用安全的模型去守護不安全的模型，用智能的系統去抵御來自智能的攻擊。

極客在創業，小白在買課，畫師在失業，但一個尷尬的現實卻是：AI 落地熱火朝天，但劇情走的不是降臨路線，而是擲骰子。

而且，在行業初期，這個骰子最先落地的面，往往不是黃色就是灰色。

原因也很簡單，暴利催生動力，更何況發展初期的行業，總是漏洞百出。看這么一組數據就清楚了：

當前，超過 43% 的 MCP 服務節點存在未經驗證的 Shell 調用路徑，超過 83% 的部署存在 MCP（Model Context Protocol）配置漏洞；88% 的 AI 組件部署根本沒啟用任何形式的防護機制；15 萬個 Ollama 等輕量 AI 部署框架當前在全球公網暴露，超過 10 億美元的算力被劫持用于挖礦……

更諷刺的是，攻擊最聰明的大模型，只需要最低級的手法——只要一套默認開放的端口，一個暴露的 YAML 配置文件，或者一個未經驗證的 Shell 調用路徑，甚至，只要提示詞輸入的夠精準，大模型自己就能幫灰產找到攻擊的方向。企業數據隱私的大門，就這么在 AI 時代被任意進出。

但問題并非無解：AI 不止有生成與攻擊兩面。如何把 AI 用于防護，也越來越多的成為這個時代主旋律；與此同時，在云上，為 AI 制定規則，也成為頭部云廠商的重點摸索方向，而阿里云安全就是其中最典型的代表。

剛剛落幕的阿里云飛天發布時刻上，阿里云正式官宣了其云安全的兩條路徑：Security for AI 和 AI for Security，并發布了「AI 云 盾（Cloud Shield for AI）系列產品」為客戶提供「模型應用端到端的安全解決方案」，正是當下行業探索的一個最佳例證。

01

AI 擲骰子，為什么總是灰色與黃色先朝上？

在人類的技術史上，AI 并不是第一個「先被黃暴試水」的新物種，灰黃先爆發，也是技術普及的規律而非意外。

1839 年銀板照相術一出，第一波用戶是色情行業；

互聯網初期，電商沒起步，成人網站已經開始琢磨在線支付；

今天的大模型羊毛黨，某種程度上，也是在復刻「域名時代」的暴富神話。

時代的紅利，總是先被灰色與黃色先摸走。因為他們不講合規、不等監管、效率自然超高。

也因此，每一個技術的爆發期，都先是一鍋「渾湯」，AI 自然不例外。

2023 年 12 月，一位黑客只用了一句提示詞——「$1 報價」，就誘導一家 4S 店的客服機器人差點以 1 美元賣出一臺雪佛蘭。這就是 AI 時代最常見的「提示詞攻擊」（Prompt Injection）：不需要權限驗證，不留日志痕跡，只靠「說得巧」，就能換掉整個邏輯鏈。

再深一步，是「越獄攻擊」（Jailbreak）。攻擊者用反問句、角色扮演、繞路提示等方式，成功讓模型說出原本不該說的東西：色情內容、毒品制造、偽警告信息……

在香港，有人甚至靠偽造高管語音，從企業賬戶里卷走了 2 億港元。

除了騙局，AI 還有「非故意輸出」的風險：2023 年，某教育巨頭的大模型系統在生成教案時誤輸出帶有極端內容的「毒教材」，僅 3 天，家長維權、輿情爆發，公司股價蒸發 120 億元。

AI 不懂法律，但它有能力，而能力一旦脫離監督，就具備傷害性。

但另一個角度來看，AI 的技術是新的，但灰產與黃色的最終流向與手段卻是不變的，而要解決它，靠的還是安全。

02

Security for AI

先說一個被 AI 行業集體回避的冷知識：

大模型的本質，不是「智能」，也不是「理解」，而是概率控制下的語義生成。也是因此，一旦超出訓練語境，就可能輸出意料之外的結果。

這種超綱可能是，你想要它寫新聞，它給你寫詩；也可能是你想讓它推薦商品，它突然告訴你今天東京的溫度是零上 25 攝氏度。更有甚者，你告訴它在游戲里，如果拿不到某某軟件的正版序列號，它就會被槍斃，大模型就真的可以想盡辦法幫用戶 0 成本找到一個正版軟件序列號。

