【信息安全等级保护资讯网】专注网络安全等级保护,欢迎您的光临!
等级保护咨询电话:13865983726
信息安全等级保护资讯网
了解最新等级保护动态及等保资讯
等保资讯
等保资讯 您的位置:首页>等保资讯 >
人工智能供应链安全治理现状与挑战
时间:2026-07-17阅读量:8来源:转载关键词:网络安全 返回列表


| 中国信息通信研究院 北京邮电大学 郭雪;中国信息通信研究院 吴江伟 王媛媛 张建伟

当前,人工智能(AI)技术迭代加速、产业规模扩大、应用深化,大模型与智能体的普及在提升效率的同时,打破了传统供应链安全边界,引发新型网络安全风险,使AI供应链安全治理趋于复杂。一方面,AI技术的广泛应用带来大量新型安全风险,如模型投毒、数据污染、内容安全风险等;另一方面,现有安全防护技术与工具滞后于AI技术发展和攻击手段迭代,无法有效应对新型供应链攻击。LiteLLM供应链投毒、Hugging Face模型后门攻击、模型部署工具Ollama高危漏洞等供应链安全事件频发,AI供应链安全治理成为业界关注的焦点。

一、AI供应链安全治理现状

AI供应链是以数据为基础、模型为核心、工具链为支撑、基础设施为载体的全链条体系。当前,全球AI供应链安全治理整体处于探索阶段,各主要国家和地区重点从政策约束与标准建设两方面加快布局,但在透明性、可追溯性及动态风险管控方面仍存在明显不足,尚未建立起覆盖供应链全要素、全流程的系统性安全治理框架。

(一)国外发展现状

当前,全球主要国家及区域组织高度重视AI供应链安全问题,从政策到技术标准全面布局,并通过多边联合协同推进跨国治理,从而体现出政策约束、标准先行、联盟共治的典型特征。

1.政策层面

美国以行政令驱动供应链可信审查,重点关注AI系统来源可信。通过OMB系列备忘录M-25-21M-25-22M-26-04构建覆盖AI采购、使用、合规审查的政策链条,强调联邦机构应对AI产品来源进行安全审查与供应链合规管理。欧盟通过《人工智能法案》实施立法约束,以风险分级框架将AI系统按不同风险等级进行监管,要求AI系统具备安全性、透明度、可追溯性。其他主要国家重点针对AI系统的安全性和透明性提出安全防护措施。澳大利亚发布《自愿人工智能安全标准》,围绕供应链测试、透明度和问责制提出10项自愿性防护措施。英国发布《人工智能网络安全实践准则》,提出涵盖安全设计、安全开发、安全部署、安全维护和安全报废五个治理阶段的13项治理原则。

同时,全球AI供应链安全治理正从各国分散治理走向联盟化、标准化、全链条协同的新阶段,深刻影响着未来AI产业的合规路径、技术选型与国际竞争格局。202311月,由英国国家网络安全中心(NCSC)牵头,与18个国家共同发布《安全AI系统开发指南》,从安全设计、安全开发、安全部署、安全运营和维护四个领域确保AI系统安全。20263月,韩国与美、英、加、澳、新、日等国联合发布《人工智能与机器学习:供应链风险与缓解》,要求建立人工智能物料清单(AI-BOM)实现供应链可追踪。这些指南标志着国际社会对AI供应链安全已形成共识性治理框架。

2.标准层面

国外AI供应链安全标准呈现先行特征,以美国国家标准与技术研究院(NIST)、欧洲电信标准化协会(ETSI)、国际标准化组织与国际电工委员会(ISO/IEC)为代表的标准化组织率先将AI系统全生命周期安全纳入标准化轨道,系统梳理关键安全要素并提出相应安全管理举措。

NIST20231月发布《人工智能风险管理框架》(AI RMF 1.0),将AI系统全生命周期划分为七个阶段并明确各阶段安全要素,为组织识别和管理AI风险提供指导。ETSI20261月发布全球首个适用于欧洲的AI网络安全标准ETSI EN 304 223,将安全要求贯穿AI系统设计、开发、部署、维护及退出五个阶段,并提出13项核心原则与实施要求。ISO/IEC推进全球首个聚焦AI系统网络安全威胁防控的专项指导标准ISO/IEC 27090《网络安全人工智能人工智能系统网络安全威胁与安全事件应对指南》,旨在为AI提供全生命周期的安全防护指导。然而,现有标准普遍聚焦AI系统自身开发全生命周期安全,对AI供应链安全中组织、人员、流程等管理维度的安全要求尚无覆盖,标准体系的完整性仍有较大提升空间。

