当全球都在热议AI带来的安全风险时,一个关键问题却被普遍忽视:AI系统的运行逻辑,从本质上就要求暴露其最核心的资产——模型与数据。不同于传统软件仅需执行预设逻辑,AI系统需要持续将专有模型与敏感输入融合以生成输出,而承载这些计算的基础设施,往往并非为保护动态计算过程设计。这一特性,让传统安全手段在AI面前显得捉襟见肘,也让运行时防护的价值愈发凸显。
### 传统AI安全的盲区:被忽视的运行时风险
当前多数AI安全讨论仍围绕着训练数据治理、访问控制、API监控和用户责任政策展开,这些环节固然重要,但它们都未能触及AI部署后的核心风险。当模型离开仓库成为一个动态运行的系统时,其参数就不再是抽象的设计产物,而是驻留在内存中的活跃资产,会在推理过程中被持续调用,甚至在多租户共享的AI服务中被多方访问。
这种暴露发生在推理请求发起之前,敏感输入与外部可观测行为的叠加,进一步放大了风险。将模型保护视为部署前的工作、将推理安全视为运行时问题的割裂思路,显然不符合实际系统的运行逻辑。在真实场景中,模型与数据在初始化、执行和输出全流程中都处于暴露状态,仅依赖存储层面的安全控制,根本无法覆盖这些风险点。
### 主流标准的功与过:定义了风险,却未给出解决方案
作为AI风险管理的标杆,NIST的AI风险管理框架为企业提供了一套系统化的思路,其“治理、映射、度量、管理”的结构,为AI全生命周期的问责制、环境适配、影响评估和风险缓解提供了严谨的方法论。尤其值得肯定的是,它将AI风险定义为系统性风险,而非单一事件,指出AI故障往往源于模型、数据、人员与基础设施的交互,这一视角为理解AI安全奠定了重要基础。
但该框架的局限性也十分明显:它未能明确规定系统运行后高价值AI资产的保护方式,默认将模型参数视为设计阶段的产物,而非运行时需要保护的资产,同时假设执行环境是完全可信的。而在实际操作中,模型参数往往是企业最有价值的知识产权,它们会被加载到内存、跨节点复制、缓存和重复使用,如果AI风险管理未能覆盖部署和执行阶段的模型保密性,就如同将核心资产暴露在风险边界之外,任人宰割。
欧盟网络安全局(ENISA)的AI网络安全框架则更进一步,它区分了传统基础设施安全与AI特有的风险,承认AI系统的行为和故障模式与传统软件截然不同。这一点至关重要,因为AI带来了模型提取、参数泄露、共租户暴露和执行时篡改等新型威胁,这些风险并非来自高端攻击者,而是在高价值模型运行于共享或外部管理环境时自然产生的。
ENISA的框架隐含了一个重要认知:保护AI意味着保护其行为,而非仅仅是代码。但与大多数标准一样,它只关注需要考虑的风险点,并未给出模型运行后如何从技术层面实施防护的具体方案。
OWASP的大语言模型应用Top10榜单,则更具体地展现了AI系统在现实中的失效方式。提示注入、敏感信息泄露、嵌入泄露、过度输出透明等问题,并非理论上的担忧,而是部署强大模型却未限制其信息暴露的直接后果。这些问题看似是应用层的问题,但其影响却更为深远:模型行为的反复暴露可能导致被有效克隆,隔离不当的嵌入会泄露模型结构,推理滥用则可能成为模型复制的途径。OWASP的分类法清晰地表明:保护AI不仅要阻止恶意输入,更要限制模型运行时对内对外的信息暴露。
### 填补空白:运行时加密让安全从政策落地为现实
NIST、ENISA和OWASP等机构在AI安全的基础认知上已达成共识:AI风险贯穿全生命周期,AI系统带来了新的威胁类别,模型和数据是高价值资产,运行时暴露不可避免。但这些框架共同的短板是,未能提供模型部署和计算开始后执行保密性的机制。这并非标准本身的缺陷,因为标准的作用是定义目标和范围,具体实施通常留给系统设计者,但这也留下了一个随着AI系统规模化而不断扩大的关键空白。
运行时加密(Encryption-in-Use)为解决这一问题提供了新思路,它改变了传统的安全模型:不再假设数据和模型必须暴露才能发挥作用,而是将计算过程本身纳入保护范围。在实践中,这意味着模型在部署、初始化和执行过程中始终保持加密状态,输入数据在执行环境中永远不会以明文形式出现,中间状态无法被检查或修改,基础设施也不再需要被默认信任。
这种技术并非要取代治理框架或应用层控制,而是让它们真正落地,将风险原则转化为AI系统最脆弱时刻的可执行保障。换句话说,运行时加密是连接AI安全政策与现实之间缺失的那一层。
### 结语:重构AI安全的底层逻辑
AI安全的核心痛点在于运行时的暴露风险。一旦部署完成,AI模型和敏感数据必须驻留在内存中才能运行,这就形成了一个传统安全控制——静态加密、传输加密和治理框架——从未设计过的风险面。
NIST、ENISA和OWASP等标准机构在定义AI风险、问责制和滥用场景方面取得了重要进展,但它们的指导方针大多将模型视为设计阶段的产物,假设执行环境是可信的。而在现实中,模型参数和敏感输入在共享或外部管理的环境中被持续访问和复用,面临着极高的风险。
要填补这一空白,我们必须重新思考AI安全的本质:它不应仅仅是合规性工作,而是一个保护计算过程本身的问题——当模型处于活跃状态、数据正在被使用、暴露不可避免时的安全防护。运行时加密技术为实现这一目标提供了可行路径,它能够让AI模型和敏感输入在全生命周期内保持安全,真正解决AI安全的核心难题。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/ai-an-quan-biao-zhun-di-bian-jie-wei-he-yun-xing-shi-fang
