![]()
![]()
鄭 興
文 | 騰訊朱雀實驗室負責人 鄭興;北京大學 王濱 劉澤心;騰訊朱雀實驗室安全專家 伍惠宇;清華大學教授 江勇*
當前,我國人工智能產業已然步入規模化發展的全新階段。中國政府網公開數據顯示,截至2025年7月,國內人工智能大模型的數量已經突破1500個,廣泛地覆蓋了政務、金融、醫療等諸多關鍵領域;2025年8月,國務院印發的《關于深入實施“人工智能+”行動的意見》將“人工智能+安全”列為重點任務,在推動技術創新與產業融合之際,要構建起堅實的安全防護屏障。人工智能的安全保障范疇已不再局限于算法模型自身,而是延伸到了支撐其運行的全鏈條基礎設施供應鏈——從底層的硬件芯片、算力框架,到中間層的數據服務、工具組件,再到上層的應用集成,供應鏈各個環節的安全漏洞都有可能引發系統性風險,甚至對關鍵信息基礎設施安全與公共利益構成威脅。然而,目前人工智能供應鏈安全防護問題依然嚴峻,全球人工智能基礎設施供應鏈呈現出“全球化采購+本地化部署”的復雜格局,現有的安全檢測工具大多缺少對“硬件層—軟件層—服務層”全鏈條的覆蓋能力。對此,研發針對人工智能基礎設施供應鏈的一體化安全檢測體系,成為破解“重發展、輕防護”困境的關鍵。
一、人工智能供應鏈存在的安全風險
人工智能基礎設施構建包含硬件基礎、軟件棧支撐以及運行服務集成等多個維度,其供應鏈安全問題貫穿于“硬件層—軟件層—服務層”全鏈條,此類架構在提高產業效率的同時,也讓供應鏈安全風險呈現出“單點突破”與“全鏈傳導”的特點。
(一)硬件層:核心組件的后門威脅與物理級漏洞
硬件作為人工智能系統的物理承載,其安全性直接構成整個供應鏈信任體系的基石。以圖形處理器芯片、存儲芯片以及邊緣推理處理器等為代表的關鍵硬件器件,在產業組織格局上呈現出設計高度集中、制造跨國分散的特征。加之系統性審計難度較大,硬件本身具有一定的黑箱屬性,致使后門植入與物理級漏洞成為人工智能供應鏈安全的核心風險所在。
一是后門威脅與地緣政治風險。硬件后門一般表現為芯片設計階段植入的隱蔽控制邏輯或制造環節添加的惡意固件,可依靠遠程指令觸發機制,實現數據竊取或功能破壞。2025年7月,國家互聯網信息辦公室約談多個國外廠商,要求其就人工智能算力芯片中存在的潛在安全風險作出說明并限期整改。該事件凸顯了在國際博弈背景下,硬件信任問題的嚴峻性。此類后門檢測難度極大,例如,芯片核心模塊封裝于片上系統(SoC)內部,關鍵驅動與固件均為閉源。一旦后門被激活,攻擊者不僅可竊取敏感的模型參數、篡改訓練數據與結果,甚至可能遠程操控大規模算力集群,對國家關鍵信息基礎設施構成“釜底抽薪”式的系統性安全威脅。
二是物理級漏洞與算力失控。除了蓄意后門外,硬件設計缺陷導致的物理級漏洞可能引發算力資源的“不可控使用”風險——算力設施雖然在物理上由組織擁有和部署,但由于底層硬件漏洞的存在,其計算結果的準確性、可信度以及資源調度的自主性實際上已不受組織完全控制,導致“有其形而失其實”的失控狀態。2025年7月,多倫多大學的研究團隊首次披露圖形處理器(GPU)上可實證的RowHammer變體——“GPUHammer”漏洞,其技術原理是依靠反復高速訪問GPU顯存某一行,引發鄰近行的電干擾,導致數據位翻轉,篡改人工智能模型權重。這類物理級攻擊導致的“算力失控”主要體現在兩個層面:首先,計算結果失控,漏洞攻擊驗證表明,僅需一次比特翻轉,就能將圖像分類模型(ImageNet)的準確率從80%大幅降至0.1%;其次,資源隔離失控,在云端共享GPU平臺中,攻擊者可利用該漏洞實施跨租戶攻擊,僅憑借顯存干擾就能操控鄰近任務的推理結果,組織無法確保其購買和使用的算力單元處于安全隔離狀態。這將對自動駕駛、金融風控等高精度要求場景造成致命影響。
