劉永東 張 瑤 王 淼

(國家工業(yè)信息安全發(fā)展研究中心 北京 100040)

1 人工智能算力基礎設施的內(nèi)涵

人工智能算力基礎設施是以軟硬件基礎設施為底層支撐,以算力、數(shù)據(jù)、算法等資源平臺為核心要素,實現(xiàn)算力生產(chǎn)調(diào)度、數(shù)據(jù)開放共享、算法開發(fā)調(diào)用等功能,支撐人工智能與各領域滲透融合的基礎設施體系,技術(shù)維度包含人工智能基礎軟硬件、算力平臺、數(shù)據(jù)集、算法倉庫等[1].人工智能算力基礎設施由于涉及層次多、分布范圍廣、接入設備繁雜、用戶數(shù)量多等特性,其安全問題也面臨多重維度,安全風險來源較為復雜.作為人工智能系統(tǒng)運行的基礎載體,人工智能算力基礎設施應明確其面臨的安全種類和風險來源,建立全面有效的安全防御體系,為人工智能系統(tǒng)安全保駕護航.

2 人工智能算力基礎設施安全發(fā)展的背景與意義

1) 人工智能算力基礎設施是大模型應用發(fā)展的核心底座.

人工智能作為新一輪科技革命和產(chǎn)業(yè)變革的重要驅(qū)動力量,正以其強大的賦能作用與各領域加速融合,應用范圍不斷拓展,行業(yè)滲透率快速提升[2].隨著以ChatGPT為代表的大模型快速發(fā)展,大算力已成為影響人工智能發(fā)展與應用的核心因素之一.近年來,人工智能算力基礎設施建設取得了長足進展,通過構(gòu)建人工智能算力網(wǎng)絡,保障大模型算力,提供普惠算力,在助力人工智能生態(tài)建設、推動人工智能產(chǎn)業(yè)持續(xù)發(fā)展方面發(fā)揮著越來越重要的作用.

2) 人工智能算力基礎設施迫切需要提升自身安全風險管控能力.

在當前復雜的安全形勢下,人工智能算力基礎設施由于其屬性多樣、節(jié)點復雜、用戶數(shù)量多以及人工智能自身脆弱性[3]等特性,在應用過程中已暴露出數(shù)據(jù)模型竊取、對抗樣本攻擊、節(jié)點不可信等安全問題,帶來了更加復雜多樣的安全風險,使得人工智能算力基礎設施在建設和運營過程中面臨更為嚴峻的安全挑戰(zhàn),同時影響了用戶對人工智能算力基礎設施的安全信任,阻礙了算力資源力充分釋放.

3) 人工智能算力基礎設施是提高人工智能安全水平的重要手段.

人工智能技術(shù)在快速發(fā)展的同時,由于其算法黑箱性、數(shù)據(jù)依賴性、技術(shù)易濫用等特點,導致過程難解釋、行為難預測、結(jié)果不可控,在應用過程中已經(jīng)暴露出個人信息泄露、人臉數(shù)據(jù)濫用、實施詐騙活動、自動駕駛事故等安全問題,隨著人工智能與實體經(jīng)濟深度融合,這些風險將會進一步疊加放大,給公共安全、道德倫理、社會治理等帶來挑戰(zhàn).人工智能算力基礎設施作為人工智能算法運行的基礎環(huán)境,可通過提升物理、網(wǎng)絡、數(shù)據(jù)、算法等領域安全防范水平,提供安全檢測、評估、加固工具,為人工智能安全可信發(fā)展提供保障.

3 人工智能算力基礎設施安全體系架構(gòu)

3.1 總體框架

人工智能算力基礎設施安全指為人工智能算力基礎設施建立和采用的技術(shù)和管理層面的安全保護,目的是保護人工智能算力基礎設施硬件、軟件、人工智能數(shù)據(jù)模型等不受到破壞、更改和泄露,保障為人工智能系統(tǒng)提供安全的算力和運行環(huán)境.人工智能算力基礎設施安全具有3重屬性:一是基建屬性.作為“基礎設施”,人工智能算力基礎設施應對其穩(wěn)定性、可用性、可靠性等自身安全提供保障.二是技術(shù)屬性.作為“AI算力”,人工智能算力基礎設施應對部署在其之上的人工智能系統(tǒng)的運行安全提供保障.三是公共屬性.作為“公共設施”,人工智能算力基礎設施應對人工智能產(chǎn)品、系統(tǒng)和企業(yè)提升安全管理能力、降低安全風險、助力合法合規(guī)提供安全服務.

