劉永東 張 瑤 王 淼

(國家工業(yè)信息安全發(fā)展研究中心 北京 100040)

1 人工智能算力基礎(chǔ)設(shè)施的內(nèi)涵

人工智能算力基礎(chǔ)設(shè)施是以軟硬件基礎(chǔ)設(shè)施為底層支撐,以算力、數(shù)據(jù)、算法等資源平臺(tái)為核心要素,實(shí)現(xiàn)算力生產(chǎn)調(diào)度、數(shù)據(jù)開放共享、算法開發(fā)調(diào)用等功能,支撐人工智能與各領(lǐng)域滲透融合的基礎(chǔ)設(shè)施體系,技術(shù)維度包含人工智能基礎(chǔ)軟硬件、算力平臺(tái)、數(shù)據(jù)集、算法倉庫等[1].人工智能算力基礎(chǔ)設(shè)施由于涉及層次多、分布范圍廣、接入設(shè)備繁雜、用戶數(shù)量多等特性,其安全問題也面臨多重維度,安全風(fēng)險(xiǎn)來源較為復(fù)雜.作為人工智能系統(tǒng)運(yùn)行的基礎(chǔ)載體,人工智能算力基礎(chǔ)設(shè)施應(yīng)明確其面臨的安全種類和風(fēng)險(xiǎn)來源,建立全面有效的安全防御體系,為人工智能系統(tǒng)安全保駕護(hù)航.

2 人工智能算力基礎(chǔ)設(shè)施安全發(fā)展的背景與意義

1) 人工智能算力基礎(chǔ)設(shè)施是大模型應(yīng)用發(fā)展的核心底座.

人工智能作為新一輪科技革命和產(chǎn)業(yè)變革的重要驅(qū)動(dòng)力量,正以其強(qiáng)大的賦能作用與各領(lǐng)域加速融合,應(yīng)用范圍不斷拓展,行業(yè)滲透率快速提升[2].隨著以ChatGPT為代表的大模型快速發(fā)展,大算力已成為影響人工智能發(fā)展與應(yīng)用的核心因素之一.近年來,人工智能算力基礎(chǔ)設(shè)施建設(shè)取得了長足進(jìn)展,通過構(gòu)建人工智能算力網(wǎng)絡(luò),保障大模型算力,提供普惠算力,在助力人工智能生態(tài)建設(shè)、推動(dòng)人工智能產(chǎn)業(yè)持續(xù)發(fā)展方面發(fā)揮著越來越重要的作用.

2) 人工智能算力基礎(chǔ)設(shè)施迫切需要提升自身安全風(fēng)險(xiǎn)管控能力.

在當(dāng)前復(fù)雜的安全形勢下,人工智能算力基礎(chǔ)設(shè)施由于其屬性多樣、節(jié)點(diǎn)復(fù)雜、用戶數(shù)量多以及人工智能自身脆弱性[3]等特性,在應(yīng)用過程中已暴露出數(shù)據(jù)模型竊取、對抗樣本攻擊、節(jié)點(diǎn)不可信等安全問題,帶來了更加復(fù)雜多樣的安全風(fēng)險(xiǎn),使得人工智能算力基礎(chǔ)設(shè)施在建設(shè)和運(yùn)營過程中面臨更為嚴(yán)峻的安全挑戰(zhàn),同時(shí)影響了用戶對人工智能算力基礎(chǔ)設(shè)施的安全信任,阻礙了算力資源力充分釋放.

3) 人工智能算力基礎(chǔ)設(shè)施是提高人工智能安全水平的重要手段.