三是供應鏈全球化存在風險。在中國人工智能基礎設施的范疇內,全球化所帶來的供應鏈風險主要呈現為對高端芯片、關鍵硬件以及上游原材料的高度依賴,若因地緣政治沖突、出口管制或者國際制裁致使這些關鍵環節出現中斷情況,則可能導致人工智能算力平臺、數據中心部署等基礎設施無法依照計劃向前推進。同時,全球供應鏈多點故障(如運輸瓶頸、原料稀缺等狀況)同樣會引發系統性風險,對整體的安全與穩定性產生影響。
(二)軟件層:開源生態依賴下的漏洞傳導與供應鏈污染
開源框架已然成為人工智能軟件生態的核心支柱,構建起了一套“訓練框架—中間件—依賴庫”緊密相連、協同發展的復雜技術體系,常見人工智能應用所使用的開源組件大多未曾經歷全面的安全審計,導致軟件層成為漏洞傳導的主要承載主體。
一是核心框架漏洞與大規模攻擊方面。人工智能算力以及分布式計算框架乃是軟件層的“中樞神經”,其存在的漏洞有可能引發一系列廣泛的連鎖反應,例如,開源分布式計算框架(Ray)所公開的漏洞CVE-2023-48022長期處于存在爭議且未完全修復的狀態。安全研究人員報告了針對大量分布式計算節點的主動利用與攻擊行為,這類漏洞可致使遠程代碼得以執行、集群調度被篡改以及敏感憑證泄露,對依賴分布式訓練與推理的企業造成嚴重的影響。
二是應用框架代碼執行風險方面。面向開發者的人工智能應用框架由于功能繁雜、接口開放,成為漏洞高發區域。以LangChain為例,其組件LLMMathChain曾經因為缺少對“```python”標記后代碼的過濾,直接交由PythonREPL執行,結果導致攻擊者可借助提示詞工程誘導模型輸出惡意代碼,實現服務器文件讀取以及命令執行。類似的風險在LlamaIndex、pandas-ai等同類框架中普遍存在,根源在于設計沒有遵循“最小權限原則”,將用戶輸入與代碼執行邏輯直接關聯在一起,并且缺少輸入驗證與沙箱隔離機制。
三是依賴鏈污染與供應鏈級風險方面。人工智能軟件的“多層依賴”特性致使漏洞可借助依賴鏈級聯傳導,形成“供應鏈污染”。更為隱蔽的攻擊方式是“惡意依賴替換”,例如,偽造容器化服務(Docker)鏡像或者借助注冊表代理篡改鏡像層摘要,植入惡意組件,在GPU推理過程中竊取張量數據,企業對于開源組件管理存在的缺陷放大了風險:多數人工智能企業沒有建立開源組件全生命周期管理機制,存在“版本混用”“依賴未鎖定”“鏡像緩存滯后”等問題,導致攻擊者可依靠不同漏洞實施組合攻擊。
(三)服務層:集成鏈路脆弱性與運行態攻擊
服務層作為人工智能系統與用戶以及外部系統進行交互的關鍵“窗口”,其中包含了模型服務化、應用程序編程接口(API)調用以及第三方數據對接等多個環節,由于該層級接口處于開放狀態且數據流較為復雜,成為攻擊者重點關注的目標,風險呈現出“多樣化、場景化”的特征。
一是惡意軟件與模型資產竊取。針對運行態人工智能系統的惡意攻擊正逐漸朝著專業化、系統化方向發展,形成“滲透—竊取—變現”的完整攻擊鏈。與傳統惡意軟件主要竊取通用數據或計算資源不同,針對人工智能基礎設施的新型惡意軟件將模型權重、訓練數據等核心知識產權作為主要攻擊目標。以近期披露的ShadowInit惡意軟件為例,其攻擊鏈條包括三個關鍵環節。首先,初始滲透階段,攻擊者利用人工智能開發環境的安全薄弱點獲取訪問權限。ShadowInit通過濫用廣泛共享但未固定版本的交互式訓練文檔(Jupyter Notebook)植入惡意依賴,或者偽造容器鏡像注入內核探針等方式,成功滲透GPU集群、模型服務網關以及編排管道。其次,模型資產竊取與篡改階段,攻擊者在獲得系統訪問權限后實施核心攻擊。