出控制,再到 AI 应用服务保护。
在这三层里,最有存在感的,是中间层专门针对大模型风险的「AI 安全护栏」(AI Guardrail)。
通常来说,针对大模型安全的风险主要有:内容违规、敏感数据泄露、提示词注入攻击、模型幻觉、越狱攻击这几类。
然而,传统的安全方案多为通用型架构,是为 Web 设计的,而不是为「会说话的程序」准备的,自然也无法对大模型应用特有风险产生精准识别与响应能力。对生成内容安全、上下文攻击防御、模型输出可信性等新兴问题更是难以覆盖。更重要的是,传统方案,缺乏细粒度的可控手段与可视化追溯机制,这就导致企业在 AI 治理中产生了巨大盲区,不知道问题出在哪里,自然无法解决问题。
AI Guardrail 真正的厉害之处,不只是「它能拦住」,而是无论你是做预训练大模型、AI 服务还是 AI Agent 各种不同的业务形态,它都知道你在说什么、大模型在生成什么,从而提供精准的风险检测与主动防御能力,做到合规、安全、稳定。
具体来说,AI Guardrail 具体负责三类场景的防护:
ꔷ 合规底线:对生成式 AI 输入输出的文本内容进行多维度合规审查,覆盖涉政敏感、色情低俗、偏见歧视、不良价值观等风险类别,深度检测 AI 交互过程中可能泄露的隐私数据与敏感信息,支持涉及个人隐私、企业隐私等敏感内容的识别,并提供数字水印标识,确保 AI 生成内容符合法律法规与平台规范;
ꔷ 威胁防御:针对提示词攻击、恶意文件上传、恶意 URL 链接等外部攻击行为,可实现实时检测并拦截,规避 AI 应用的最终用户的风险;
ꔷ 模型健康:关注 AI 模型本身的稳定性和可靠性,针对模型越狱、prompt 爬虫等问题建立了一整套检测机制,防止模型被滥用、误用或者产生不可控的输出,构建 AI 系统的「免疫防线」;
最值得一提的是 AI Guardrail 并非把以上多个检测模块简单堆在一起,而是做到了真正的 ALL IN ONE API,不拆分模块,不加钱,不换产品。对于模型输入输出风险,客户不需要再去买额外的产品;对于不同的模型风险:注入风险、恶意文件、内容合规、幻觉等问题,都能在同一个产品里解决。一个接口包揽 10+类攻击场景检测,支持 4 种部署方式(API 代理、平台集成、网关接入、WAF 挂载),毫秒级响应、千级并发处理,精准率高达 99%。
也是因此,AI Guardrail 的真正意义,在于把「模型安全」变成了「产品能力」,让一个接口,顶一支安全团队。
当然,大模型不是悬在空中的概念,它是跑在硬件和代码上的系统,并承接上层的应用。而针对基础设施安全、AI 应用服务保护,阿里云安全,也全都做了升级。
基础设施层,阿里云安全推出了云安全中心,核心是 AI-BOM、AI-SPM 等产品。
具体来说,AI-BOM(AI 物料清单)和 AI-SPM(AI 安全态势管理)两大能力,分别解决「我装了什么 AI 组件」和「这些组件有多少洞」这两个问题。
AI-BOM 的核心,是把部署环境中的 AI 组件一网打尽:让 Ray、Ollama、Mlflow、Jupyter、TorchServe 等超 30 类主流组件,形成一张「AI 软件物料清单」,自动识别其中存在的安全弱点与依赖漏洞。发现问题资产,不再靠人肉排查,而是通过云原生扫描。
AI-SPM 的定位则更像是「雷达」:从漏洞、端口暴露、凭据泄漏、明文配置、越权访问等多个维度持续评估系统安全态势,动态给出风险等级与修复建议。它让安全从「快照式合规」,变成「流媒体式治理」。
一句话总结:AI-BOM 知道你在哪里可能打过补丁,AI-SPM 知道你还在哪些地方会再中一拳,尽快加紧防范。
针对 AI 应用保护层,阿里云安全的核心产品是 WAAP(Web Application API Protection)。
模型输出再聪明,如果入口全是脚本请求、伪造 Token、滥刷接口,那也撑不了几秒。阿里 WAAP(Web Application API Protection)就是为此而生。它对 AI 应用不是按「传统 Web 系统」处理,而是提供专门的 AI 组件漏洞规则、AI 业务指纹库与流量画像系统。
比如:WAAP 已覆盖 Mlflow 的任意文件上传、Ray 服务远程命令执行等 50+组件漏洞;内置的 AI 爬虫指纹库,可以识别每小时新增万级以上语料刷子与模型测评工具;API 资产识别功能,可以自动发现企业内部哪一套系统暴露了 GPT 接口,给安全团队「打点地图」。
最重要的是,WAAP 与 AI Guardrail 并不冲突,反而互补:一个看「是谁来了」,一个看「说了什么」。一个像「身份验证器」,一个像「言行审查员」。这让 AI 应用具备了一种「自我免疫」能力——通过识别、隔离、追踪、反制,不止「拦住坏人」,更能「别让模型自己变坏」。
03
AI for Security
既然 AI 落地是掷骰子,有人拿它算命、有人让它写情诗、有人用它做灰产,那也就不奇怪,有人会用它来搞安全。