人工智能技術(shù)在快速發(fā)展的同時(shí),由于其算法黑箱性、數(shù)據(jù)依賴性、技術(shù)易濫用等特點(diǎn),導(dǎo)致過程難解釋、行為難預(yù)測、結(jié)果不可控,在應(yīng)用過程中已經(jīng)暴露出個(gè)人信息泄露、人臉數(shù)據(jù)濫用、實(shí)施詐騙活動(dòng)、自動(dòng)駕駛事故等安全問題,隨著人工智能與實(shí)體經(jīng)濟(jì)深度融合,這些風(fēng)險(xiǎn)將會(huì)進(jìn)一步疊加放大,給公共安全、道德倫理、社會(huì)治理等帶來挑戰(zhàn).人工智能算力基礎(chǔ)設(shè)施作為人工智能算法運(yùn)行的基礎(chǔ)環(huán)境,可通過提升物理、網(wǎng)絡(luò)、數(shù)據(jù)、算法等領(lǐng)域安全防范水平,提供安全檢測、評估、加固工具,為人工智能安全可信發(fā)展提供保障.

3 人工智能算力基礎(chǔ)設(shè)施安全體系架構(gòu)

3.1 總體框架

人工智能算力基礎(chǔ)設(shè)施安全指為人工智能算力基礎(chǔ)設(shè)施建立和采用的技術(shù)和管理層面的安全保護(hù),目的是保護(hù)人工智能算力基礎(chǔ)設(shè)施硬件、軟件、人工智能數(shù)據(jù)模型等不受到破壞、更改和泄露,保障為人工智能系統(tǒng)提供安全的算力和運(yùn)行環(huán)境.人工智能算力基礎(chǔ)設(shè)施安全具有3重屬性:一是基建屬性.作為“基礎(chǔ)設(shè)施”,人工智能算力基礎(chǔ)設(shè)施應(yīng)對其穩(wěn)定性、可用性、可靠性等自身安全提供保障.二是技術(shù)屬性.作為“AI算力”,人工智能算力基礎(chǔ)設(shè)施應(yīng)對部署在其之上的人工智能系統(tǒng)的運(yùn)行安全提供保障.三是公共屬性.作為“公共設(shè)施”,人工智能算力基礎(chǔ)設(shè)施應(yīng)對人工智能產(chǎn)品、系統(tǒng)和企業(yè)提升安全管理能力、降低安全風(fēng)險(xiǎn)、助力合法合規(guī)提供安全服務(wù).

人工智能算力基礎(chǔ)設(shè)施安全不僅應(yīng)包括傳統(tǒng)算力基礎(chǔ)設(shè)施的物理安全、網(wǎng)絡(luò)安全、算力環(huán)境安全等方面,還應(yīng)能夠保障人工智能的數(shù)據(jù)、模型不被竊取和攻擊,并通過提供相關(guān)工具,幫助提升人工智能算法和系統(tǒng)的安全風(fēng)險(xiǎn)應(yīng)對能力.具體來看,人工智能算力基礎(chǔ)設(shè)施應(yīng)從強(qiáng)化自身安全、保障運(yùn)行安全、助力安全合規(guī)3個(gè)方面發(fā)力,通過強(qiáng)化自身的可靠性、可用性與穩(wěn)定性,保障算法運(yùn)行時(shí)的可信度與準(zhǔn)確度,提升用戶的可靠性、可用性、穩(wěn)定性、機(jī)密性、完整性、管控力、認(rèn)可度和合規(guī)性8個(gè)方面,筑牢人工智能安全防線,打造可信、可用、好用的人工智能算力底座,營造安全、健康的人工智能產(chǎn)業(yè)生態(tài).人工智能算力基礎(chǔ)設(shè)施安全體系架構(gòu)如圖1所示:

圖1 人工智能算力基礎(chǔ)設(shè)施安全體系架構(gòu)

3.2 強(qiáng)化自身安全

強(qiáng)化自身安全是指人工智能算力基礎(chǔ)設(shè)施應(yīng)保障自身安全、穩(wěn)定運(yùn)行.

1) 筑牢傳統(tǒng)安全,保障可靠性.