與早期加密貨幣挖礦攻擊不同,ShadowInit旨在竊取專有模型權重并悄然操縱推理輸出,對下游應用造成破壞。例如,某制造企業的視覺檢測模型遭到篡改后,安全關鍵缺陷分類出現錯誤,導致裝配線停機,造成嚴重經濟損失。最后,地下市場變現階段,被竊取的模型權重在暗網論壇以低價交易,使攻擊者能夠以極低成本制作高度逼真的釣魚內容或微調競爭模型,造成長期的殘留威脅,加劇企業核心技術資產的流失。這一完整攻擊鏈說明,運行態人工智能系統面臨的威脅已從簡單的資源濫用演變為針對性的知識產權竊取與業務破壞,需要部署運行時權重完整性驗證等專門防護機制。
二是接口防護缺失與未授權訪問。倘若人工智能服務的API缺乏統一的安全規范,例如,強身份驗證、令牌管理以及輸入/輸出審查等方面,則很容易被不法分子濫用或者借助暴力手段破解。另外,在默認配置情況下將模型服務端口直接暴露在公網的做法,也會導致越權或者未授權訪問事件的發生。
三是第三方依賴與供應鏈級風險。服務層對于云服務以及第三方數據源的依賴,會擴大攻擊的范圍,典型的案例就是微軟人工智能團隊在GitHub倉庫中意外暴露了有過度權限的共享訪問令牌(SAS),導致數十TB的內部數據被外部人員訪問。近期爆發的LiteLLM供應鏈投毒事件同樣是典型教訓,攻擊者通過污染其CI/CD流程植入惡意代碼,導致大量開發者的API密鑰與云環境憑證瞬間泄露。這些事件充分說明,人工智能模型所依賴的云平臺與開源組件如果在權限管理或代碼審查方面存在漏洞,則極易引發數據泄露以及模型訓練“輸入污染”的問題,對推理的準確性構成嚴重威脅。
在人工智能供應鏈中,硬件、軟件以及服務之間相互關聯,緊密相連,任何一個環節出現風險都會沿著“硬件層—軟件層—服務層”這條鏈條進行傳導,同時還會與其他層級的風險相互疊加并放大。這種“多層聯動”的特性,使得僅僅關注單一環節的“點式防護”毫無作用,需要構建起覆蓋全鏈路的一體化安全防護體系,才可有效地抵御風險。
二、人工智能供應鏈安全防護體系構建
基于上述針對人工智能供應鏈“硬件層—軟件層—服務層”風險所開展的系統剖析,本節著重關注現有的應對途徑以及行業實踐情況,依據相關證據,以問題為導向,對治理、技術以及產業層面的主要方案進行評價,并針對有代表性的工具給出客觀的評價。當前所采取的對策可歸納為三條同時推進的主線:其一,借助制度與標準化建設來構建治理框架;其二,針對不同層級采取工程技術對策,以此降低風險暴露面;其三,借助開源與商用工具達成檢測、響應以及復原的可運維能力。
(一)治理與標準:從政策導向至合規基線
國家以及行業層面在治理方面所做出的努力,為供應鏈安全奠定了頂層設計基礎并確立了合規基線。在國際領域,美國國家標準與技術研究院(NIST)的《人工智能風險管理框架》為各組織識別、評估以及管理人工智能風險提供了通用的風險管理邏輯,該邏輯強調生命周期管理以及跨職能協同,此框架已成為各類組織構建人工智能風險治理體系的關鍵參考依據。在國內,我國近年來陸續出臺了關于《生成式人工智能服務管理暫行辦法》《國家人工智能產業綜合標準化體系建設指南(2024版)》《關于深入實施“人工智能+”行動的意見》等文件,這些文件逐漸將人工智能安全納入產業政策以及監管軌道,提出了分類分級監管、合規評估以及安全能力建設等要求。一方面,制度與標準的推進,可在制度層面約束高風險行為,明確分級責任,并推動檢測與報告機制的建立。另一方面,標準制定與修訂的速度大多時候跟不上技術與威脅態勢的變化,而且制度本身難以直接解決硬件后門、物理級攻擊等技術性問題,需要與工程手段協同實施才能發揮實際作用。
(二)工程與技術對策:分層的技術路線
