越来越多企业选择拥抱大模型,以帮助业务实现提质增效。而随着DeepSeek等AI大模型的快速发展和开源,出于获得更好的响应速度、更高的数据安全性以及在特定任务上更好的表现等考虑,私有化部署也成为企业应用大模型的首选方式。

然而,大模型本地化部署在云端环境中带来了诸多便利的同时,也使得AI工具更容易暴露在公网环境中,引入潜在安全隐患。近期,腾讯朱雀实验室就发现了多个广受欢迎的AI工具中普遍存在的安全漏洞,这些漏洞一旦被利用将造成严重后果,包括不限于数据泄露、知识库污染、算力劫持、设备接管等。

•数据泄露:通过API接口漏洞、未加密传输或权限配置缺陷,窃取模型训练数据、用户隐私信息及模型参数等敏感资产。

•知识库污染:当知识库管理接口存在未授权上传权限时,攻击者可实施定向内容投毒攻击,导致合规风险。

•算力劫持:非法占用GPU/TPU/CPU集群资源进行加密货币挖矿、DDoS攻击或竞品模型训练。

•设备接管:使用RCE漏洞,接管控制服务器,如Ollama远程代码执行漏洞(CVE-2024-37032)。

为了帮助企业及时发现并应对这些风险,腾讯云安全中心依托强大的体检能力自动发现AI风险。云安全中心支持一键同步云上资产,支持添加云外资产,实时/定期对资产进行全端口扫描、服务识别、指纹测绘、漏洞扫描、暴露路径管理(CLB、安全组等配置识别)。

该体检能力主要功能包括四大方面:

•全面资产扫描:支持对云上和云外的所有资产进行全面扫描,全端口扫描。

•实时漏洞检测:集成多款漏扫引擎,风险指纹识别,实时检测潜在的暴露面和漏洞风险。

•云资源风险检查:支持对 CVM、CLB、容器镜像、COS等云数据库,共10类云资产的配置风险检查及统一安全管理。

•体检报告生产:自动生成详细的报告,根据扫描结果,提供针对性的安全防护建议和解决方案。

借助这一体检能力,企业能及时发现和应对大模型部署和应用中对外暴露的风险,保护自身数据和算力资源,保障业务的稳定运行。使用云安全中心的“体检”能力也非常简单,只需以下几个步骤:

•登录腾讯云控制台:访问腾讯云官网,登录您的账户。

•进入云安全中心:在控制台中找到并进入云安全中心模块。

•启动体检任务:在资产中心—点击资产更新后,选择漏洞与风险中心—安全体检—标准体检,选择全部资产。

•查看报告:扫描完成后,系统会自动生成详细的报告,您可以在控制台中直接查看。

暴露面扫描配置示意图

•测绘结果查看:在漏洞与风险中心-风险服务暴露页面查看大模型应用等对外暴露的风险服务。

风险服务对外暴露-高危提示

云安全中心漏扫结果

此外,腾讯主机安全(云镜)支持检测大模型是否存在漏洞(根据版本号匹配)。

扫描配置界面

“大模型如今是黑灰产重点盯防和攻击的对象,也是供应链攻击的重点突破口。因此,企业在部署和应用大模型时应树立安全意识,例如从正规渠道获取模型文件,即时修复模型漏洞、配置安全组权限收敛AI敏感工具避免对外暴露,并通过部署专业安全产品来抵御潜在风险。”云鼎实验室相关技术专家表示。

人工智能安全态势管理(AI-SPM)现状和规划

随着生成式AI在企业中的应用更加广泛,其对企业组织安全基础设施和数据治理的挑战将会更大。目前,人工智能安全态势管理(AI-SPM)正在以工具或产品的形式,保障企业人工智能和机器学习系统的安全性和可靠性。

AI-SPM通过持续检测、评估AI模型和数据的安全态势,协助企业应对挑战。目前,众多厂商已经开始提供AI-SPM产品与工具,其中部分厂商从零开始构建,也有公司基于CSPM上拓展,但AI技术引发的变革高速且持续,行业中大多数产品都无法实现足够全面、足够集成的应对风险。

对于企业来说,基于AI-SPM掌握自身全部的模型、训练数据、供应链和web接口安全情况,都是非常必要的。腾讯云安全中心将继续快速迭代,帮助云上客户增强AI系统的安全性、提升防御主动性、降低攻击面,通过自动化管理和响应提升运营效率。

下载“北京日报”客户端 阅读体验更佳哦

扫描二维码下载手机客户端

扫描二维码下载手机客户端

-->

分享到

发布评论文明上网理性发言，请遵守评论服务协议

未登录

0/200发布发布全部评论

0条

点击加载更多

欢迎下载“北京日报”客户端发表评论

相关阅读热门报道换一批推荐阅读换一批精彩视频换一批猜你喜欢滚动北京国内国际北晚社会文娱体坛旅游文史阅读深度产经调查互联网美食北晚健康消费北晚行业北晚网摘网站地图新闻评论深度理论视频图库悦读互联网财经文化体坛科教消费矩阵网摘东城区政府网站西城区政府网站朝阳区政府网站海淀区政府网站丰台区政府网站石景山区政府网站门头沟区政府网站房山区政府网站通州区政府网站顺义区政府网站大兴区政府网站昌平区政府网站平谷区政府网站怀柔区政府网站密云区政府网站延庆区政府网站市人大市政协市监察委市高级人民法院市人民检察院市政府办公厅 市发展改革委 市教委市科委市经济信息化局市民族宗教委市公安局市民政局市司法局市财政局市人力社保局市规划自然资源委市生态资源局市住房城乡建设委市城市管理委市交通委市水务局市农业农村局市商务局市文化和旅游局市卫生健康委市退役军人事务局市应急管理局市市场监督管理局市审计局市政府外办市国资委市广播电视局市文物局市体育局市统计局市园林绿化局市地方金融监管局市人防办市信访办市知识产权局市医保局 京报媒体矩阵北京日报 北京晚报北京青年报北京商报音乐周报新闻与写作北京日报客户端长安街知事艺      绽北晚在线新视觉论坛北京深读空间

关于我们 京报集团京报移动传媒北晚在线版权声明联系我们 友情链接人民网新华网央视网光明网中国网中国日报网中国经济网千龙网今日头条百度新浪网易腾讯搜狐爱奇艺优酷

Copyright ©1996-2025 Beijing Daily Group, All RightsReserved      

京公网安备11040202120009号 |工信部备案号：京ICP备14054880号-1

主管：北京日报报业集团     主办：京报移动传媒有限公司

网上有害信息举报专区

​腾讯云安全中心：一键检测大模型本地化部署安全风险网络2025-02-21 11:36

专注报道您想看的新闻

长按二维码查看文章详情

点击下载

发布评论文明上网理性发言，请遵守评论服务协议

未登录

0/200登录发布全部评论

0条

点击加载更多

账号登录短信登录请输入手机号