OpenAI动态：为先进的人工智能重新构想安全基础设施

为了支持像ChatGPT和OpenAI的APIPlatform这样的工具，用户必须能够向托管模型权重的基础设施发送API请求。虽然托管模型权重使任何具有互联网连接的人都能够利用AI的力量，但也成为了黑客的攻击目标。
为了开发新的AI模型，必须将模型权重部署到研发基础设施中，以便研究人员可以进行模型训练。虽然这让探索新的科学前沿成为可能，但提供访问权限的研发基础设施和证书，同时会是潜在的攻击面。

这种在线获取的需求是保护模型权重的挑战与保护其他高价值软件资产的挑战之间的区别。

模型权重仅仅是文件，必须通过解密和部署才能使用，如果提供获取路径的基础设施和操作受到威胁，模型权重很可能会被盗取。传统的安全控制措施，如网络安全监控和访问控制，可以实现强大的防御，但仍需要新的方法来最大化保护模型权重，同时确保其访问性。

重新思考安全基础设施

我们认为，保护先进的AI系统将需要革新安全基础设施。就像汽车的出现需要安全方面的发展，或是互联网的创建需要安全方面的新进展一样，先进的AI也需要新的安全设施。

安全需要多方共同合作，同时最好提高工作透明。为此，我们的安全计划包括向白宫提供自愿安全承诺、网络安全赠款计划开展研发合作、参与行业倡议例如云安全联盟AI安全倡议，以及确保合规和第三方审查的透明度。现在，我们与行业、研发界、政府的持续合作，寻求为先进的AI系统，开发前瞻性的安全机制。

今天，秉持着共享工作成果及所有安全团队共同责任的精神下，我们将分享六项先进AI基础设施的安全措施，旨在完善现有的网络安全最佳实践方法，并在今天的管控基础上构建新的管控方案，以保护先进的AI：

1、AI加速器的可信计算

2、网络和租户隔离保证

3、数据中心操作和物理安全的创新

4、AI专用审查和合规程序

5、用AI进行网络防御

6、弹性、冗余、研究

保护未来AI能力的关键投资：六项先进AI基础设施的安全措施

以下技术和操控机制是在现有安全概念的基础上建立的。但为了满足先进AI的特殊规模和可访问性要求，需要进行相关的研究、投资、承诺。

1、AI加速器的可信计算

可信计算和数据保护范式具有引入新防御层的潜力，以此保护先进AI的工作负载。

诸如机密计算的新兴加密和硬件安全技术，通过将可信计算原语扩展到CPU主机之外的AI加速器本身，来实现保护模型权重和推理数据的有关承诺。将加密保护扩展到硬件层可能实现以下属性：

GPU可以进行密码认证以确保真实性和完整性。
具有加密原语的GPU可以使模型权重保持加密状态，直到权重在GPU上分段和加载。这为主机或存储基础设施受到威胁时，增加了重要的深度防御层。
具有特殊加密身份的GPU，可以使模型权重和推理数据为特定的GPU或GPU组加密。完整实现这个步骤，可以使模型权重只能由授权方的GPU解密，并允许推理数据从客户端加密到服务供应方的特定GPU。

上述新技术能让模型权重在硬件层得到强有力的保护。

可信计算并不是一个新概念：长期以来，这些想法在基于硬件可信平台模块或可信执行环境的传统CPU上，是可以实现的。然而直到最近，GPU和AI加速器才具备这些能力，而且GPU的初期机密计算版本刚刚上市。尽管GPU的机密计算很有前景，但这项技术仍处于初期阶段。硬件和软件都需要投资，才能释放许多大语言模型和用例所需的规模和性能。此外，CPU上的机密计算技术也存在漏洞，我们不能期望GPU的对应版本完美无缺。它的成功远非既定的，这就是为什么现在正是投资和迭代的时候，以便有朝一日释放它的潜力。