傳統(tǒng)安全是人工智能算力基礎(chǔ)設(shè)施正常運(yùn)行的基礎(chǔ),包括物理安全[4]、網(wǎng)絡(luò)通信安全[5]、計(jì)算環(huán)境安全和數(shù)據(jù)應(yīng)用安全等.物理安全是人工智能算力基礎(chǔ)設(shè)施安全的根本保障,直接影響到人工智能系統(tǒng)的可靠性、保密性、完整性、可用性等,應(yīng)著重在設(shè)備物理安全、環(huán)境物理安全、系統(tǒng)物理安全3方面加大安全防護(hù)力度.網(wǎng)絡(luò)通信是人工智能算力基礎(chǔ)設(shè)施的基礎(chǔ)功能,直接關(guān)系到用戶的遠(yuǎn)程訪問使用和數(shù)據(jù)傳輸,應(yīng)圍繞網(wǎng)絡(luò)結(jié)構(gòu)、訪問控制、攻擊防范3方面重點(diǎn)進(jìn)行保障.計(jì)算環(huán)境安全是指為保障人工智能算力基礎(chǔ)設(shè)施計(jì)算環(huán)境不被入侵或植入惡意程序采取的措施,應(yīng)注重計(jì)算環(huán)境安全保障,在用戶身份鑒別、惡意程序防范、環(huán)境安全審計(jì)方面重點(diǎn)開展防護(hù).數(shù)據(jù)應(yīng)用安全是指人工智能算力基礎(chǔ)設(shè)施為保護(hù)數(shù)據(jù)在應(yīng)用過程中不被破壞、更改和泄露而采取的措施,應(yīng)重點(diǎn)關(guān)注數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù).

2) 提升算力網(wǎng)絡(luò)安全,增強(qiáng)可用性.

人工智能算力網(wǎng)絡(luò)[6]將各地分布的人工智能算力基礎(chǔ)設(shè)施節(jié)點(diǎn)聯(lián)接起來,構(gòu)成多個(gè)算力節(jié)點(diǎn)間的感知、分配、調(diào)度網(wǎng)絡(luò),彈性滿足全網(wǎng)范圍內(nèi)的算力需求,匯聚和共享數(shù)據(jù)、模型等人工智能資源,有助于推動(dòng)構(gòu)建區(qū)域范圍乃至全國范圍的人工智能產(chǎn)業(yè)生態(tài)網(wǎng)絡(luò).人工智能算力基礎(chǔ)設(shè)施建設(shè)應(yīng)從節(jié)點(diǎn)可信認(rèn)證、算力網(wǎng)絡(luò)管理規(guī)范、行為審計(jì)溯源等方面加強(qiáng)算力網(wǎng)絡(luò)安全防護(hù),保障人工智能系統(tǒng)全程可溯、多方安全.在節(jié)點(diǎn)可信認(rèn)證方面,應(yīng)保證每個(gè)接入節(jié)點(diǎn)在硬件和軟件層面實(shí)現(xiàn)全流程安全認(rèn)證,實(shí)現(xiàn)全程安全可信;在算力網(wǎng)絡(luò)管理規(guī)范方面,應(yīng)建立統(tǒng)一安全管理規(guī)范,將不同節(jié)點(diǎn)納入統(tǒng)一管理體系,保障算力網(wǎng)絡(luò)管理安全合規(guī);在行為審計(jì)溯源方面,應(yīng)建設(shè)算力網(wǎng)絡(luò)協(xié)同行為安全記錄機(jī)制,實(shí)現(xiàn)多方算力行為可審計(jì)可溯源.

3) 注重供應(yīng)鏈安全,提升穩(wěn)定性.

