点击链接下载查看完整版内容👉：《阿里云安全白皮书（2024版）》

点击链接下载查看上文👉：带你读《阿里云安全白皮书》（二十三）——云上安全建设最佳实践

迎接未来：AI 大模型云上安全最佳实践

ChatGPT 的问世和成功引领生成式人工智能的蓬勃发展，各类 AI 大模型产品如雨后春笋般涌现， 正在各行各业积极探索应用落地场景。其中不乏 Perplexity 这样挑战 Google 搜索地位的新星、  妙鸭相机这样的爆火应用。

在 AI 大模型产品快速发展的前提下，如何保护各方数据安全与主权，并有效地帮助客户应对由这 些技术带来的算法安全和内容安全风险，已成为 AI 大模型时代云平台面临的关键命题，也是对数 智化基础设施的重大挑战。

1 AI 大模型关键安全风险

 

阿里云同时拥有领先的云计算业务与先进的大模型技术，基于自身 AI 大模型的安全建设实践，阿 里云希望能将这一未来重点领域的安全风险洞察、解决方案分享给社会。

一款 AI 大模型产品需经历数据准备、模型训练与微调、模型部署、模型运行阶段，在这些阶段过 程中，面临着众多威胁与挑战，其中四项关键挑战为：

-    数据安全挑战：

为了使通用模型在特定领域实现更好的智能，企业需要对其自身业务数据进行 提炼，并通过微调等技术将这些数据融入到模型中。鉴于这类数据对企业至关 重要，在数据的收集、清洗、分析及存储过程中，都需要有完善的安全机制进 行保障。

模型在线上运行服务期间，用户的 Prompt 输入及其返回的内容可能涉及用 户的隐私。因此，如何保障用户隐私不被侵犯成为 AI 大模型类产品的核心挑 战之一。

-    模型安全挑战：

模型承载了对数据的“记忆”，因此模型一旦泄露，等同于训练数据的泄露。   而模型在研发、部署阶段，大量的一线员工具备模型的访问权限，同时生产环  境也面临着与传统信息系统一样的外部入侵威胁。一旦系统存在可被入侵的漏  洞，就可能导致模型被外部攻击者窃取，从而间接导致参与训练的敏感数据泄露。

-    内容安全挑战：

生成式人工智能如果训练不当、使用不当，可能造成虚假信息与违法不良信息  的传播，甚至成为诈骗分子的非法牟利工具。其输出内容也可能存在违法违规、 违背道德伦理、内容失实、偏见歧视等问题。

-    合规性挑战：

在全球监管合规体系逐渐健全的趋势下，AI 大模型应用要遵守各地域各行业  的合规要求，由于训练推理过程中需接触大规模数据，其在数据隐私合规领域  的挑战尤为明显。除此之外，由于其技术的独特性，全球各国监管仍在积极探  索针对 AI 大模型的监管合规政策，AI 大模型需及时响应最新的监管合规要求， 在监督下有序发展。

为了帮助客户快速且安全地发展，我们也在关键环节推出了一系列产品功能， 以助力企业更好地应对 AI 大模型时代的安全挑战。

2 安全解决方案

 

2.1 数据安全

 

数据是实现 AI 大模型应用成功的三要素之一，要开发出强大的大模型应用，就需要将场景相关的 数据投喂给 AI 大模型应用来进行训练、对齐、微调。因此，  保护这些数据的安全性以及确保数据 持有方通过云平台进行模型训练过程中的数据主权就变得尤为重要。

2.1.1 百炼推理链路加密

为实现对数据安全的保护，阿里云基于百炼 MaaS 平台，设计实施了一系列 数据安全防护方案，包括专有网络访问通道、Prompt 加密、数据存储、应用 层传输加密、存储加密：

 

-    私有链接传输

为保障传输过程中网络信道安全问题，防止公网传输数据泄露，用户的推理调 用、数据访问使用阿里云 Private Link 在用户自己 VPC 和百炼间创建私有 链接，通过专网即可访问用户的存储实例完成训练、微调、推理等任务。且 VPC 提供网络流量监控与接口日志审计能力，可结合网络安全设备监控异常 调用、专网攻击等恶意行为，提供专网保护。

 

-    Prompt 加密

针对模型推理服务（纯模型调用、RAG 应用、Agent 应用）提供全链路的 加密方案。用户输入提示词 prompt 和模型生成的答案全程不可见。解密 只会发生在两个地方：根据用户输入 prompt 进行 RAG 片段召回、大模型 用 prompt 生成答案时。百炼保证在客户授权情况下，遵循最小必要原则对 prompt 进行解密和使用，并且该过程只在内存中瞬间存在，不做任何的持久 化存储。整体加密过程如右图所示：

