![]()
![]()
張 格
國(guó)家工業(yè)信息安全發(fā)展研究中心總工程師
人工智能(AI)技術(shù)正以前所未有的深度和廣度融入軟件產(chǎn)業(yè)的研發(fā)、部署與運(yùn)行全生命周期,推動(dòng)軟件供應(yīng)鏈從傳統(tǒng)的代碼集成模式向AI能力聚合模式躍遷。這一深刻變革在大幅提升軟件生產(chǎn)效率與智能水平的同時(shí),也使軟件供應(yīng)鏈面臨的數(shù)據(jù)投毒、模型篡改、智能體劫持等新型安全威脅日益凸顯。因此,亟須構(gòu)建適配AI時(shí)代特征的軟件供應(yīng)鏈安全治理新框架,為智能軟件生態(tài)的安全治理提供理論參考與實(shí)踐路徑。
一、人工智能時(shí)代軟件供應(yīng)鏈安全的重要性
軟件供應(yīng)鏈?zhǔn)枪┬柚黧w圍繞軟件采購(gòu)、開(kāi)發(fā)、交付、獲取、運(yùn)維和廢止等全生命周期活動(dòng)所形成的網(wǎng)鏈結(jié)構(gòu),其并非簡(jiǎn)單的線性鏈條集合,而是要素多元、環(huán)節(jié)眾多、動(dòng)態(tài)演化的復(fù)雜生態(tài)系統(tǒng)。從上游的研發(fā)源頭,到中游的集成構(gòu)建,再到下游的交付運(yùn)維,各個(gè)環(huán)節(jié)高度耦合、風(fēng)險(xiǎn)傳導(dǎo)性強(qiáng),攻擊行為往往呈現(xiàn)“單點(diǎn)突破、全網(wǎng)蔓延”的顯著特征,增加了安全治理的難度。
(一)軟件供應(yīng)鏈安全保障國(guó)家安全與民生權(quán)益
軟件作為新一代信息技術(shù)和數(shù)字經(jīng)濟(jì)發(fā)展的核心基礎(chǔ),其供應(yīng)鏈安全直接關(guān)系到國(guó)家安全、社會(huì)穩(wěn)定、企業(yè)利益與用戶權(quán)益。一方面,關(guān)鍵信息基礎(chǔ)設(shè)施高度依賴軟件支撐,一旦供應(yīng)鏈遭受攻擊,可能引發(fā)重要行業(yè)運(yùn)行的信息系統(tǒng)或工業(yè)控制系統(tǒng)癱瘓、數(shù)據(jù)泄露,進(jìn)而威脅國(guó)家關(guān)鍵領(lǐng)域安全;另一方面,軟件安全漏洞也會(huì)通過(guò)供應(yīng)鏈快速傳導(dǎo),造成企業(yè)業(yè)務(wù)中斷、數(shù)據(jù)泄露、經(jīng)濟(jì)損失及品牌聲譽(yù)損害,并導(dǎo)致用戶個(gè)人信息泄露、設(shè)備被植入惡意程序、隱私數(shù)據(jù)被竊取,嚴(yán)重侵害用戶的合法權(quán)益。
(二)我國(guó)高度重視軟件供應(yīng)鏈安全治理體系建設(shè)
在法律法規(guī)層面,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》明確提出,“網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求”“運(yùn)營(yíng)者應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”等要求,《網(wǎng)絡(luò)安全審查辦法》更是將關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全作為關(guān)注重點(diǎn),為軟件供應(yīng)鏈安全劃定了合規(guī)底線。2026年3月,《國(guó)務(wù)院關(guān)于產(chǎn)業(yè)鏈供應(yīng)鏈安全的規(guī)定》正式公布并施行,為數(shù)字化、智能化時(shí)代的供應(yīng)鏈安全治理提供了頂層制度框架。