人工智能算力基礎(chǔ)設(shè)施建設(shè)應(yīng)考慮加強(qiáng)技術(shù)自主創(chuàng)新,保障基礎(chǔ)軟硬件供應(yīng)鏈穩(wěn)定安全[7].一是安全穩(wěn)定的供應(yīng)鏈直接關(guān)系到人工智能算力基礎(chǔ)設(shè)施能否穩(wěn)定建設(shè)和運(yùn)營,若技術(shù)無法自主研發(fā)且供應(yīng)依賴于少數(shù)供應(yīng)商或供應(yīng)國,一旦基礎(chǔ)軟硬件斷供將對人工智能算力基礎(chǔ)設(shè)施造成重大打擊;二是基礎(chǔ)軟硬件的安全性直接關(guān)系到人工智能算力基礎(chǔ)設(shè)施安全性,安全的供應(yīng)鏈能夠防止基礎(chǔ)設(shè)施軟硬件被供應(yīng)方植入后門或存在其他未知風(fēng)險(xiǎn).人工智能算力基礎(chǔ)設(shè)施建設(shè)應(yīng)考慮建立自主標(biāo)準(zhǔn)規(guī)范體系,加強(qiáng)技術(shù)自主創(chuàng)新,打通技術(shù)壁壘,采用具有自主知識(shí)產(chǎn)權(quán)的通用處理器、人工智能專用處理器、高性能內(nèi)存、傳感器等基礎(chǔ)硬件和操作系統(tǒng)、數(shù)據(jù)庫、人工智能框架等基礎(chǔ)軟件,保障供應(yīng)鏈安全,提升基礎(chǔ)設(shè)施運(yùn)行穩(wěn)定性.

3.3 保障運(yùn)行安全

保障運(yùn)行安全是指人工智能算力基礎(chǔ)設(shè)施應(yīng)提供安全的運(yùn)行環(huán)境,保障人工智能系統(tǒng)的機(jī)密性和完整性.

1) 保護(hù)數(shù)據(jù)模型不被竊取,保障機(jī)密性.

在安全技術(shù)層面,應(yīng)著力研制人工智能算力基礎(chǔ)設(shè)施內(nèi)置用戶模型保護(hù)技術(shù),重點(diǎn)防御竊取攻擊.可在大規(guī)模人工智能算力基礎(chǔ)設(shè)施中,通過高性能加密技術(shù)、容器完整性保護(hù)、身份與權(quán)限分級嚴(yán)格管理等手段,構(gòu)建全程可信賴的安全運(yùn)行環(huán)境,有效保護(hù)數(shù)據(jù)和模型所有者對其核心資產(chǎn)的所有權(quán).在安全制度層面,應(yīng)當(dāng)完善人工智能算力基礎(chǔ)設(shè)施內(nèi)部安全管理規(guī)章體系.應(yīng)圍繞技術(shù)和管理規(guī)范并重的核心思想,加強(qiáng)人工智能算力基礎(chǔ)設(shè)施的內(nèi)部信息安全規(guī)范體系構(gòu)建,包括建立明確的責(zé)任分工機(jī)制和授權(quán)機(jī)制,配備符合條件的人員,加強(qiáng)定期培訓(xùn),嚴(yán)格確保相關(guān)人員按照既定政策、程序和權(quán)限履行職責(zé),保障數(shù)據(jù)、模型在使用、銷毀等各環(huán)節(jié)不被竊取.

2) 防范數(shù)據(jù)模型遭受惡意攻擊,保障完整性.

人工智能算法模型在運(yùn)行過程中往往會(huì)遭受多種形式的惡意攻擊,導(dǎo)致模型產(chǎn)生錯(cuò)誤的運(yùn)行結(jié)果,若應(yīng)用于醫(yī)療診斷、自動(dòng)駕駛等領(lǐng)域,可能會(huì)對生命財(cái)產(chǎn)安全帶來嚴(yán)重影響.人工智能算力基礎(chǔ)設(shè)施所提供的算力服務(wù)環(huán)境應(yīng)針對主流惡意攻擊風(fēng)險(xiǎn)提供相應(yīng)的預(yù)警和響應(yīng)機(jī)制,如數(shù)據(jù)投毒攻擊、后門攻擊、漏洞攻擊、對抗樣本攻擊、深度偽造等的檢測與防御[8].

3.4 助力安全合規(guī)

助力安全合規(guī)是指人工智能算力基礎(chǔ)設(shè)施應(yīng)對人工智能產(chǎn)品、系統(tǒng)和企業(yè)提升安全管理能力、降低安全風(fēng)險(xiǎn)、助力合法合規(guī)提供安全服務(wù).

1) 提供安全檢測能力,助力用戶加強(qiáng)安全管控力.