(二)国内发展现状

我国AI供应链安全政策分布于通用AI安全与供应链安全文件中,专项制度有待进一步健全。在标准建设方面,AI供应链安全相关标准需求已明确提出,研制工作正在有序推进。

1.政策层面

我国AI供应链安全政策呈现多点分布特征,顶层设计不断完善。当前,政策主要围绕AI安全规划设计、伦理安全、风险分类等方面,AI供应链安全专项政策有待进一步充实。202510月,新修改的《中华人民共和国网络安全法》在法律层面首次确立完善人工智能伦理审查规范与加强风险监测评估和安全监管,将AI安全治理上升到国家网络安全战略高度。20263月公布并施行的《国务院关于产业链供应链安全的规定》,是中国首个专门针对供应链安全的行政法规,提出了提升关键领域产业链供应链抗风险能力要求,为AI供应链安全治理提供了重要的上位法依据。该规定面向通用产业链供应链,有关AI供应链安全专项条款有待进一步明确。

2.标准层面

我国AI供应链安全标准正持续完善,现有标准侧重AI自身安全,AI供应链安全相关标准研制工作稳步推进。《网络安全技术生成式人工智能服务安全基本要求》(GB/T 45654—2025)明确,需定期对开发框架、代码进行安全审计及对模型进行后门存在性检测,标准以AI自身安全为核心内容,供应链安全、第三方组件风险管控等内容将逐步纳入后续研制计划。20259月,国家互联网应急中心牵头发布的《人工智能安全治理框架》2.0版完善优化AI风险分类,动态调整更新防范治理措施,持续深化AI安全治理,AI供应链安全治理作为延伸方向正逐步纳入框架体系。20263月,工信部发布的121项行业标准计划项目,将AI供应链安全列入标准需求,相关标准研制工作有序开展。

二、AI供应链安全面临三大核心挑战

AI供应链安全不再局限于代码和组件层面,而是扩展至涵盖数据、模型、工具的复杂系统,面临攻击面多维度扩张、攻击方式向认知与决策层渗透、安全检测难度提升三大核心挑战。

(一)攻击面扩大:从代码扩展至数据模型工具

随着大模型、智能体等被广泛引入企业生产过程,供应链结构发生根本性变化。AI供应链安全不仅涉及软件本身,还包括数据来源、模型行为、外部工具接口和部署环境等多层依赖,攻击者可通过数据投毒、模型篡改、插件劫持或植入后门等方式,沿供应链渗透至核心系统,威胁贯穿数据、分发、训练、推理及应用全链路。因此,AI供应链攻击面显著扩大,由代码迅速扩展为覆盖数据-模型-工具的复合体系。

首先,数据成为新的攻击入口。AI系统的能力高度依赖训练数据、微调数据和运行时上下文数据,这一特性使数据成为攻击者进入供应链的新型入口。攻击者可通过在训练数据、开源代码仓库或知识库中植入恶意样本,使模型在特定条件下输出脆弱代码、错误配置甚至后门逻辑。其次,模型本身成为新的攻击对象。随着企业越来越依赖开源模型或第三方模型,模型后门、参数污染和模型窃取已演化为现实威胁。由于模型的黑盒特性,使用者无法完全掌控模型训练和推理过程,攻击者可在不修改模型代码的情况下,通过参数替换或权重篡改实施攻击。最后,工具链风险显著上升。AI供应链不仅依赖传统的软件包管理器,还涵盖模型SDKPrompt模板库、插件市场和Agent调用框架及第三方API服务,攻击者可通过恶意插件、依赖混淆或伪造工具实施供应链攻击。

(二)攻击方式转变:从漏洞攻击转向认知与决策攻击

AI供应链攻击路径已从利用系统缺陷演变为影响系统决策,攻击方式由漏洞攻击向认知与决策攻击转变。AI供应链的攻击目标不仅是程序漏洞,还包括操控模型的认知逻辑与决策输出。

