生成式AI安全白皮书:贯穿“AI基础设施、大模型、AI智能体”的三层风险模型

火山引擎前不久公开发布了一份技术白皮书《生成式AI安全白皮书-》，如下：

这份白皮书系统性地阐述了火山引擎在生成式AI（GenAI）时代下的安全理念、风险认知、保障体系与未来展望。其核心内容可归纳为以下四个层面：

1. 生成式AI安全的核心挑战与风险全景图

白皮书首先清晰地描绘了生成式AI带来的新型、复合型安全风险，将其划分为三个相互关联的层次：

• 监管合规风险：强调全球（特别是中国、欧盟、美国）正在快速建立针对AI的法律法规框架（如中国的《生成式人工智能服务管理暂行办法》、欧盟的《人工智能法案》）。企业必须履行算法备案、内容合规、安全评估等法定义务。
• 数据隐私风险：指出GenAI对海量数据的依赖放大了传统数据安全问题。关键挑战包括：训练数据污染、推理时的数据泄露、模型“记忆”导致的数据提取攻击（如成员推理攻击）、以及内部人员违规操作。数据治理需从“可用”升级到“可信”。
• 生成式AI自身安全风险：这是最核心的部分，白皮书创新性地构建了一个贯穿“AI基础设施 → 大模型 → AI智能体”的三层风险模型：
• AI基础设施层：涵盖算力滥用、网络隔离薄弱、供应链漏洞（如被污染的开源框架/镜像）、访问控制缺陷（如AK泄露）等传统云安全问题在AI场景下的新表现。
• 大模型层：聚焦模型特有的风险，如提示词注入（Prompt Injection）、越狱攻击（Jailbreak）、对抗样本、模型投毒/后门、内容安全（生成违法不良信息）以及模型权重泄露。
• AI智能体（Agent）层：随着Agent的普及，攻击面急剧扩大。主要风险包括工具滥用（以过高权限执行危险操作）、指令劫持、跨租户数据穿透、以及由插件和外部API引入的供应链风险。

2. 火山引擎的安全主张与责任共担模型

火山引擎将自身定位为“AI云原生的可信安全基础设施提供者”，其核心主张是构建“可信、可控、合规”的AI基座。为此，它提出了一个清晰的责任共担模型：

• 合规责任：火山引擎已为其“豆包大模型”完成算法备案和生成式AI服务备案，并内置了全生命周期的内容安全策略。但客户若基于此模型对外提供服务，仍需根据自身业务（如精调、特殊场景）承担额外的审核与备案责任。
• 数据隐私责任：火山引擎通过“安全互信计算架构”确保“数据唯客户所见、唯客户所用、唯客户所有”。对于使用其IaaS/PaaS（如GPU云服务器、机器学习平台）的客户，客户需对自身数据的来源与内容负责；而对于直接使用豆包大模型的客户，火山引擎则依据国标对训练数据进行审核与脱敏。
• 安全责任：安全防护是分层的。火山引擎负责保障其基础设施和平台（如火山方舟）的安全稳定；而客户则需要关注其AI工作负载的全生命周期安全，包括模型选型、部署配置、权限管理等。

3. 全栈式生成式AI安全保障体系

这是白皮书的技术核心，火山引擎构建了一个覆盖“基础设施、模型平台、智能体”三层的纵深防御体系。

3.1 基础设施安全

以“透明可信”为核心，通过硬件可信根（如Intel TDX/SGX）、固件资产管理、机密计算、默认开启的WAF/DDoS防护、以及威胁情报驱动的攻防演练，打造安全的算力底座。

3.2 模型与平台安全（以“火山方舟”为代表）

1）治理原则。强调“审计与可追溯”、“流程门禁与报备”，将安全嵌入数据标注、预训练、后训练与上线的每一个环节。

2）技术实现。推出“安全互信计算架构”，包含四大支柱：

1. 链路全加密：端到端mTLS加密，确保传输安全。
2. 数据高保密：落盘即加密（EFS），支持用户自持密钥（HYOK），实现最高级别的数据控制权。
3. 环境强隔离：结合云原生容器沙箱（vArmor）、VPC/RDMA网络隔离、乃至芯片级隔离，杜绝内外部风险。
4. 操作可审计：提供多类别、细粒度的审计日志，确保所有操作可追溯。

3）特色能力。提出“会话无痕”和“机密推理”服务，利用可信执行环境（TEE）确保运行时数据安全，并提供远程证明报告，让信任可被技术验证。

3.3 AI智能体安全

• 身份与权限：设计“Agent Identity”体系，为每个Agent和工具赋予独立、可验证的工作负载身份，实现人-Agent-工具-云资源的细粒度授权与清晰边界，遵循零信任原则。
• 工具准入与管控：对MCP（Model Context Protocol）工具进行自动化安全扫描与审批，并严格控制高风险操作。
• 运行时防护：推出“AgentArmor”运行时安全加固能力。它通过构建程序依赖图、动态策略调整和上下文感知，对Agent的行为进行实时监控、分析与干预，有效防范目标劫持和工具滥用。

4. 行业展望与未来趋势

白皮书最后预测了AI安全的三大未来趋势：

1. 安全左移与AI原生的DevSecOps：安全将内生于AI应用的全生命周期开发运维流程。
2. 从单点防御到体系化、智能化：需要构建覆盖全栈的纵深防御体系，并利用AI本身来提升安全运营的智能化水平。
3. 开放生态与责任共担：安全是整个生态（云厂商、模型方、开发者、用户）的共同责任，标准化和开放协作是关键。

5. 个人见解

这份白皮书不仅是火山引擎的技术宣言，更是对整个行业在应对生成式AI安全挑战时的一份极具前瞻性和实操性的指南。其价值体现在：

1）风险认知的系统性与前瞻性。白皮书没有停留在表面的“内容安全”或“数据泄露”，而是深刻洞察到风险正沿着“基础设施→模型→智能体”的链条传导和放大。特别是对AI智能体这一新兴范式的安全风险剖析，展现了极高的行业敏锐度，为业界敲响了警钟。

2）解决方案的工程化与落地性。火山引擎提出的“安全互信计算架构”和“AgentArmor”并非空泛概念，而是包含了大量可落地的工程技术细节（如vArmor、HYOK、TDX、程序依赖图等）。这表明其安全能力已经从理论走向了大规模工程实践，尤其是在机密计算和运行时行为防护方面的探索，代表了行业领先水平。

3）责任模型的清晰界定。在复杂的GenAI生态中，明确划分服务商与客户的责任边界至关重要。白皮书提供的责任共担模型，为客户提供了清晰的行动指南，有助于避免因责任不清而导致的安全盲区，这对推动整个行业的健康发展具有重要意义。

4）“可验证信任”的范式创新。在AI黑盒特性导致信任缺失的背景下，火山引擎通过远程证明、审计日志和透明可解释的AgentArmor决策过程，努力将传统的“契约信任”转变为“技术可验证信任”。这是一种根本性的范式转变，有望成为未来AI安全信任的基石。