人工智能算力基礎(chǔ)設(shè)施應(yīng)圍繞數(shù)據(jù)集完整性、準(zhǔn)確性以及算法公平性、魯棒性、可解釋性等重點(diǎn)領(lǐng)域,為用戶提供安全檢測工具,幫助用戶提升安全風(fēng)險(xiǎn)識(shí)別和管理能力,在數(shù)據(jù)準(zhǔn)備、模型訓(xùn)練、系統(tǒng)運(yùn)行等全流程檢查人工智能產(chǎn)品的安全風(fēng)險(xiǎn).例如,華為提出了MindArmour安全可信工具包,針對模型魯棒性、用戶隱私風(fēng)險(xiǎn)、數(shù)據(jù)漂移等功能提供了相應(yīng)檢測工具.魯棒性檢測工具方面,提供了多種對抗樣本生成、檢測和防御方法以及攻防評測指標(biāo),可從惡意攻擊角度測評模型以及非惡意擾動(dòng)角度評測模型魯棒性.

2) 提供安全評估能力,助力用戶提升安全認(rèn)可度.

人工智能算力基礎(chǔ)設(shè)施應(yīng)通過提供自評估工具、引入第三方評估等手段幫助用戶對其人工智能產(chǎn)品的安全問題及合規(guī)風(fēng)險(xiǎn)開展評估及認(rèn)證,增強(qiáng)該產(chǎn)品的安全認(rèn)可度.評估工具可在人工智能系統(tǒng)開發(fā)、部署的早期階段就幫助企業(yè)評估其安全管理能力,并幫助用戶建立完善且具有針對性的管理制度,通過持續(xù)執(zhí)行和監(jiān)督促進(jìn)制度的落實(shí),確保負(fù)責(zé)任地開發(fā)、部署和維護(hù)人工智能系統(tǒng).

3) 提供安全增強(qiáng)能力,助力用戶增強(qiáng)安全合規(guī)性.

安全增強(qiáng)是指人工智能算力基礎(chǔ)設(shè)施通過提供一定服務(wù),幫助用戶增強(qiáng)人工智能系統(tǒng)的安全合規(guī)性,主要包括可信審計(jì)工具、隱私計(jì)算工具等.安全增強(qiáng)服務(wù)可由人工智能算力基礎(chǔ)設(shè)施自身提供,也可由第三方安全服務(wù)商提供,相關(guān)工具集成至人工智能算力基礎(chǔ)設(shè)施,在人工智能系統(tǒng)開發(fā)、運(yùn)行等階段,用戶可以選擇不同方向、不同程度的安全增強(qiáng)服務(wù)對自身人工智能系統(tǒng)進(jìn)行安全增強(qiáng),進(jìn)一步提高人工智能系統(tǒng)安全合規(guī)性.

4 人工智能算力基礎(chǔ)設(shè)施安全發(fā)展建議

1) 加快標(biāo)準(zhǔn)研制,構(gòu)建基礎(chǔ)設(shè)施安全與人工智能安全相融合的標(biāo)準(zhǔn)體系.

一是亟需制定人工智能算力基礎(chǔ)設(shè)施安全相關(guān)技術(shù)標(biāo)準(zhǔn)并加快推動(dòng)標(biāo)準(zhǔn)落地,明確人工智能算力基礎(chǔ)設(shè)施安全的基準(zhǔn)指標(biāo),使人工智能算力基礎(chǔ)設(shè)施在能力水平、安全要求等方面滿足一定準(zhǔn)則,有效保障人工智能算法訓(xùn)練、運(yùn)行過程中的環(huán)境安全;二是加快建設(shè)人工智能算力基礎(chǔ)設(shè)施保障運(yùn)行安全和助力安全合規(guī)等方面的相關(guān)標(biāo)準(zhǔn),幫助提升人工智能算法安全性,促進(jìn)基礎(chǔ)設(shè)施安全與人工智能安全相融合,推動(dòng)形成行業(yè)健康發(fā)展的良性循環(huán).