在標(biāo)準(zhǔn)規(guī)范層面,《信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》(GB/T 36637—2018)、《網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求》(GB/T 43698—2024)、《數(shù)字化供應(yīng)鏈通用安全要求》(GB/T 46885—2025)等國(guó)家標(biāo)準(zhǔn),明確了軟件供應(yīng)鏈各環(huán)節(jié)的安全管控要求,為安全管理和評(píng)估提供了技術(shù)依據(jù)。2025年9月,全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《人工智能安全治理框架》2.0版,在2024年初版基礎(chǔ)上,結(jié)合AI技術(shù)發(fā)展和應(yīng)用實(shí)踐,進(jìn)一步強(qiáng)化了軟件開(kāi)源生態(tài)安全和供應(yīng)鏈安全措施。
(三)人工智能重構(gòu)軟件供應(yīng)鏈并加劇安全風(fēng)險(xiǎn)
當(dāng)前,AI技術(shù)進(jìn)入高速迭代期,推動(dòng)軟件供應(yīng)鏈發(fā)生根本性重構(gòu),使其由傳統(tǒng)的代碼集成模式轉(zhuǎn)向AI能力聚合的發(fā)展新階段,即以大語(yǔ)言模型、生成式AI、智能體等技術(shù)為底層支撐,涵蓋模型研發(fā)、數(shù)據(jù)采集、開(kāi)源組件集成、模型部署與推理、AI輔助開(kāi)發(fā)以及云原生算力支撐的全鏈條智能軟件生態(tài),其安全邊界從傳統(tǒng)代碼層面擴(kuò)展至數(shù)據(jù)、模型、算法與運(yùn)行態(tài)交互的多維空間。一是供應(yīng)鏈核心要素方面,新增的預(yù)訓(xùn)練模型、模型上下文協(xié)議生態(tài)、智能體插件、AI云服務(wù)等環(huán)節(jié)具有動(dòng)態(tài)更新與持續(xù)迭代的特征,基于版本控制的傳統(tǒng)靜態(tài)管理方式難以適配。二是供應(yīng)鏈結(jié)構(gòu)方面,節(jié)點(diǎn)數(shù)量激增且鏈路錯(cuò)綜復(fù)雜,模型訓(xùn)練依賴多源異構(gòu)數(shù)據(jù)、第三方開(kāi)源框架與智算云基礎(chǔ)設(shè)施,模型部署后仍通過(guò)推理接口與外部環(huán)境持續(xù)交互。三是信任基礎(chǔ)方面,傳統(tǒng)的代碼簽名機(jī)制無(wú)法驗(yàn)證模型權(quán)重是否被篡改、訓(xùn)練數(shù)據(jù)是否被投毒,安全信任的建立需要依賴數(shù)據(jù)溯源、算法驗(yàn)證等新型技術(shù)手段與治理機(jī)制。
AI技術(shù)的深度應(yīng)用在提升軟件研發(fā)效率、豐富功能場(chǎng)景的同時(shí),也打破了原有的安全邊界,引入了模型投毒、工具污染、智能體劫持等新型安全威脅,加劇了傳統(tǒng)供應(yīng)鏈風(fēng)險(xiǎn),并衍生出數(shù)據(jù)泄露、算法黑盒、合規(guī)失守等次生隱患。整體而言,軟件供應(yīng)鏈安全威脅呈現(xiàn)出傳統(tǒng)風(fēng)險(xiǎn)升級(jí)、新型威脅爆發(fā)、衍生隱患疊加的復(fù)合特征,貫穿模型研發(fā)至運(yùn)維部署全鏈路。特別是在能源、通信、政務(wù)、金融等關(guān)鍵領(lǐng)域,針對(duì)軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊正呈現(xiàn)出愈演愈烈之勢(shì),且其攻擊范圍從行業(yè)大模型延伸至支撐其運(yùn)行的基礎(chǔ)設(shè)施底座。在此背景下,系統(tǒng)性強(qiáng)化AI驅(qū)動(dòng)下的軟件供應(yīng)鏈安全治理,已成為國(guó)家安全和行業(yè)發(fā)展的迫切需求。
