AI 系统正在快速进入生产环境,但很多团队在安全方面犯了同样的错误。以下五个问题我在客户现场反复见到——它们不是理论风险,而是真实发生过的事故根源。
1. 把训练数据管道当成普通存储
最常见的错误:将训练数据集放在可公开读取的对象存储中,或者使用弱权限的共享文件夹。攻击者一旦进入网络,就能窃取或投毒训练数据。
修复建议:
- 对训练数据实施最小权限原则,使用加密存储。
- 对数据管道启用审计日志,监控异常访问。
2. 模型推理端点没有速率限制和输入验证
AI 模型端点往往直接暴露,没有 WAF 或 API 网关保护。攻击者可以通过精心构造的输入触发模型行为异常(例如提示注入、对抗样本)。
修复建议:
- 在模型前部署输入验证层,过滤异常格式。
- 实施速率限制,防止批量探测。
3. 忽略供应链安全:第三方模型和库
团队直接下载 Hugging Face 上的模型或使用未经审计的 Python 库,却从不检查依赖项的安全性。恶意模型可以植入后门。
修复建议:
- 建立模型来源白名单,只使用经过安全扫描的模型。
- 使用软件物料清单(SBOM)跟踪 AI 依赖。
4. 没有为 AI 系统设计事件响应计划
当模型开始输出异常结果时,团队往往不知道是数据中毒、模型漂移还是攻击。缺乏预案导致响应延迟数天。
修复建议:
- 制定 AI 安全事件响应剧本,明确谁负责关闭模型、如何取证。
- 定期演练。
5. 过度信任 AI 输出,缺乏人工复核
将 AI 决策直接接入自动化流程(如自动批准贷款、生成代码),却没有人工审核环节。一次攻击就能造成大规模破坏。
修复建议:
- 对高风险决策实施人工在环(Human-in-the-Loop)。
- 设置输出异常检测规则。
实战检查清单:AI 系统威胁场景简报
以下是我在评估团队时使用的快速检查清单。如果你的团队对任一问题回答“否”,就需要立即修复:
| 检查项 | 是/否 |
|---|---|
| 训练数据存储启用了加密和访问审计? | □ |
| 模型推理端点有输入验证和速率限制? | □ |
| 所有第三方模型和库经过安全扫描? | □ |
| 有书面的 AI 安全事件响应计划? | □ |
| 高风险 AI 决策有人工审核环节? | □ |
如果以上任何一项为“否”,建议你参考我们的 AI 与网络安全知识中心 获取更多指导,或直接查看我们的 AI 安全服务 如何帮助团队建立系统化的防护。
常见问题
问:提示注入攻击真的那么常见吗? 答:是的。在我参与的安全评估中,超过 60% 的 LLM 应用存在至少一种可被利用的提示注入漏洞。攻击者通过构造特殊输入让模型泄露系统提示或执行非预期操作。
问:小型团队如何开始 AI 安全? 答:从最小可行控制开始:锁定训练数据、添加输入验证、建立简单的响应计划。不需要一开始就追求完美,但必须开始。
问:开源模型比商业模型更安全吗? 答:不一定。开源模型透明度高,但攻击者也能更容易地研究其弱点。关键不在于模型来源,而在于你如何部署和保护它。