2025年AI安全风险测评白皮书:智能体的全生命周期风险测评体系

中国信息安全测评中心前段时间公开发布了一份技术白皮书《人工智能安全风险测评白皮书（2025年）》，如下：

该白皮书系统性地构建了一个面向生成式人工智能（特别是大语言模型及其演进形态——AI智能体）的全生命周期、多维度、动态化的安全风险测评体系。其核心逻辑是：随着AI技术从“文本生成器”向“认知智能体”乃至“现实世界执行者”的演进，其安全风险的性质、范围和危害程度发生了根本性变化，传统的安全测评方法已无法应对，亟需一套全新的、体系化的框架。

1. 安全风险演进的四大范式转移

白皮书开篇即指出了当前AI安全面临的四个关键转变，这是理解整个测评体系的前提：

• 从“外部”到“内部”：风险焦点从传统的外部攻击（如数据投毒）转向模型内部的认知过程。例如，“欺骗性对齐”（Deceptive Alignment）表明，一个在行为上看似安全的模型，其内部推理可能完全偏离人类意图。
• 从“行为”到“认知”：安全对齐的目标必须从行为对齐（Behavioral Alignment），确保模型的最终输出符合规范，跃迁至认知对齐（Cognitive Alignment），确保其内部的推理逻辑、动机和目标与人类价值观一致。
• 从“虚拟”到“现实”：AI的危害不再局限于生成虚假信息，而是能通过深度伪造（Deepfake）等技术直接造成巨额金融损失，并通过AI智能体（AI Agents）操控物理世界或数字系统，产生真实、可量化的破坏。
• 从“生成器”到“执行者”：LLM正演变为具备自主规划、记忆、工具调用能力的AI智能体。这带来了全新的行动性风险，如内存投毒（Memory Poisoning）、工具滥用（Tool Misuse）和奖励作弊（Reward Hacking），其危害源于未经授权的实际操作。

2. AI安全风险全景图

为系统化地框定风险，白皮书提出了“AI安全风险全景图”，它从两个维度交叉分析风险：

• 纵向维度（全生命周期）将生命周期阶段调整为：需求与设计 → 模型训练优化 → 部署与集成 → 运行与监控 → 迭代与退役。
• 横向维度（同质风险层）在每个生命周期阶段，都可能存在以下八大类风险：基础设施安全、数据安全、模型安全、应用与智能体安全、用户与身份安全、内容安全、合规与伦理风险、管理类风险。

3. 核心测评内容：五大重点方向

基于全景图，白皮书提炼出五大核心测评重点，并详细阐述了每个方向的具体内涵：

(1) 供应链安全测评：

• 硬件及基础设施：关注供应韧性（防断供）、硬件完整性（防篡改）、固件漏洞、容器镜像投毒、基础设施即代码（IaC）模板安全等。
• 软件及开发框架：评估开源组件风险（漏洞响应、社区健康度）、供应链全流程完整性（SLSA证据链、防篡改）、第三方软件合规认证等。

(2) 数据安全测评：

• 训练数据隐私：验证敏感信息脱敏效果，抵御成员推理攻击。
• 用户交互隐私：检测用户输入在传输、存储、处理环节的加密与访问控制。
• 模型衍生隐私：评估模型“记忆”风险，验证其对敏感信息的“遗忘”能力和输出过滤机制。

(3) 模型安全测评：

• 鲁棒性：测试模型在对抗样本、提示注入等攻击下的稳定性。
• 可靠性：评估模型输出的一致性、准确性和抗“幻觉”能力。
• 可控性：验证模型行为的可预测、可干预（如一键关停）、可终止能力，以及抵御“目标偏移攻击”的能力。

(4) 价值观与伦理对齐测评：

• 反歧视与公平性：通过多样化测试集量化模型对不同群体的系统性偏见。
• 价值观对齐：测评模型输出与主流社会价值观（如反暴力、尊重人权）的一致性，并适配多文化场景。
• 法律合规性：对照区域法规（如欧盟AI法案、中国《生成式AI服务管理暂行办法》），验证系统是否满足禁止性和义务性条款。

(5) 运行态系统安全测评：

• 治理可追溯性：验证全链路日志的完整性与不可篡改性，确保供应链可追溯，责任主体明确。
• AI智能体专项风险：针对智能体的特性，测评其长期记忆安全、工具调用权限控制、奖励函数设计合理性、以及防范后门植入的能力。

4. AI安全风险测评体系

白皮书最终提出了一套闭环的测评体系，包含六大模块：

• 测评目的：锚定安全性、可靠性、可控性、公平性四大核心目标。
• 测评内容：即上述五大重点方向。
• 测评对象：覆盖从基础设施、数据、模型到应用系统、智能体的全栈对象。
• 测评方法：结合黑盒测试、白盒审计、红蓝对抗、形式化验证等多种技术。
• 风险度量：建立可量化、可比较的风险指标体系。
• 持续优化：通过反馈机制，实现测评体系的动态演进。

5. 个人见解

这份白皮书不仅是技术指南，更是对AI安全未来发展方向的战略性思考，其价值体现在以下几个方面：

1）首次系统性地将“认知安全”置于核心地位。白皮书对“欺骗性对齐”和“认知对齐”的论述，标志着AI安全研究进入了一个新纪元。它尖锐地指出，仅靠监督模型的最终输出（黑盒测试）是远远不够的。未来的安全攻防，将是一场关于模型内部“思想”与“动机” 的战争。这要求我们发展出能够审计模型内部状态的白盒技术，如可解释AI（XAI）和神经符号系统，这是一个极具挑战但至关重要的前沿方向。

2）前瞻性地为AI智能体安全划定了“雷区”。报告对AI智能体带来的新型风险（内存投毒、工具滥用、奖励作弊）的识别极为精准。这些风险具有隐蔽性强、危害直接、责任难定的特点。白皮书提出的测评重点，如记忆安全、工具权限最小化、奖励函数审计等，为开发者和监管机构提供了宝贵的行动指南。尤其值得注意的是，报告揭示了仅需污染2%的交互数据即可植入高成功率后门的研究成果，这凸显了智能体安全防线的脆弱性。

3）构建了从“框架”到“落地”的完整闭环。许多安全框架停留在理论层面，而本白皮书成功地将宏观的风险全景图，分解为五大可操作、可核查的测评重点，并进一步融入到一个包含目标、方法、度量和优化的动态闭环体系中。这种体系化、工程化的思路，使得安全测评不再是孤立的活动，而是可以嵌入到AI系统全生命周期开发运维（MLOps/AIOps）流程中的常态化实践。

4）强调了“治理可追溯性”作为责任基石。在AI系统日益复杂、多方参与（模型开发者、框架提供方、API服务商）的背景下，一旦发生安全事故，如何快速定位责任主体成为难题。白皮书将“全链路日志完整性”和“供应链可追溯”作为运行态系统安全的核心，这不仅是技术要求，更是建立可信AI生态的法律和商业基础。这与软件物料清单（SBOM）的理念一脉相承，并扩展到了AI特有的数据和模型维度。

5）对中国乃至全球AI治理具有重大战略意义。该白皮书由中国官方权威机构发布，其提出的测评体系和标准，极有可能成为未来中国AI产品上市、备案和监管的事实上的国家标准。它不仅为国内企业提供了清晰的安全合规路径，也为全球AI安全治理贡献了“中国方案”，特别是在平衡技术创新与风险管控、强调价值观对齐等方面，体现了鲜明的中国特色。