AI语义理解性与自主决策性是驱动攻击方式转变的根本原因。在语义理解性方面,大模型以自然语言为交互媒介,由于自然语言本身具有模糊性,指令和数据的界限往往没有清晰的界限,大模型难以像传统程序那样明确区分数据指令,这一特性使Prompt注入攻击成为生成式AI供应链中的典型攻击方式,OWASPLLM Top 10中将其列为首要风险。与传统漏洞攻击不同,Prompt注入无需寻找程序缺陷,仅需利用语义模糊性即可绕过安全边界,攻击门槛显著降低。在自主决策性方面,智能体具备任务规划、工具调用和环境交互能力,可自主进行决策与执行。一旦智能体受到Prompt注入攻击、工具链污染或权限配置错误,可能在无人干预情况下执行错误部署、泄露数据甚至删除关键资产。此外,攻击者可通过训练数据污染或上下文投毒改变模型输出偏好。攻击者不必直接攻击系统,只需影响模型训练或知识检索源,隐蔽干扰模型的认知逻辑与决策输出,进而误导人类或下游系统基于错误认知作出决策。

(三)检测难度提升:可解释不足导致风险难以检测

AI系统由于其黑箱特质及特性漏洞,颠覆了传统代码审计+特征匹配的安全检测范式,无法通过定义匹配特征识别漏洞,安全检测难度显著高于传统软件。

一方面,大模型的参数规模通常达到数十亿甚至数万亿级别,其输出依赖复杂的概率分布与隐藏层结构。国外学者指出,现代机器学习系统尤其是深度神经网络模型,往往具有高度复杂性,其内部决策路径难以被人类直接解释,这种可用但不可解释的机制削弱了传统安全审计的有效性。此外,由于传统安全工具缺乏对AI行为的上下文理解能力,无法区分其正常任务目标与被操控后的恶意行为,更难以匹配其执行速度与行为规模,存在一定技术局限性。另一方面,AI供应链攻击依托数据、模型、工具调用链等新型载体实现无特征化潜伏,如攻击者通过污染训练数据使模型产生偏差,模型表面运行正常却会在特定场景下输出错误决策,无任何显性代码异常,难以被监测发现。或在Agent任务执行中,跨越代码仓库、数据库、云平台和外部插件等多阶段推理的任何偏差都可能引发安全事件,而安全审计机制和安全检测工具往往难以溯源。

三、AI供应链安全治理路径建议

面对AI供应链攻击面扩大、攻击方式演变以及安全检测难度提升等问题,传统基于代码和组件安全的软件供应链安全治理体系已经难以满足现实需求。因此,需要从构建全要素全流程安全治理体系、建立面向认知与决策攻击的防御机制、提升AI自身安全和行为安全检测能力三方面着力,逐步构建覆盖全生命周期的AI供应链安全系统化治理体系。

(一)构建全要素全流程安全治理体系

针对AI供应链攻击面扩张,应构建覆盖全要素全流程的AI供应链安全治理体系,从源头收缩攻击面。

一是将安全管理延伸至数据、模型与工具等环节,围绕管理运维层、应用层、模型层、数据层、工具层、技术设施层建立覆盖选型准入集成部署应用运维退出处置全流程安全治理体系,实现AI系统从引入退出的全过程风险管控与合规管理。同时,在模型选型、数据源审核、Prompt设计、权限配置及部署环境监控等关键管理节点设置安全策略和审核机制,从而降低整体供应链风险。

二是建立AI-BOM以提升AI系统透明性。Linux基金会在SPDX 3.0中将AI-BOM定义为连接数据、代码和模型的标准化描述语言,通过记录AI系统依赖的所有组件、模型、数据、工具等信息,有效解决AI系统黑箱特性所带来的问题,为后续合规审计和风险追踪提供依据。企业可通过人工工具结合多种方式收集AI-BOM数据信息并记录四类核心数据字段,生成符合可读性、互操作性、兼容性和安全性格式要求的AIBOM,具体包括:一是数据信息,记录训练与微调数据类型、下载地址、处理方式、数据规模、机密级别等;二是模型信息,记录模型名称、类型、版本、发布时间、许可证及完整性校验等;三是框架信息,记录训练与推理所用的框架名称、类型、版本、参数等;四是工具链信息,记录系统调用的工具名称、类型、版本等。

(二)建立面向认知与决策攻击的防御机制

针对AI系统语义理解性与自主决策性导致的认知与决策攻击质变,应建立面向指令数据决策全链路的防御机制,阻断攻击路径。

一是在指令层面强化Prompt安全防护。由于自然语言模糊性使指令与数据边界无法严格区分,企业应在Prompt设计环节引入安全审查机制,对输入内容进行风险过滤与语义校验,防范Prompt注入攻击。同时,建立Prompt模板库的安全管理规范,防止恶意模板在供应链中传播。