二、人工智能時(shí)代軟件供應(yīng)鏈安全風(fēng)險(xiǎn)分析
AI技術(shù)正在深度重塑軟件供應(yīng)鏈的形態(tài)與安全格局,從大模型研發(fā)的數(shù)據(jù)投毒與組件污染,到部署階段的模型篡改與接口暴露,再到AI輔助開(kāi)發(fā)與智算云生態(tài),每一個(gè)環(huán)節(jié)都在傳統(tǒng)供應(yīng)鏈安全的基礎(chǔ)上疊加了全新的風(fēng)險(xiǎn)維度。
(一)大模型自身供應(yīng)鏈風(fēng)險(xiǎn):從數(shù)據(jù)到部署的全鏈路隱患
大模型、生成式AI、行業(yè)模型及智能體本身屬于新型智能軟件,具備數(shù)據(jù)驅(qū)動(dòng)、算法黑盒、開(kāi)源依賴高、動(dòng)態(tài)迭代快等特征,存在區(qū)別于傳統(tǒng)軟件的供應(yīng)鏈安全風(fēng)險(xiǎn)。
一是訓(xùn)練數(shù)據(jù)來(lái)源多樣,數(shù)據(jù)投毒風(fēng)險(xiǎn)持續(xù)上升。大模型訓(xùn)練高度依賴互聯(lián)網(wǎng)公開(kāi)語(yǔ)料、第三方數(shù)據(jù)集等開(kāi)放來(lái)源,數(shù)據(jù)量大且結(jié)構(gòu)復(fù)雜。在數(shù)據(jù)收集過(guò)程中,惡意內(nèi)容、錯(cuò)誤信息甚至誘導(dǎo)性語(yǔ)義很容易被混入訓(xùn)練語(yǔ)料,影響模型的行為邏輯和輸出結(jié)果。這種風(fēng)險(xiǎn)具有較強(qiáng)的隱蔽性和長(zhǎng)期性,一旦污染數(shù)據(jù)進(jìn)入模型訓(xùn)練流程,相關(guān)影響可能伴隨模型迭代持續(xù)存在,并通過(guò)模型蒸餾等方式進(jìn)一步擴(kuò)散,形成鏈?zhǔn)斤L(fēng)險(xiǎn)。
二是開(kāi)源模型生態(tài)下,開(kāi)源組件可信驗(yàn)證難度增加。AI大模型研發(fā)深度依賴Transformers等架構(gòu)及相關(guān)開(kāi)源框架,一旦這些第三方組件被污染,就會(huì)直接威脅所有使用它的模型。攻擊者可以利用自動(dòng)化工具,通過(guò)依賴混淆、錯(cuò)別字搶注、代碼倉(cāng)庫(kù)劫持等手段,在公共鏡像倉(cāng)庫(kù)中批量發(fā)布極具迷惑性的惡意依賴包。如果開(kāi)發(fā)人員缺乏必要的完整性驗(yàn)證等安全審查,直接使用來(lái)源不明的組件,就極易將惡意代碼引入研發(fā)環(huán)境。尤其值得警惕的是,當(dāng)前模型依賴關(guān)系動(dòng)態(tài)變化,部分組件存在自動(dòng)下載、更新等機(jī)制,使得傳統(tǒng)基于靜態(tài)邊界的安全驗(yàn)證方式難以有效覆蓋,進(jìn)一步增加了供應(yīng)鏈風(fēng)險(xiǎn)識(shí)別難度。
三是大模型研發(fā)工具鏈被劫持。大模型研發(fā)依賴云原生集群等基礎(chǔ)設(shè)施,以及持續(xù)集成與持續(xù)交付(CI/CD)流水線、容器鏡像倉(cāng)庫(kù)等自動(dòng)化工具鏈,集中存儲(chǔ)大量高權(quán)限賬號(hào)、密鑰與訪問(wèn)憑證。攻擊者竊取憑證、篡改構(gòu)建腳本、劫持流水線調(diào)度節(jié)點(diǎn),可在模型訓(xùn)練、打包發(fā)布環(huán)節(jié)隱蔽植入后門,使帶毒模型仍具備正規(guī)簽名與合規(guī)資質(zhì),實(shí)現(xiàn)源頭隱蔽污染。