人工智能算力基礎設施安全不僅應包括傳統(tǒng)算力基礎設施的物理安全、網(wǎng)絡安全、算力環(huán)境安全等方面,還應能夠保障人工智能的數(shù)據(jù)、模型不被竊取和攻擊,并通過提供相關(guān)工具,幫助提升人工智能算法和系統(tǒng)的安全風險應對能力.具體來看,人工智能算力基礎設施應從強化自身安全、保障運行安全、助力安全合規(guī)3個方面發(fā)力,通過強化自身的可靠性、可用性與穩(wěn)定性,保障算法運行時的可信度與準確度,提升用戶的可靠性、可用性、穩(wěn)定性、機密性、完整性、管控力、認可度和合規(guī)性8個方面,筑牢人工智能安全防線,打造可信、可用、好用的人工智能算力底座,營造安全、健康的人工智能產(chǎn)業(yè)生態(tài).人工智能算力基礎設施安全體系架構(gòu)如圖1所示:

圖1 人工智能算力基礎設施安全體系架構(gòu)

3.2 強化自身安全

強化自身安全是指人工智能算力基礎設施應保障自身安全、穩(wěn)定運行.

1) 筑牢傳統(tǒng)安全,保障可靠性.

傳統(tǒng)安全是人工智能算力基礎設施正常運行的基礎,包括物理安全[4]、網(wǎng)絡通信安全[5]、計算環(huán)境安全和數(shù)據(jù)應用安全等.物理安全是人工智能算力基礎設施安全的根本保障,直接影響到人工智能系統(tǒng)的可靠性、保密性、完整性、可用性等,應著重在設備物理安全、環(huán)境物理安全、系統(tǒng)物理安全3方面加大安全防護力度.網(wǎng)絡通信是人工智能算力基礎設施的基礎功能,直接關(guān)系到用戶的遠程訪問使用和數(shù)據(jù)傳輸,應圍繞網(wǎng)絡結(jié)構(gòu)、訪問控制、攻擊防范3方面重點進行保障.計算環(huán)境安全是指為保障人工智能算力基礎設施計算環(huán)境不被入侵或植入惡意程序采取的措施,應注重計算環(huán)境安全保障,在用戶身份鑒別、惡意程序防范、環(huán)境安全審計方面重點開展防護.數(shù)據(jù)應用安全是指人工智能算力基礎設施為保護數(shù)據(jù)在應用過程中不被破壞、更改和泄露而采取的措施,應重點關(guān)注數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復.

2) 提升算力網(wǎng)絡安全,增強可用性.

人工智能算力網(wǎng)絡[6]將各地分布的人工智能算力基礎設施節(jié)點聯(lián)接起來,構(gòu)成多個算力節(jié)點間的感知、分配、調(diào)度網(wǎng)絡,彈性滿足全網(wǎng)范圍內(nèi)的算力需求,匯聚和共享數(shù)據(jù)、模型等人工智能資源,有助于推動構(gòu)建區(qū)域范圍乃至全國范圍的人工智能產(chǎn)業(yè)生態(tài)網(wǎng)絡.人工智能算力基礎設施建設應從節(jié)點可信認證、算力網(wǎng)絡管理規(guī)范、行為審計溯源等方面加強算力網(wǎng)絡安全防護,保障人工智能系統(tǒng)全程可溯、多方安全.在節(jié)點可信認證方面,應保證每個接入節(jié)點在硬件和軟件層面實現(xiàn)全流程安全認證,實現(xiàn)全程安全可信;在算力網(wǎng)絡管理規(guī)范方面,應建立統(tǒng)一安全管理規(guī)范,將不同節(jié)點納入統(tǒng)一管理體系,保障算力網(wǎng)絡管理安全合規(guī);在行為審計溯源方面,應建設算力網(wǎng)絡協(xié)同行為安全記錄機制,實現(xiàn)多方算力行為可審計可溯源.

3) 注重供應鏈安全,提升穩(wěn)定性.