二是在数据层面建立训练数据可信验证机制。攻击者可通过数据投毒隐蔽地干扰模型认知逻辑,因此,企业需对训练数据来源进行可信性审查,建立数据溯源与审计机制,并在数据接入环节引入异常检测能力,识别潜在的恶意样本植入行为。

三是在决策层面加强智能体行为约束机制,防止自主决策被操控。为防止越权和工具误用风险,应采用最小权限原则限制调用范围,对关键操作引入人工复核机制,并进行全链条行为日志留痕和行为审计。此外,应对智能体的推理过程建立可追溯机制,记录其任务规划、工具选择与执行结果的全链路信息,使决策过程可审计、可回溯、可干预,从决策层面阻断认知与决策攻击的传导路径。

(三)提升AI自身安全和行为安全检测能力

针对AI系统不可解释性与复杂推理链导致的检测范式失效,应提升AI自身安全和行为安全的检测能力,破解模型黑箱及特性漏洞带来的检测难题。在AI自身安全检测方面,建立覆盖训练数据检测、模型完整性验证与后门检测的安全检测能力。其中,在训练数据检测方面,开展训练数据的可信验证与投毒检测,以识别在训练阶段植入的隐蔽风险。在模型完整性验证方面,对引入的开源模型或第三方模型进行权重完整性校验,检测模型参数是否在分发或部署过程中被篡改替换,防止恶意权重替换攻击。在后门检测方面,采用嵌入特征分析、异常模式识别等检测工具进行分析,确保模型在特定输入条件下不会执行攻击者预设行为。

AI行为安全检测方面,构建覆盖输入输出、运行时行为与Agent行为的三层安全检测能力。第一层为输入输出层内容安全检测,在推理时对模型输入与输出进行实时安全检查与拦截过滤。例如,在输入端检测提示注入、敏感信息泄露、毒性内容等风险;在输出端拦截有害内容、个人隐私信息泄露、代码注入等风险。第二层为运行时行为安全监控,对模型推理过程中的异常行为进行实时检测。通过对推理过程上下文记忆变化、权限调用以及外部资源访问等行为进行持续监控,有效识别安全风险。第三层为Agent行为异常检测,构建面向Agent多步推理与工具调用链的行为级安全检测能力,针对Agent的自主决策与工具调用行为进行安全监控。通过建立AI系统正常运行的行为模式基线,对偏离基线的行为进行实时告警。

四、总结与展望

未来,AI供应链安全将不仅局限于技术治理问题,而是逐步上升为国家产业安全和战略博弈的重要议题,将围绕标准建设、技术能力和生态协同三方面共同推进。

在标准建设方面,目前已发布AI安全相关国家标准,并明确了AI供应链安全管理标准需求。可以预见,AI供应链安全标准体系将进一步完善,覆盖安全管理、技术防护、工具治理等关键维度。在基础要求层面,将围绕模型准入、工具接入、Prompt与插件管理等关键环节明确技术规范。此外,模型安全评估、工具链风险识别等可操作、可评估的管理要求标准也将成为研制重点。

在技术发展方面,一方面,我国正逐步发展AI供应链安全检测技术,包括训练数据可信验证、Prompt风险分析、Agent行为异常检测等;另一方面,通过提升模型决策透明度与行为可观测性,从而提高风险审计和溯源能力。随着智能体自治能力不断增强,围绕权限控制、行为约束的安全技术也将成为研究重点。

在生态建设方面,未来,AI供应链涉及基础设施建设方、模型及相关要素提供方、企业使用方及监管机构等多个主体,将建立跨主体协同治理生态,逐步形成开放协同、责任明确、标准共识的产业生态。通过漏洞信息共享、风险情报协同、模型可信和AI供应链风险评估等举措,提高AI供应链整体韧性和安全水平。

整体而言,AI供应链安全发展需要供应链上各角色积极参与和努力,通过跨角色合作,AI供应链安全治理终将成为行业共识,为推动建立更加安全、可信的数字生态系统,为数字经济的可持续发展提供坚实基础。

(本文刊登于《中国信息安全》杂志2026年第6期)

 


Copyright © 2020-2021 信息安全等级保护资讯网 All Rights Reserved. 备案号码:皖ICP备19012162号-3
本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。