四是模型分發(fā)與部署篡改。大模型多以權(quán)重文件、容器鏡像、離線包等形式在開(kāi)源社區(qū)流通,缺乏統(tǒng)一可信簽名、完整性校驗(yàn)和溯源機(jī)制。攻擊者可篡改模型權(quán)重、植入后門,或惡意微調(diào)后仿冒官方版本二次分發(fā)。同時(shí),模型推理接口大面積暴露,易遭受提示詞注入、對(duì)抗樣本攻擊;模型量化、剪枝、格式轉(zhuǎn)換等輕量化操作,還會(huì)破壞原有安全對(duì)齊機(jī)制,進(jìn)而引發(fā)非預(yù)期高危輸出。
(二)人工智能賦能供應(yīng)鏈的衍生風(fēng)險(xiǎn):開(kāi)發(fā)、底座與攻防維度的新挑戰(zhàn)
AI已全面滲透軟件開(kāi)發(fā)、測(cè)試運(yùn)維、智算底座、攻防對(duì)抗全流程,重構(gòu)傳統(tǒng)供應(yīng)鏈生產(chǎn)模式、信任邊界與風(fēng)險(xiǎn)傳導(dǎo)路徑,衍生出全新安全隱患。
一是AI輔助開(kāi)發(fā)引發(fā)漏洞增加與批量擴(kuò)散。美國(guó)網(wǎng)絡(luò)安全公司Veracode發(fā)布的《2025年生成式AI代碼安全報(bào)告》顯示,45%的AI代碼樣本含Web應(yīng)用安全領(lǐng)域十大類高危漏洞(OWASP Top 10);AI代碼審查平臺(tái)CodeRabbit在其《AI與人類代碼生成現(xiàn)狀報(bào)告》(2025年12月)中實(shí)測(cè)顯示,AI輔助生成代碼的安全漏洞密度為純?nèi)斯ぞ帉?xiě)代碼的2.74倍。此外,AI代碼助手依托海量開(kāi)源代碼進(jìn)行概率生成,極易復(fù)刻歷史漏洞、危險(xiǎn)函數(shù)與不規(guī)范權(quán)限邏輯,造成漏洞規(guī)模化復(fù)制。大模型天然存在幻覺(jué)缺陷,虛構(gòu)不存在的依賴包與接口,攻擊者提前搶注幻覺(jué)包名植入惡意程序,開(kāi)發(fā)者盲目采信AI推薦,從供應(yīng)鏈上游引入惡意開(kāi)源組件。同時(shí),多智能體協(xié)同開(kāi)發(fā)權(quán)限過(guò)高,易遭提示詞注入、工具調(diào)用劫持,誘導(dǎo)越權(quán)操作與代碼篡改,風(fēng)險(xiǎn)跨項(xiàng)目橫向蔓延。
二是智算云算力底座帶來(lái)基礎(chǔ)設(shè)施風(fēng)險(xiǎn)。智算中心、GPU集群作為AI應(yīng)用的算力底座,采用云原生多租戶架構(gòu),依賴大量開(kāi)源分布式組件。底層漏洞易被攻擊者利用,穿透虛擬化隔離接管算力節(jié)點(diǎn),竊取模型與核心數(shù)據(jù);多租戶隔離機(jī)制缺陷可引發(fā)側(cè)信道攻擊、顯存越界讀取,造成跨租戶數(shù)據(jù)泄露與橫向滲透。此外,AI智能體動(dòng)態(tài)調(diào)用外部網(wǎng)頁(yè)、第三方接口、開(kāi)源數(shù)據(jù)集,將供應(yīng)鏈安全邊界從研發(fā)交付延伸至運(yùn)行態(tài),外部不可信數(shù)據(jù)源易被劫持,誘發(fā)數(shù)據(jù)外泄與越權(quán)操作。
三是AI驅(qū)動(dòng)網(wǎng)絡(luò)攻防不對(duì)稱,加劇軟件供應(yīng)鏈威脅。AI大幅降低漏洞挖掘與攻擊編排門檻,可自主完成代碼審計(jì)、反編譯、漏洞匹配,自動(dòng)串聯(lián)多漏洞構(gòu)建復(fù)雜攻擊鏈,突破傳統(tǒng)邊界防護(hù)與系統(tǒng)隔離。當(dāng)前,基于周期性掃描、已知特征匹配、人工流程管控構(gòu)建的安全防護(hù)體系,與AI攻擊的高速化、自動(dòng)化、智能化特征嚴(yán)重不匹配。