技術對策需要依據不同層級的風險采用差異化的策略。在硬件層面,應當優先實施可信鏈以及完整性驗證,在共享算力的場景下采用硬件糾錯碼、系統級內存校驗等緩解手段,以此降低物理級故障或者干擾所帶來的影響,這在最近針對GPU的Rowhammer變體研究以及廠商的響應中得到充分印證。研究表明,GPU顯存可被用來實現比特翻轉,對模型權重或者推理結果進行篡改,廠商基于此建議啟用硬件糾錯碼以及系統級補償策略。
軟件供應鏈與依賴治理層面更側重于可見性與可控性的手段:構建軟件組成清單、對容器鏡像以及第三方包實施簽名與鏡像校驗、在持續集成/持續交付(CI/CD)中嵌入依賴掃描與安全檢查、對常見人工智能框架的快速響應與補丁機制。實踐說明,分布式框架與應用層框架(如Ray、LangChain、LlamaIndex等)曾出現過被主動利用的重大漏洞,這些事件表明,要把依賴鏈治理和流水線前置檢測當作常態化工作。
服務層暴露出了新的攻擊面,在服務層中,例如,模型上下文協議(Model Context Protocol)及類似協議雖然簡化了模型與外部數據源、工具的集成,但也存在認證、授權與隔離的復雜性問題。業界對模型上下文協議的安全性、身份管理以及最小權限實踐一直保持著關注,針對運行時的防護,要在網絡隔離、多租戶隔離、行為基線檢測與API訪問控制上進行精細化設計,并結合實時日志審計與威脅情報實現由檢測到響應的閉環。
從方法論角度看,上述技術對策應基于“縱深防御”理念,通過制度與標準界定安全邊界、明確合規要求;依托工程技術與部署實踐,構建多層緩解機制;結合運行時監測與威脅情報,賦予系統動態檢測能力。三者協同作用,方能有效提升供應鏈的整體韌性。
(三)產業實踐與工具:多元化檢測平臺的發展現狀
當前,人工智能供應鏈安全檢測工具呈現出“開源與商用并行、專業化與平臺化融合”的發展態勢。各類機構基于自身技術積累與應用場景,推出了涵蓋不同層級、針對不同風險類型的檢測解決方案,為行業提供了多樣化的技術選擇。
一是開源檢測平臺的興起與特點。開源社區正在成為人工智能供應鏈安全檢測的核心創新力量。以騰訊朱雀實驗室推出的AI Infra Guard為例,其定位為“綜合、智能、易用的人工智能紅隊平臺”,集成人工智能基礎設施漏洞掃描、MCP服務器風險掃描、越獄評估等功能模塊;支持對三十余種人工智能框架進行指紋識別,并提供輕量化命令行接口,便于企業將檢測能力融入既有安全流程。與之相近的開源項目還包括開源軟件安全基金會(OpenSSF)的Scorecards,其以自動化檢查評估開源項目的安全風險;Aqua Security的Trivy,用于容器鏡像漏洞掃描。此類工具以標準化與自動化降低了中小企業的技術門檻,顯著推動供應鏈安全檢測的普及與落地。
二是商用解決方案的專業化發展。商用檢測平臺在深度專業化與企業級服務能力方面具備優勢。傳統應用安全廠商如Checkmarx、Veracode等開始擴展其靜態/動態應用安全測試(SAST/DAST)產品線,將人工智能應用的代碼安全檢測納入覆蓋范圍;新興的人工智能安全初創公司則專注于模型層面的安全風險,提供對抗攻擊檢測、模型偏見識別等專業化服務。國內方面,很多傳統網絡安全廠商也正將人工智能安全檢測融入其現有產品體系,推出面向企業級用戶的綜合性解決方案。商用工具的優勢在于提供專業技術支持、定制化開發與合規報告生成,但其局限性在于采購成本較高、可能存在廠商技術棧綁定問題。
三是云平臺集成化趨勢。主流云服務商正將人工智能供應鏈安全檢測作為平臺能力予以集成。亞馬遜云服務(AWS)的Inspector、微軟云服務(Azure)的Security Center等服務,均新增了對人工智能工作負載的安全檢測支持,實現了從基礎設施到應用層的統一監控。這種“云原生”的檢測模式具備部署便捷、與云服務深度集成的優勢,但也存在廠商鎖定風險與跨云環境兼容性問題。