人工智能算力基礎設施建設應考慮加強技術(shù)自主創(chuàng)新,保障基礎軟硬件供應鏈穩(wěn)定安全[7].一是安全穩(wěn)定的供應鏈直接關(guān)系到人工智能算力基礎設施能否穩(wěn)定建設和運營,若技術(shù)無法自主研發(fā)且供應依賴于少數(shù)供應商或供應國,一旦基礎軟硬件斷供將對人工智能算力基礎設施造成重大打擊;二是基礎軟硬件的安全性直接關(guān)系到人工智能算力基礎設施安全性,安全的供應鏈能夠防止基礎設施軟硬件被供應方植入后門或存在其他未知風險.人工智能算力基礎設施建設應考慮建立自主標準規(guī)范體系,加強技術(shù)自主創(chuàng)新,打通技術(shù)壁壘,采用具有自主知識產(chǎn)權(quán)的通用處理器、人工智能專用處理器、高性能內(nèi)存、傳感器等基礎硬件和操作系統(tǒng)、數(shù)據(jù)庫、人工智能框架等基礎軟件,保障供應鏈安全,提升基礎設施運行穩(wěn)定性.

3.3 保障運行安全

保障運行安全是指人工智能算力基礎設施應提供安全的運行環(huán)境,保障人工智能系統(tǒng)的機密性和完整性.

1) 保護數(shù)據(jù)模型不被竊取,保障機密性.

在安全技術(shù)層面,應著力研制人工智能算力基礎設施內(nèi)置用戶模型保護技術(shù),重點防御竊取攻擊.可在大規(guī)模人工智能算力基礎設施中,通過高性能加密技術(shù)、容器完整性保護、身份與權(quán)限分級嚴格管理等手段,構(gòu)建全程可信賴的安全運行環(huán)境,有效保護數(shù)據(jù)和模型所有者對其核心資產(chǎn)的所有權(quán).在安全制度層面,應當完善人工智能算力基礎設施內(nèi)部安全管理規(guī)章體系.應圍繞技術(shù)和管理規(guī)范并重的核心思想,加強人工智能算力基礎設施的內(nèi)部信息安全規(guī)范體系構(gòu)建,包括建立明確的責任分工機制和授權(quán)機制,配備符合條件的人員,加強定期培訓,嚴格確保相關(guān)人員按照既定政策、程序和權(quán)限履行職責,保障數(shù)據(jù)、模型在使用、銷毀等各環(huán)節(jié)不被竊取.

2) 防范數(shù)據(jù)模型遭受惡意攻擊,保障完整性.

人工智能算法模型在運行過程中往往會遭受多種形式的惡意攻擊,導致模型產(chǎn)生錯誤的運行結(jié)果,若應用于醫(yī)療診斷、自動駕駛等領域,可能會對生命財產(chǎn)安全帶來嚴重影響.人工智能算力基礎設施所提供的算力服務環(huán)境應針對主流惡意攻擊風險提供相應的預警和響應機制,如數(shù)據(jù)投毒攻擊、后門攻擊、漏洞攻擊、對抗樣本攻擊、深度偽造等的檢測與防御[8].

3.4 助力安全合規(guī)

助力安全合規(guī)是指人工智能算力基礎設施應對人工智能產(chǎn)品、系統(tǒng)和企業(yè)提升安全管理能力、降低安全風險、助力合法合規(guī)提供安全服務.

1) 提供安全檢測能力,助力用戶加強安全管控力.

人工智能算力基礎設施應圍繞數(shù)據(jù)集完整性、準確性以及算法公平性、魯棒性、可解釋性等重點領域,為用戶提供安全檢測工具,幫助用戶提升安全風險識別和管理能力,在數(shù)據(jù)準備、模型訓練、系統(tǒng)運行等全流程檢查人工智能產(chǎn)品的安全風險.例如,華為提出了MindArmour安全可信工具包,針對模型魯棒性、用戶隱私風險、數(shù)據(jù)漂移等功能提供了相應檢測工具.魯棒性檢測工具方面,提供了多種對抗樣本生成、檢測和防御方法以及攻防評測指標,可從惡意攻擊角度測評模型以及非惡意擾動角度評測模型魯棒性.

2) 提供安全評估能力,助力用戶提升安全認可度.

人工智能算力基礎設施應通過提供自評估工具、引入第三方評估等手段幫助用戶對其人工智能產(chǎn)品的安全問題及合規(guī)風險開展評估及認證,增強該產(chǎn)品的安全認可度.評估工具可在人工智能系統(tǒng)開發(fā)、部署的早期階段就幫助企業(yè)評估其安全管理能力,并幫助用戶建立完善且具有針對性的管理制度,通過持續(xù)執(zhí)行和監(jiān)督促進制度的落實,確保負責任地開發(fā)、部署和維護人工智能系統(tǒng).

