点击链接下载查看完整版内容👉:《阿里云安全白皮书(2024版)》
点击链接下载查看上文👉:带你读《阿里云安全白皮书》(二十三)——云上安全建设最佳实践
迎接未来:AI 大模型云上安全最佳实践
ChatGPT 的问世和成功引领生成式人工智能的蓬勃发展,各类 AI 大模型产品如雨后春笋般涌现, 正在各行各业积极探索应用落地场景。其中不乏 Perplexity 这样挑战 Google 搜索地位的新星、 妙鸭相机这样的爆火应用。
在 AI 大模型产品快速发展的前提下,如何保护各方数据安全与主权,并有效地帮助客户应对由这 些技术带来的算法安全和内容安全风险,已成为 AI 大模型时代云平台面临的关键命题,也是对数 智化基础设施的重大挑战。
1 AI 大模型关键安全风险
阿里云同时拥有领先的云计算业务与先进的大模型技术,基于自身 AI 大模型的安全建设实践,阿 里云希望能将这一未来重点领域的安全风险洞察、解决方案分享给社会。
一款 AI 大模型产品需经历数据准备、模型训练与微调、模型部署、模型运行阶段,在这些阶段过 程中,面临着众多威胁与挑战,其中四项关键挑战为:
- 数据安全挑战:
为了使通用模型在特定领域实现更好的智能,企业需要对其自身业务数据进行 提炼,并通过微调等技术将这些数据融入到模型中。鉴于这类数据对企业至关 重要,在数据的收集、清洗、分析及存储过程中,都需要有完善的安全机制进 行保障。
模型在线上运行服务期间,用户的 Prompt 输入及其返回的内容可能涉及用 户的隐私。因此,如何保障用户隐私不被侵犯成为 AI 大模型类产品的核心挑 战之一。
- 模型安全挑战:
模型承载了对数据的“记忆”,因此模型一旦泄露,等同于训练数据的泄露。 而模型在研发、部署阶段,大量的一线员工具备模型的访问权限,同时生产环 境也面临着与传统信息系统一样的外部入侵威胁。一旦系统存在可被入侵的漏 洞,就可能导致模型被外部攻击者窃取,从而间接导致参与训练的敏感数据泄露。
- 内容安全挑战:
生成式人工智能如果训练不当、使用不当,可能造成虚假信息与违法不良信息 的传播,甚至成为诈骗分子的非法牟利工具。其输出内容也可能存在违法违规、 违背道德伦理、内容失实、偏见歧视等问题。
- 合规性挑战:
在全球监管合规体系逐渐健全的趋势下,AI 大模型应用要遵守各地域各行业 的合规要求,由于训练推理过程中需接触大规模数据,其在数据隐私合规领域 的挑战尤为明显。除此之外,由于其技术的独特性,全球各国监管仍在积极探 索针对 AI 大模型的监管合规政策,AI 大模型需及时响应最新的监管合规要求, 在监督下有序发展。
为了帮助客户快速且安全地发展,我们也在关键环节推出了一系列产品功能, 以助力企业更好地应对 AI 大模型时代的安全挑战。
2 安全解决方案
2.1 数据安全
数据是实现 AI 大模型应用成功的三要素之一,要开发出强大的大模型应用,就需要将场景相关的 数据投喂给 AI 大模型应用来进行训练、对齐、微调。因此, 保护这些数据的安全性以及确保数据 持有方通过云平台进行模型训练过程中的数据主权就变得尤为重要。
2.1.1 百炼推理链路加密
为实现对数据安全的保护,阿里云基于百炼 MaaS 平台,设计实施了一系列 数据安全防护方案,包括专有网络访问通道、Prompt 加密、数据存储、应用 层传输加密、存储加密:
- 私有链接传输
为保障传输过程中网络信道安全问题,防止公网传输数据泄露,用户的推理调 用、数据访问使用阿里云 Private Link 在用户自己 VPC 和百炼间创建私有 链接,通过专网即可访问用户的存储实例完成训练、微调、推理等任务。且 VPC 提供网络流量监控与接口日志审计能力,可结合网络安全设备监控异常 调用、专网攻击等恶意行为,提供专网保护。
- Prompt 加密
针对模型推理服务(纯模型调用、RAG 应用、Agent 应用)提供全链路的 加密方案。用户输入提示词 prompt 和模型生成的答案全程不可见。解密 只会发生在两个地方:根据用户输入 prompt 进行 RAG 片段召回、大模型 用 prompt 生成答案时。百炼保证在客户授权情况下,遵循最小必要原则对 prompt 进行解密和使用,并且该过程只在内存中瞬间存在,不做任何的持久 化存储。整体加密过程如右图所示:
- 应用层传输加密