三、加強(qiáng)供應(yīng)鏈安全治理相關(guān)對(duì)策建議
面對(duì)復(fù)合型、動(dòng)態(tài)化的安全挑戰(zhàn),需要從政策法規(guī)、標(biāo)準(zhǔn)體系、監(jiān)管機(jī)制、技術(shù)能力和產(chǎn)業(yè)協(xié)同等多個(gè)維度系統(tǒng)施策,構(gòu)建覆蓋模型研發(fā)、部署、運(yùn)行全生命周期的敏捷安全治理體系。
(一)加強(qiáng)大模型研發(fā)過(guò)程中供應(yīng)鏈的安全規(guī)范與監(jiān)管
針對(duì)大模型研發(fā)環(huán)節(jié)的數(shù)據(jù)安全與組件污染風(fēng)險(xiǎn),建立覆蓋研發(fā)全流程的安全管理制度。一是制定大模型訓(xùn)練數(shù)據(jù)安全管理規(guī)范,要求研發(fā)主體對(duì)訓(xùn)練數(shù)據(jù)的來(lái)源、內(nèi)容合規(guī)性進(jìn)行嚴(yán)格審查與備案,從源頭降低數(shù)據(jù)投毒風(fēng)險(xiǎn)。二是建立開(kāi)源組件與模型的準(zhǔn)入安全驗(yàn)證制度,支持自主可控的開(kāi)源框架與模型研發(fā),要求研發(fā)團(tuán)隊(duì)在引入第三方框架和預(yù)訓(xùn)練模型時(shí)實(shí)施來(lái)源驗(yàn)證與安全評(píng)估,防范依賴混淆和組件劫持。三是健全AI研發(fā)工具鏈的安全管理要求,明確研發(fā)環(huán)境的安全基線,對(duì)CI/CD等關(guān)鍵環(huán)節(jié)實(shí)施必要的審計(jì)與管控。
(二)健全模型部署與分發(fā)的安全準(zhǔn)入與合規(guī)監(jiān)管制度
參照《政務(wù)大模型應(yīng)用安全規(guī)范》在安全評(píng)估與備案方面的制度設(shè)計(jì),構(gòu)建覆蓋模型部署全流程的準(zhǔn)入與監(jiān)管機(jī)制。一是推行大模型上線前安全評(píng)估制度,要求模型發(fā)布方在商業(yè)化部署前完成對(duì)抗魯棒性、后門檢測(cè)、安全對(duì)齊有效性等方面的安全評(píng)估,并向行業(yè)主管部門備案。二是建立模型分發(fā)的可信認(rèn)證體系,推動(dòng)形成行業(yè)認(rèn)可的模型簽名與完整性驗(yàn)證標(biāo)準(zhǔn),為下游使用者提供不依附模型分發(fā)平臺(tái)、獨(dú)立自主的模型來(lái)源驗(yàn)證能力。三是健全模型運(yùn)行期的持續(xù)合規(guī)監(jiān)管,要求服務(wù)提供方定期向行業(yè)主管部門提交安全運(yùn)行報(bào)告,在發(fā)生安全事件時(shí)履行及時(shí)通報(bào)義務(wù),形成貫穿模型全生命周期的合規(guī)監(jiān)管閉環(huán)。
(三)壓實(shí)AI編碼工具與智能體供應(yīng)商的安全主體責(zé)任