3) 提供安全增強能力,助力用戶增強安全合規(guī)性.

安全增強是指人工智能算力基礎設施通過提供一定服務,幫助用戶增強人工智能系統(tǒng)的安全合規(guī)性,主要包括可信審計工具、隱私計算工具等.安全增強服務可由人工智能算力基礎設施自身提供,也可由第三方安全服務商提供,相關(guān)工具集成至人工智能算力基礎設施,在人工智能系統(tǒng)開發(fā)、運行等階段,用戶可以選擇不同方向、不同程度的安全增強服務對自身人工智能系統(tǒng)進行安全增強,進一步提高人工智能系統(tǒng)安全合規(guī)性.

4 人工智能算力基礎設施安全發(fā)展建議

1) 加快標準研制,構(gòu)建基礎設施安全與人工智能安全相融合的標準體系.

一是亟需制定人工智能算力基礎設施安全相關(guān)技術(shù)標準并加快推動標準落地,明確人工智能算力基礎設施安全的基準指標,使人工智能算力基礎設施在能力水平、安全要求等方面滿足一定準則,有效保障人工智能算法訓練、運行過程中的環(huán)境安全;二是加快建設人工智能算力基礎設施保障運行安全和助力安全合規(guī)等方面的相關(guān)標準,幫助提升人工智能算法安全性,促進基礎設施安全與人工智能安全相融合,推動形成行業(yè)健康發(fā)展的良性循環(huán).

2) 加強技術(shù)攻關(guān),推動人工智能安全工具與人工智能算力基礎設施集成.

一是要加快安全檢測、安全評估、安全加固等相關(guān)技術(shù)工具研發(fā).應圍繞數(shù)據(jù)安全、算法公平、隱私保護等問題突出的領域,大力開發(fā)安全技術(shù)工具[9],加快推動人工智能算力基礎設施安全保障及安全工具技術(shù)的創(chuàng)新和演進.二是要推動相關(guān)技術(shù)工具嵌入和集成到人工智能算力基礎設施中,鼓勵基礎設施企業(yè)和算法企業(yè)加強合作,通過提供安全的算力基礎設施,為算法開發(fā)者提供安全、可信的算力環(huán)境,通過集成相關(guān)技術(shù)工具支持模型、數(shù)據(jù)和應用的安全,有效降低企業(yè)部署和應用安全人工智能系統(tǒng)的門檻.

3) 建立管理制度,形成管理手段與技術(shù)手段相結(jié)合的安全發(fā)展良好氛圍.

人工智能算力基礎設施面臨的安全風險多種多樣,僅通過技術(shù)手段難以覆蓋眾多風險種類,還需要通過管理手段,將安全策略和安全控制融入到人工智能算力基礎設施設計、建設、運行、維護的生命周期各階段.一是完善安全管理規(guī)章體系,明確人工智能算力基礎設施建設與運營各方的安全主體責任并推動責任落實,通過開展安全防護檢查與風險評估,及時排查各類安全問題隱患.二是人工智能算力基礎設施平臺可通過提供人工智能安全可信度評估、鼓勵安全風險自查等,幫助算法企業(yè)發(fā)現(xiàn)安全風險并改進,推動人工智能產(chǎn)品研發(fā)設計、測試開發(fā)、部署上線、運行維護、退役下線等全生命周期安全發(fā)展.

5 結(jié) 語

在政策推動與人工智能發(fā)展需求的牽引下,人工智能算力基礎設施迅速落地發(fā)展,算力網(wǎng)絡逐漸形成,在助力人工智能生態(tài)建設、保障人工智能產(chǎn)業(yè)持續(xù)發(fā)展方面發(fā)揮著越來越重要的作用.然而,人工智能算力基礎設施在應用過程中也逐漸暴露出數(shù)據(jù)模型竊取、對抗樣本攻擊、節(jié)點不可信等安全問題,帶來嚴峻的安全挑戰(zhàn),構(gòu)建安全的人工智能算力基礎設施迫在眉睫.本文從強化自身安全、保障運行安全、助力安全合規(guī)3方面提出了人工智能算力基礎設施安全體系架構(gòu),建議從加快標準研制、加強技術(shù)攻關(guān)、建立管理制度等方面入手,更好應對和解決人工智能算力基礎設施面臨的安全問題,打造安全的人工智能算力底座,夯實我國人工智能產(chǎn)業(yè)健康發(fā)展的基礎,為人工智能產(chǎn)業(yè)安全發(fā)展保駕護航.