而要想保證輸出可控，企業就得又懂模型，又懂安全。根據 IDC 最新《中國安全大模型能力測評報告》，阿里在與國內所有具備安全大模型能力的頭部廠商 PK 中，在 7 項指標中有 4 項為第一，其余 3 項也全部高于行業均值。

做法上，阿里云安全給出的答案也很直接：讓安全跑在 AI 速度前面，構建一套自下而上、橫跨三層的全棧防護框架——從基礎設施安全，到大模型輸入輸出控制，再到 AI 應用服務保護。

在這三層里，最有存在感的，是中間層專門針對大模型風險的「AI 安全護欄」（AI Guardrail）。

通常來說，針對大模型安全的風險主要有：內容違規、敏感數據泄露、提示詞注入攻擊、模型幻覺、越獄攻擊這幾類。

然而，傳統的安全方案多為通用型架構，是為 Web 設計的，而不是為「會說話的程序」準備的，自然也無法對大模型應用特有風險產生精準識別與響應能力。對生成內容安全、上下文攻擊防御、模型輸出可信性等新興問題更是難以覆蓋。更重要的是，傳統方案，缺乏細粒度的可控手段與可視化追溯機制，這就導致企業在 AI 治理中產生了巨大盲區，不知道問題出在哪里，自然無法解決問題。

AI Guardrail 真正的厲害之處，不只是「它能攔住」，而是無論你是做預訓練大模型、AI 服務還是 AI Agent 各種不同的業務形態，它都知道你在說什么、大模型在生成什么，從而提供精準的風險檢測與主動防御能力，做到合規、安全、穩定。

具體來說，AI Guardrail 具體負責三類場景的防護：

?合規底線：對生成式 AI 輸入輸出的文本內容進行多維度合規審查，覆蓋涉政敏感、色情低俗、偏見歧視、不良價值觀等風險類別，深度檢測 AI 交互過程中可能泄露的隱私數據與敏感信息，支持涉及個人隱私、企業隱私等敏感內容的識別，并提供數字水印標識，確保 AI 生成內容符合法律法規與平臺規范；

?威脅防御：針對提示詞攻擊、惡意文件上傳、惡意 URL 鏈接等外部攻擊行為，可實現實時檢測并攔截，規避 AI 應用的最終用戶的風險；

?模型健康：關注 AI 模型本身的穩定性和可靠性，針對模型越獄、Prompt 爬蟲等問題建立了一整套檢測機制，防止模型被濫用、誤用或者產生不可控的輸出，構建 AI 系統的「免疫防線」；

最值得一提的是 AI Guardrail 并非把以上多個檢測模塊簡單堆在一起，而是做到了真正的 ALL IN ONE API，不拆分模塊，不加錢，不換產品。對于模型輸入輸出風險，客戶不需要再去買額外的產品；對于不同的模型風險：注入風險、惡意文件、內容合規、幻覺等問題，都能在同一個產品里解決。一個接口包攬 10+類攻擊場景檢測，支持 4 種部署方式（API 代理、平臺集成、網關接入、WAF 掛載），毫秒級響應、千級并發處理，精準率高達 99%。

也是因此，AI Guardrail 的真正意義，在于把「模型安全」變成了「產品能力」，讓一個接口，頂一支安全團隊。

當然，大模型不是懸在空中的概念，它是跑在硬件和代碼上的系統，并承接上層的應用。而針對基礎設施安全、AI 應用服務保護，阿里云安全，也全都做了升級。

基礎設施層，阿里云安全推出了云安全中心，核心是 AI-BOM、AI-SPM 等產品。

具體來說，AI-BOM（AI 物料清單）和 AI-SPM（AI 安全態勢管理）兩大能力，分別解決「我裝了什么 AI 組件」和「這些組件有多少洞」這兩個問題。

AI-BOM 的核心，是把部署環境中的 AI 組件一網打盡：讓 Ray、Ollama、Mlflow、Jupyter、TorchServe 等超 30 類主流組件，形成一張「AI 軟件物料清單」，自動識別其中存在的安全弱點與依賴漏洞。發現問題資產，不再靠人肉排查，而是通過云原生掃描。