四是行業實踐的典型模式與挑戰。從實際應用效果看,當前產業實踐呈現出“分層部署、重點防護”的典型模式:大型科技企業多采用“自研+開源”組合方式,基于開源工具構建內部安全檢測平臺,并針對業務特點開發定制化檢測規則;傳統企業則傾向于采購成熟的商用解決方案,注重與現有信息技術(IT)基礎設施的兼容性;中小企業主要依賴云服務商提供的集成化安全服務,追求快速部署與低維護成本。
三、結論與展望
在人工智能產業呈現出高速發展態勢的同時,“人工智能+”行動也在不斷深入推進,在此背景下,供應鏈安全成為保障人工智能技術順利落地以及產業實現健康發展的“生命線”。本文通過對人工智能基礎設施供應鏈安全風險的系統梳理,明確了“硬件層—軟件層—服務層”全鏈路風險傳導邏輯。硬件層的核心組件存在漏洞以及后門風險,這構成了安全防護的底層短板;軟件層開源生態存在漏洞傳導以及合規問題,形成了風險擴散的關鍵路徑;服務層存在集成缺陷以及外部攻擊風險,這直接對人工智能應用的穩定運行以及數據安全構成威脅。這三個層面的風險相互疊加,使得傳統的單點防護模式難以應對復雜的供應鏈安全挑戰。
人工智能供應鏈安全已超越傳統信息安全范疇,成為關乎技術主權、產業韌性與國家戰略安全的核心議題。隨著大模型規模化部署加速、“人工智能+”深度融入關鍵基礎設施,供應鏈的復雜性、開放性與攻擊面將持續擴大。未來,防護體系的構建不能停留在被動響應或局部加固,而是要以“全鏈路韌性”為目標,推動從技術架構、產業協同到治理規則的系統性升級。安全能力必須深度內嵌于供應鏈的技術演進中。在硬件層面,應加快構建覆蓋設計、制造、驗證全環節的可信機制,推動國產芯片與安全標準的同步發展,探索基于硬件指紋、運行時完整性度量等手段的動態信任鏈;在軟件層面,亟須改變對開源生態“拿來即用”的慣性,建立覆蓋依賴識別、漏洞追蹤、鏡像簽名與自動修復的全生命周期治理能力,尤其要將安全左移至持續集成/持續交付(CI/CD)流程前端,實現風險早發現、早阻斷;在服務層面,則需將零信任架構、最小權限原則與行為基線檢測融入模型即服務(MaaS)的運行環境,防范API濫用、跨租戶攻擊與第三方依賴引發的級聯風險。
單點防御已無法應對跨層傳導的復合型威脅,必須推動產業級協同。建議由行業主管部門牽頭,聯合芯片廠商、云服務商、開源社區與人工智能應用企業,共建人工智能供應鏈安全風險數據庫與共享響應機制,統一關鍵組件的安全基線與檢測規范。鼓勵龍頭企業開放安全能力,通過“平臺+生態”模式賦能中小企業,避免因資源不均導致的安全洼地。尤其在政務、金融、醫療等高敏領域,應率先試點“安全可驗證、組件可追溯、風險可隔離”的供應鏈準入機制。
面對全球供應鏈的高度耦合,我國需在堅持自主可控的同時,積極參與國際規則共建。一方面,加快將國內實踐轉化為可輸出的技術標準與檢測方法,提升在全球人工智能安全治理中的話語權;另一方面,通過雙邊或多邊合作機制,推動漏洞披露、威脅情報與應急響應的跨國協同,避免安全問題被泛政治化或武器化。唯有構建“技術有底座、產業有協同、治理有規則”的三位一體防護生態,才能在保障發展速度的同時守住安全底線,真正支撐我國人工智能行穩致遠,并為全球人工智能供應鏈安全貢獻兼具原則性與實操性的中國方案。(江勇系本文通訊作者)
(本文刊登于《中國信息安全》雜志2026年第4期)
![]()
![]()
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.