过去,安全运营需要一群人每天看着一堆红灯绿灯的告警日夜巡逻,白天接手昨天的烂摊子,晚上陪着系统值夜班。
现在,这些都可以交给 AI 完成。2024 年,阿里云安全体系全面接入通义大模型,推出覆盖数据安全、内容安全、业务安全、安全运营的 AI 能力集群,并提出一个新口号:Protect at AI Speed。
意思很明确:业务跑得快,风险更快,但安全还要更快一步。
而用 AI 搞定安全,其实就是两件事:安全运营效率提升+安全产品智能化升级。
传统安全系统的最大痛点是「策略更新滞后」:攻击者变了,规则没变;告警来了,没人理解。
大模型带来改变的关键,在于把安全系统从规则驱动转向模型驱动,以「AI 理解能力 + 用户反馈」构建起一个闭环生态——AI 理解用户行为 → 用户反馈告警结果 → 模型持续训练 → 检测能力越来越准 → 周期越来越短 → 风险越来越难藏,这就是所谓的「数据飞轮」:
其优势有二:
一方面是云上租户安全运营提效:过去,威胁检测往往意味着「海量告警+人工筛查」的低效模式。如今,通过智能建模精准识别恶意流量、主机入侵、后门脚本等异常行为,告警命中率大幅提升。同时,围绕处置环节,系统实现了自动化处置与极速响应的深度协同——主机纯净度稳定保持在 99%,流量纯净度更是逼近 99.9%。此外,AI 还会深度参与告警归因、事件分类、流程建议等任务,目前,告警事件类型覆盖率已达到 99%,而大模型的用户覆盖率也超过 88%,安全运营团队的人效得到前所未有的释放。
另一方面是云安全产品能力快速提升。在数据安全层与业务安全层,AI 被赋予了「守门人」职责:基于大模型能力,可在云上自动识别 800+类实体数据并智能化脱敏与加密处理。不止于结构化数据,系统还内置 30 多种文档与图像识别模型,能够对图片中的身份证号、合同要素等敏感信息进行实时识别、分类与加密。整体数据打标效率提升 5 倍,识别准确率达到 95%,极大降低了隐私数据泄漏的风险。
举个例子:在内容安全场景下,传统做法是靠人审核、打标签、大规模标注训练。现在,通过 prompt 工程与语义增强,阿里实现了标注效率提升 100%、模糊表达识别提升 73%、图像内容识别提升 88%、AI 活体人脸攻击检测准确率 99% 的真实收益。
如果说飞轮主打 AI 结合人类经验的自主防控,那么智能助手就是安全人员的全能助理。
安全运营人员每天面对最多的问题是:这个告警什么意思?为什么会触发?是不是误报?我要怎么处理?换作过去,查这些问题要翻日志、查历史、问老员工、打工单、排技术支持……现在,只要一句话。
不过,智能助手的功能定位不只是问答机器人,更像是安全领域的垂直 Copilot,其五大核心能力包括:
产品答疑助手:自动回答如何配置某个功能、为什么会触发这个策略、哪些资源未开启防护,替代大量工单服务;
告警解释专家:输入告警编号,自动输出事件解释、攻击链溯源、建议响应策略,并支持多语言输出;
安全事件复盘助手:自动梳理一次入侵事件的完整链条,生成时间轴、攻击路径图与责任判定建议;
报告生成器:一键生成月度/季度/应急安全报告,涵盖事件统计、处置反馈、运营成效,支持可视化导出;
全语言支持:已覆盖中文、英文,国际版本 6 月上线,支持自动适配海外团队使用习惯。
别小看这「五件小事」,截止目前,阿里官方数据表明:已服务用户数超 4 万个,用户满意度 99.81%,覆盖告警类型达 100%,prompt 支持能力提升 1175%(同比 FY24)。简单说,它把值夜班的绩效满分同事、写报告的实习生、处理告警的工程师、懂业务的安全顾问,全部打包成一个 API,而借助这个能力,人类只做决策,不再巡逻。
04
尾声
回顾过去,历史从来不缺「划时代的技术」,缺的是撑得过第二年热潮的技术。
互联网、P2P、区块链、无人驾驶……每一波技术爆发时,都曾被称作「新基建」,但最终留下成为真正基础设施,只有少数能穿越「治理真空」的。
如今的生成式 AI 正处在类似阶段:一边是模型百花齐放、资本趋之若鹜、应用层层突破;一边是提示词注入、内容越权、数据外泄、模型操控,漏洞密布、边界模糊、责任失焦。
但 AI 又跟以往的技术不一样。它不仅能画图、写诗、编程、翻译,还能模仿人类语言、判断乃至情绪。但也正因如此,AI 的脆弱,不止源于代码漏洞,而是人性的映射。人类有偏见,它也会学会;人类贪图便利,它也会替你投机取巧。
技术自身的便捷性,则是这种映射的放大器:过去的 IT 系统还要讲「用户授权」、攻击靠渗透;现在的大模型只需要提示词注入,跟你聊聊天就能带来系统失误、隐私泄露。
当然,不存在「完美无瑕」的 AI 系统,那是科幻,不是工程。
唯一的答案,是用安全的模型,去守护不安全的模型;用智能的系统,去对抗智能的威胁——用 AI 掷骰子,阿里选择安全朝上。
了解更多产品技术升级,关注 # 阿里云飞天发布时刻
0 条