2) 加強(qiáng)技術(shù)攻關(guān),推動(dòng)人工智能安全工具與人工智能算力基礎(chǔ)設(shè)施集成.

一是要加快安全檢測、安全評估、安全加固等相關(guān)技術(shù)工具研發(fā).應(yīng)圍繞數(shù)據(jù)安全、算法公平、隱私保護(hù)等問題突出的領(lǐng)域,大力開發(fā)安全技術(shù)工具[9],加快推動(dòng)人工智能算力基礎(chǔ)設(shè)施安全保障及安全工具技術(shù)的創(chuàng)新和演進(jìn).二是要推動(dòng)相關(guān)技術(shù)工具嵌入和集成到人工智能算力基礎(chǔ)設(shè)施中,鼓勵(lì)基礎(chǔ)設(shè)施企業(yè)和算法企業(yè)加強(qiáng)合作,通過提供安全的算力基礎(chǔ)設(shè)施,為算法開發(fā)者提供安全、可信的算力環(huán)境,通過集成相關(guān)技術(shù)工具支持模型、數(shù)據(jù)和應(yīng)用的安全,有效降低企業(yè)部署和應(yīng)用安全人工智能系統(tǒng)的門檻.

3) 建立管理制度,形成管理手段與技術(shù)手段相結(jié)合的安全發(fā)展良好氛圍.

人工智能算力基礎(chǔ)設(shè)施面臨的安全風(fēng)險(xiǎn)多種多樣,僅通過技術(shù)手段難以覆蓋眾多風(fēng)險(xiǎn)種類,還需要通過管理手段,將安全策略和安全控制融入到人工智能算力基礎(chǔ)設(shè)施設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)的生命周期各階段.一是完善安全管理規(guī)章體系,明確人工智能算力基礎(chǔ)設(shè)施建設(shè)與運(yùn)營各方的安全主體責(zé)任并推動(dòng)責(zé)任落實(shí),通過開展安全防護(hù)檢查與風(fēng)險(xiǎn)評估,及時(shí)排查各類安全問題隱患.二是人工智能算力基礎(chǔ)設(shè)施平臺(tái)可通過提供人工智能安全可信度評估、鼓勵(lì)安全風(fēng)險(xiǎn)自查等,幫助算法企業(yè)發(fā)現(xiàn)安全風(fēng)險(xiǎn)并改進(jìn),推動(dòng)人工智能產(chǎn)品研發(fā)設(shè)計(jì)、測試開發(fā)、部署上線、運(yùn)行維護(hù)、退役下線等全生命周期安全發(fā)展.

5 結(jié) 語

在政策推動(dòng)與人工智能發(fā)展需求的牽引下,人工智能算力基礎(chǔ)設(shè)施迅速落地發(fā)展,算力網(wǎng)絡(luò)逐漸形成,在助力人工智能生態(tài)建設(shè)、保障人工智能產(chǎn)業(yè)持續(xù)發(fā)展方面發(fā)揮著越來越重要的作用.然而,人工智能算力基礎(chǔ)設(shè)施在應(yīng)用過程中也逐漸暴露出數(shù)據(jù)模型竊取、對抗樣本攻擊、節(jié)點(diǎn)不可信等安全問題,帶來嚴(yán)峻的安全挑戰(zhàn),構(gòu)建安全的人工智能算力基礎(chǔ)設(shè)施迫在眉睫.本文從強(qiáng)化自身安全、保障運(yùn)行安全、助力安全合規(guī)3方面提出了人工智能算力基礎(chǔ)設(shè)施安全體系架構(gòu),建議從加快標(biāo)準(zhǔn)研制、加強(qiáng)技術(shù)攻關(guān)、建立管理制度等方面入手,更好應(yīng)對和解決人工智能算力基礎(chǔ)設(shè)施面臨的安全問題,打造安全的人工智能算力底座,夯實(shí)我國人工智能產(chǎn)業(yè)健康發(fā)展的基礎(chǔ),為人工智能產(chǎn)業(yè)安全發(fā)展保駕護(hù)航.