針對(duì)AI輔助開(kāi)發(fā)和智能體協(xié)同引入的新型風(fēng)險(xiǎn),強(qiáng)化對(duì)AI編碼工具提供商及智能體運(yùn)營(yíng)方的安全監(jiān)管。一是要求AI編碼工具提供商對(duì)其訓(xùn)練數(shù)據(jù)中的開(kāi)源代碼安全質(zhì)量承擔(dān)審計(jì)責(zé)任,建立訓(xùn)練數(shù)據(jù)安全評(píng)估與過(guò)濾機(jī)制。二是明確AI編碼工具在第三方包推薦中的安全義務(wù),要求工具優(yōu)先匹配已注冊(cè)官方包,對(duì)幻覺(jué)包進(jìn)行實(shí)時(shí)攔截警示。三是建立AI生成代碼的引入記錄與審計(jì)日志制度,要求開(kāi)發(fā)團(tuán)隊(duì)在使用AI編碼工具時(shí)記錄工具調(diào)用信息與人工審查過(guò)程,以便在安全事件發(fā)生時(shí)能夠回溯問(wèn)題代碼的生成來(lái)源與審查責(zé)任人。
(四)依托云計(jì)算服務(wù)安全評(píng)估制度強(qiáng)化智算云安全管理
充分依托現(xiàn)行云計(jì)算服務(wù)安全評(píng)估制度,將智算云平臺(tái)納入安全評(píng)估范疇并強(qiáng)化專項(xiàng)管理。一是在《云計(jì)算服務(wù)安全評(píng)估辦法》框架下,針對(duì)智算云平臺(tái)的GPU集群多租戶隔離、模型推理服務(wù)防護(hù)等AI特有場(chǎng)景,增設(shè)專項(xiàng)安全評(píng)估指標(biāo),形成“通用云安全+AI擴(kuò)展評(píng)估”的復(fù)合評(píng)價(jià)體系。二是將智算云服務(wù)商納入關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全審查范圍,要求其按規(guī)定披露底層依賴組件清單、訓(xùn)練環(huán)境安全配置及安全事件記錄,提升供應(yīng)鏈透明度。三是建立智算云平臺(tái)運(yùn)行期的持續(xù)安全監(jiān)測(cè)與定期復(fù)評(píng)制度,對(duì)多租戶隔離有效性、AI網(wǎng)關(guān)身份認(rèn)證等關(guān)鍵安全能力實(shí)施周期性驗(yàn)證。
(五)提升國(guó)內(nèi)基礎(chǔ)模型的網(wǎng)絡(luò)安全防御能力
面對(duì)AI驅(qū)動(dòng)的供應(yīng)鏈攻擊能力不斷升級(jí)的態(tài)勢(shì),應(yīng)著力提升國(guó)產(chǎn)基礎(chǔ)大模型自身的網(wǎng)絡(luò)安全能力,以AI防御AI,縮小攻防能力差距。一是將網(wǎng)絡(luò)安全能力納入基礎(chǔ)模型研發(fā)與評(píng)測(cè)的核心指標(biāo)體系,在模型訓(xùn)練中有機(jī)融入安全編碼規(guī)范、漏洞模式庫(kù)和供應(yīng)鏈安全知識(shí),增強(qiáng)模型在安全領(lǐng)域的綜合能力。二是推動(dòng)建立面向網(wǎng)絡(luò)安全垂直領(lǐng)域的基礎(chǔ)模型能力評(píng)測(cè)基準(zhǔn),重點(diǎn)評(píng)估模型在代碼安全、漏洞識(shí)別、供應(yīng)鏈分析等任務(wù)上的表現(xiàn),形成常態(tài)化的能力測(cè)評(píng)機(jī)制。三是鼓勵(lì)基礎(chǔ)模型研發(fā)企業(yè)與網(wǎng)絡(luò)安全企業(yè)開(kāi)展深度合作,聯(lián)合開(kāi)發(fā)面向代碼審計(jì)、威脅情報(bào)分析、安全合規(guī)檢測(cè)等場(chǎng)景的AI安全工具,促進(jìn)AI安全能力的產(chǎn)業(yè)化發(fā)展,推動(dòng)跨境AI供應(yīng)鏈安全國(guó)際合作,參與國(guó)際標(biāo)準(zhǔn)制定。
(本文刊登于《中國(guó)信息安全》雜志2026年第6期)
![]()
![]()
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.