-    应用层传输加密

在安全网络协议方面，为防止中间人、嗅探等网络攻击手段获取到用户与大模 型服务，阿里云百炼通过支持应用层使用 HTTPS 协议进行安全数据加密传 输以及采用传输层安全性 TLS 协议，为云服务和用户之间的数据传输提供保 障。TLS 可提供严格的身份验证、消息隐私性和完整性保障，能够有效检测 消息篡改、拦截和伪造行为。

 

-    存储加密

百炼平台模型推理、训练、RAG 应用的用户数据均支持外接存储部署方式， 支持外接 OSS、ES、ADB、SLS。数据采集过程支持外接归属于客户的数 据库实例，用户对数据 100% 完全自主可控。这些产品支持使用服务密钥和 客户自选密钥作为主密钥进行数据加密，满足敏感数据密态存储的需要，可降 低数据泄露。

2.2 可信计算与机密计算能力

客户将数据托管到云平台，背后意味着对云平台的信任。阿里云承诺保障客户数据主权，并积极 探索从技术角度，根本性保障客户数据主权及机密性的机制。

阿里云具备完整的可信计算、机密计算基础储备，产品技术矩阵如下：

通过利用 IaaS 层级的机密计算能力，可以为大模型服务提供端到端的、覆盖 模型数据全生命周期的通用数据保护方案，保护客户运行时的数据机密性。在 机密计算能力的保护下，阿里云内部的管控服务、运维人员等也无法看到用户 输入的提示词 prompt、RAG 文档、微调后的模型等。

在先进的技术基础上，阿里云还与生态伙伴一起探索更上层的合作伙伴。蚂蚁  数科团队基于阿里云 ECS 机密计算、计算巢等基础能力，提供了面向 LLM  的大模型密态计算基座产品 MAPPIC，进一步为 AI 大模型应用安全提供支撑。

2.3 内容安全

目前，AI 大模型技术在自然语言对话场景中得到了广泛的应用。在内容安全方面，需要确保输出 内容的社会安全性，包括是否合法合规、是否遵守道德伦理和公序良俗等，具体表现在防止出现 违法不良信息、内容失实、偏见歧视以及违反伦理道德等。

阿里云为此建立了完整的大模型内容安全解决方案：

 

-    训练语料数据去毒

为进一步提升定制用户的模型训练和测试、知识库数据及模型训练微调质量， 防止针对模型数据集投毒攻击，除百炼内置阿里绿网提供内容安全能力，支持 对用户自有的 OSS 资源中多种违规内容（例如涉黄、暴力、违法等）的实时 监控、检测和拦截。

此外，数据安全中心 / 内容安全提供了覆盖图片、视频、语音、文字等多媒体  的内容风险检测的能力，帮助用户发现暴恐、色情、涉黄、暴力、惊悚、敏感、 禁限、广告、辱骂等风险内容或元素，支持对训练语料进行拦截或清洗。

 

-    Prompt 问答护栏

为了满足更高安全需求的用户，数据安全中心（sddp）/ 内容安全可进一步提 升实时提问管控能力，进行风险异常识别，支持意图识别，实时过滤伦理、价 值观、个人敏感数据，进行安全问答阻断。可根据用户需求，构建安全知识库 与专项知识库，实现数据安全规则灵活自定义与风险决策。

 全流程内容安全保障

若企业对于内容安全防护具备更高的定制需求，也可以使用阿里云的大语言模 型内容安全解决方案，在自建系统中集成内容安全产品 API，实现覆盖“样本 和训练管理”“模型应用”“举报与处置”“审核优化”四大阶段的内容安全 整体治理。

2.4 模型安全

保护模型本身的安全，与其它信息系统的基础安全保障类似，需通过一系列流程与解决方案，确 保系统漏洞不被外部攻击者恶意利用。

对于云平台，阿里云通过“全流程产品安全流程”与“红蓝对抗”切实保障了云平台本身的安全水位。

对于部署在云上的大模型系统，可使用云上弹性可扩展的安全防护能力，体系化地完成生产网、 办公网安全建设。并通过云安全中心等产品，及时发现并治理线上风险。

2.5 合规性

阿里云同时拥有先进的大模型 AI 技术与云平台产品，在合规性建设方面，一方面积极跟进自身合 规性建设，另一方面也在帮助云上客户完成大模型服务合规性建设。

为了进一步帮助客户更好满足《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成 管理规定》《生成式人工智能服务管理暂行办法》等监管要求，阿里云通过安全产品为客户提供 算法及模型备案需要的安全技术能力，同时为客户提供作为服务提供者的互联网信息服务算法备 案、生成式人工智能服务备案两项咨询服务，帮助客户更好合法合规开展互联网信息服务业务。

针对用户使用百炼进行微调后的模型，阿里云内容安全产品在模型评测阶段，提供安全性专项测  试服务，帮助用户了解大模型对输入、输出内容的风险防控水位。另外可提供内容安全算法备案号， 帮助客户简化备案过程。