在安全网络协议方面,为防止中间人、嗅探等网络攻击手段获取到用户与大模 型服务,阿里云百炼通过支持应用层使用 HTTPS 协议进行安全数据加密传 输以及采用传输层安全性 TLS 协议,为云服务和用户之间的数据传输提供保 障。TLS 可提供严格的身份验证、消息隐私性和完整性保障,能够有效检测 消息篡改、拦截和伪造行为。
- 存储加密
百炼平台模型推理、训练、RAG 应用的用户数据均支持外接存储部署方式, 支持外接 OSS、ES、ADB、SLS。数据采集过程支持外接归属于客户的数 据库实例,用户对数据 100% 完全自主可控。这些产品支持使用服务密钥和 客户自选密钥作为主密钥进行数据加密,满足敏感数据密态存储的需要,可降 低数据泄露。
2.2 可信计算与机密计算能力
客户将数据托管到云平台,背后意味着对云平台的信任。阿里云承诺保障客户数据主权,并积极 探索从技术角度,根本性保障客户数据主权及机密性的机制。
阿里云具备完整的可信计算、机密计算基础储备,产品技术矩阵如下:
通过利用 IaaS 层级的机密计算能力,可以为大模型服务提供端到端的、覆盖 模型数据全生命周期的通用数据保护方案,保护客户运行时的数据机密性。在 机密计算能力的保护下,阿里云内部的管控服务、运维人员等也无法看到用户 输入的提示词 prompt、RAG 文档、微调后的模型等。
在先进的技术基础上,阿里云还与生态伙伴一起探索更上层的合作伙伴。蚂蚁 数科团队基于阿里云 ECS 机密计算、计算巢等基础能力,提供了面向 LLM 的大模型密态计算基座产品 MAPPIC,进一步为 AI 大模型应用安全提供支撑。
2.3 内容安全
目前,AI 大模型技术在自然语言对话场景中得到了广泛的应用。在内容安全方面,需要确保输出 内容的社会安全性,包括是否合法合规、是否遵守道德伦理和公序良俗等,具体表现在防止出现 违法不良信息、内容失实、偏见歧视以及违反伦理道德等。
阿里云为此建立了完整的大模型内容安全解决方案:
- 训练语料数据去毒
为进一步提升定制用户的模型训练和测试、知识库数据及模型训练微调质量, 防止针对模型数据集投毒攻击,除百炼内置阿里绿网提供内容安全能力,支持 对用户自有的 OSS 资源中多种违规内容(例如涉黄、暴力、违法等)的实时 监控、检测和拦截。
此外,数据安全中心 / 内容安全提供了覆盖图片、视频、语音、文字等多媒体 的内容风险检测的能力,帮助用户发现暴恐、色情、涉黄、暴力、惊悚、敏感、 禁限、广告、辱骂等风险内容或元素,支持对训练语料进行拦截或清洗。
- Prompt 问答护栏
为了满足更高安全需求的用户,数据安全中心(sddp)/ 内容安全可进一步提 升实时提问管控能力,进行风险异常识别,支持意图识别,实时过滤伦理、价 值观、个人敏感数据,进行安全问答阻断。可根据用户需求,构建安全知识库 与专项知识库,实现数据安全规则灵活自定义与风险决策。
全流程内容安全保障
若企业对于内容安全防护具备更高的定制需求,也可以使用阿里云的大语言模 型内容安全解决方案,在自建系统中集成内容安全产品 API,实现覆盖“样本 和训练管理”“模型应用”“举报与处置”“审核优化”四大阶段的内容安全 整体治理。
2.4 模型安全
保护模型本身的安全,与其它信息系统的基础安全保障类似,需通过一系列流程与解决方案,确 保系统漏洞不被外部攻击者恶意利用。
对于云平台,阿里云通过“全流程产品安全流程”与“红蓝对抗”切实保障了云平台本身的安全水位。
对于部署在云上的大模型系统,可使用云上弹性可扩展的安全防护能力,体系化地完成生产网、 办公网安全建设。并通过云安全中心等产品,及时发现并治理线上风险。
2.5 合规性
阿里云同时拥有先进的大模型 AI 技术与云平台产品,在合规性建设方面,一方面积极跟进自身合 规性建设,另一方面也在帮助云上客户完成大模型服务合规性建设。
为了进一步帮助客户更好满足《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成 管理规定》《生成式人工智能服务管理暂行办法》等监管要求,阿里云通过安全产品为客户提供 算法及模型备案需要的安全技术能力,同时为客户提供作为服务提供者的互联网信息服务算法备 案、生成式人工智能服务备案两项咨询服务,帮助客户更好合法合规开展互联网信息服务业务。
针对用户使用百炼进行微调后的模型,阿里云内容安全产品在模型评测阶段,提供安全性专项测 试服务,帮助用户了解大模型对输入、输出内容的风险防控水位。另外可提供内容安全算法备案号, 帮助客户简化备案过程。