AI-SPM 的定位則更像是「雷達」：從漏洞、端口暴露、憑據泄漏、明文配置、越權訪問等多個維度持續評估系統安全態勢，動態給出風險等級與修復建議。它讓安全從「快照式合規」，變成「流媒體式治理」。

一句話總結：AI-BOM 知道你在哪里可能打過補丁，AI-SPM 知道你還在哪些地方會再中一拳，盡快加緊防范。

針對 AI 應用保護層，阿里云安全的核心產品是 WAAP（Web Application & API Protection）。

模型輸出再聰明，如果入口全是腳本請求、偽造 Token、濫刷接口，那也撐不了幾秒。阿里 WAAP（Web Application & API Protection）就是為此而生。它對 AI 應用不是按「傳統 Web 系統」處理，而是提供專門的 AI 組件漏洞規則、AI 業務指紋庫與流量畫像系統。

比如：WAAP 已覆蓋 Mlflow 的任意文件上傳、Ray 服務遠程命令執行等 50+組件漏洞；內置的 AI 爬蟲指紋庫，可以識別每小時新增萬級以上語料刷子與模型測評工具；API 資產識別功能，可以自動發現企業內部哪一套系統暴露了 GPT 接口，給安全團隊「打點地圖」。

最重要的是，WAAP 與 AI Guardrail 并不沖突，反而互補：一個看「是誰來了」，一個看「說了什么」。一個像「身份驗證器」，一個像「言行審查員」。這讓 AI 應用具備了一種「自我免疫」能力——通過識別、隔離、追蹤、反制，不止「攔住壞人」，更能「別讓模型自己變壞」。

03

AI for Security

既然 AI 落地是擲骰子，有人拿它算命、有人讓它寫情詩、有人用它做灰產，那也就不奇怪，有人會用它來搞安全。

過去，安全運營需要一群人每天看著一堆紅燈綠燈的告警日夜巡邏，白天接手昨天的爛攤子，晚上陪著系統值夜班。

現在，這些都可以交給 AI 完成。2024 年，阿里云安全體系全面接入通義大模型，推出覆蓋數據安全、內容安全、業務安全、安全運營的 AI 能力集群，并提出一個新口號：Protect at AI Speed。

意思很明確：業務跑得快，風險更快，但安全還要更快一步。

而用 AI 搞定安全，其實就是兩件事：安全運營效率提升+安全產品智能化升級。

傳統安全系統的最大痛點是「策略更新滯后」：攻擊者變了，規則沒變；告警來了，沒人理解。

大模型帶來改變的關鍵，在于把安全系統從規則驅動轉向模型驅動，以「AI 理解能力 + 用戶反饋」構建起一個閉環生態——AI 理解用戶行為 → 用戶反饋告警結果 → 模型持續訓練 → 檢測能力越來越準 → 周期越來越短 → 風險越來越難藏，這就是所謂的「數據飛輪」：

其優勢有二：

一方面是云上租戶安全運營提效：過去，威脅檢測往往意味著「海量告警+人工篩查」的低效模式。如今，通過智能建模精準識別惡意流量、主機入侵、后門腳本等異常行為，告警命中率大幅提升。同時，圍繞處置環節，系統實現了自動化處置與極速響應的深度協同——主機純凈度穩定保持在 99%，流量純凈度更是逼近 99.9%。此外，AI 還會深度參與告警歸因、事件分類、流程建議等任務，目前，告警事件類型覆蓋率已達到 99%，而大模型的用戶覆蓋率也超過 88%，安全運營團隊的人效得到前所未有的釋放。

另一方面是云安全產品能力快速提升。在數據安全層與業務安全層，AI 被賦予了「守門人」職責：基于大模型能力，可在云上自動識別 800+類實體數據并智能化脫敏與加密處理。不止于結構化數據，系統還內置 30 多種文檔與圖像識別模型，能夠對圖片中的身份證號、合同要素等敏感信息進行實時識別、分類與加密。整體數據打標效率提升 5 倍，識別準確率達到 95%，極大降低了隱私數據泄漏的風險。

舉個例子：在內容安全場景下，傳統做法是靠人審核、打標簽、大規模標注訓練。現在，通過 Prompt 工程與語義增強，阿里實現了標注效率提升 100%、模糊表達識別提升 73%、圖像內容識別提升 88%、AI 活體人臉攻擊檢測準確率 99% 的真實收益。

如果說飛輪主打 AI 結合人類經驗的自主防控，那么智能助手就是安全人員的全能助理。

安全運營人員每天面對最多的問題是：這個告警什么意思？為什么會觸發？是不是誤報？我要怎么處理？換作過去，查這些問題要翻日志、查歷史、問老員工、打工單、排技術支持……現在，只要一句話。

不過，智能助手的功能定位不只是問答機器人，更像是安全領域的垂直 Copilot，其五大核心能力包括：

• 產品答疑助手：自動回答如何配置某個功能、為什么會觸發這個策略、哪些資源未開啟防護，替代大量工單服務；

• 告警解釋專家：輸入告警編號，自動輸出事件解釋、攻擊鏈溯源、建議響應策略，并支持多語言輸出；

• 安全事件復盤助手：自動梳理一次入侵事件的完整鏈條，生成時間軸、攻擊路徑圖與責任判定建議；

• 報告生成器：一鍵生成月度/季度/應急安全報告，涵蓋事件統計、處置反饋、運營成效，支持可視化導出；

• 全語言支持：已覆蓋中文、英文，國際版本 6 月上線，支持自動適配海外團隊使用習慣。

別小看這「五件小事」，截止目前，阿里官方數據表明：已服務用戶數超 4 萬個，用戶滿意度 99.81%，覆蓋告警類型達 100%，prompt 支持能力提升 1175%（同比 FY24）。簡單說，它把值夜班的績效滿分同事、寫報告的實習生、處理告警的工程師、懂業務的安全顧問，全部打包成一個 API，而借助這個能力，人類只做決策，不再巡邏。

04

尾聲

回顧過去，歷史從來不缺「劃時代的技術」，缺的是撐得過第二年熱潮的技術。

互聯網、P2P、區塊鏈、無人駕駛……每一波技術爆發時，都曾被稱作「新基建」，但最終留下成為真正基礎設施，只有少數能穿越「治理真空」的。

如今的生成式 AI 正處在類似階段：一邊是模型百花齊放、資本趨之若鶩、應用層層突破；一邊是提示詞注入、內容越權、數據外泄、模型操控，漏洞密布、邊界模糊、責任失焦。

但 AI 又跟以往的技術不一樣。它不僅能畫圖、寫詩、編程、翻譯，還能模仿人類語言、判斷乃至情緒。但也正因如此，AI 的脆弱，不止源于代碼漏洞，而是人性的映射。人類有偏見，它也會學會；人類貪圖便利，它也會替你投機取巧。

技術自身的便捷性，則是這種映射的放大器：過去的 IT 系統還要講「用戶授權」、攻擊靠滲透；現在的大模型只需要提示詞注入，跟你聊聊天就能帶來系統失誤、隱私泄露。

當然，不存在「完美無瑕」的 AI 系統，那是科幻，不是工程。

唯一的答案，是用安全的模型，去守護不安全的模型；用智能的系統，去對抗智能的威脅——用 AI 擲骰子，阿里選擇安全朝上。

*頭圖來源：視覺中國來源：極客公園

↓↓↓歡迎關注社群會員官方服務號↓↓↓