2、网络和租户隔离保证

网络和租户隔离可以提供强大的边界，以此保护AI基础设施免受有明确动机和深度植入的威胁。

“气隙”常被引用为一种重要的安全机制，这并非毫无根据：网络分割是一种强大的控制手段，用于保护敏感工作负载，比如重要基础设施控制系统等。然而，“气隙”是一个不够具体的术语，它低估了在本质上相互关联的系统，如AI服务时所需的设计和折中考量。

相反，我们优先考虑灵活的网络隔离，让AI系统得以离线工作（与不受信任的网络分离，包括互联网），以尽量减少攻击面，以及知识产权和其他有价值数据的窃取途径。管理网络也需要精心设计，并遵循类似的属性。这些考量侧面承认了计算基础设施需要管理的事实，以及管理需要访问权限，但重点是消除攻击面和数据窃取途径的期望属性。这种管控方法不适用于所有用例，例如面向互联网的工具，但可能适用于最敏感的工作负载。

强大的租户隔离必须确保AI工作负载和资产不会因基础设施提供商的技术或操作漏洞而受到损害。AI系统必须在跨租户访问上具有弹性。例如，AI系统架构必须消除以下漏洞类别，即允许具有某个租户访问权限的威胁者，破坏该租户的模型权重，并存储到另一个租户中。此外，必须存在强大的技术和操作控制，保护AI工作负载免受平台或基础设施提供商本身带来的风险。进一步说，模型权重不能被未授权的云工程师或数据中心技术人员访问，或者被对手滥用凭证或非法收买。

3、数据中心操作和物理安全的创新

我们有必要制定AI数据中心的操作和物理安全措施，确保AI数据中心对内部威胁的防御力，这些威胁可能会破坏数据中心及其工作负载的机密性、完整性、可访问性。我们预计将采用传统和新颖方法进行严格管控。其中，传统方法包括广泛加固、访问控制、全天候监控、禁用数据承载设备进出设施、设置数据销毁要求、两人规则等。

我们渴望探索数据中心物理和操作安全的新方法。研究领域可能包括：供应链验证的推进、在未授权访问或怀疑受到威胁时遥控“紧急开关”进行数据中心隔离或数据擦除、防篡改系统帮助检测并操作同上。

4、AI专用审查和合规程序

由于AI开发者需要在与基础设施提供商合作时，保证其知识产权得到保护，AI基础设施必须接受审查并符合适用的安全标准。

虽然现有的标准如SOC2、ISO/IEC和NIST系列仍然适用，但我们预计这个列表未来将会扩大，进而包括AI特定安全和监管标准，以解决为保护AI系统所面临的特殊挑战。这需要云安全联盟AI安全倡议或NIST SP 800-218 AI更新方面的工作。OpenAI是云安全联盟人工智能安全倡议执行委员会的成员。

5、用AI进行网络防御

我们认为AI将对网络防御带来革命性影响，并可能平衡攻击者和防御者之间的对抗关系。

全球各地的防御者在提取分析需要检测和应对的网络威胁信号上举步维艰。此外，建立一个复杂精密的安全程序需要庞大的资源，许多人因此无法实现有效的网络防御。

而AI为增强网络防御者的能力和提高安全性提供了机会。AI可以集成到安全工作流程中，加快安全工程师的工作效率，减少他们的劳动强度。在今天的技术条件下，负责任地实施安全自动化是可以实现的，以此可以最大化其优点，同时规避其自身缺点。在OpenAI，我们使用我们的模型来分析高容量敏感安全遥测数据，否则人类分析团队无法处理这些数据。我们致力于将语言模型应用于防御性安全应用，继续支持独立的安全研究员和其他安全团队，因为他们用我们的技术来测试保护全球安全的创新方法。

6、弹性、冗余、研究

这些措施需要进行测试，理解这些概念很可能不过是个开始。鉴于AI安全领域的新颖性和快速发展的现状，我们需要持续开展安全研究，包括研究如何避开上述安全措施，消除未来必将暴露的漏洞。

最后，上述管控措施必须提供深度防御能力。没有完美无缺的系统，就没有无懈可击的安全。因此，这些管控措施必须通过多方协作来实现弹性。假设个体的管控措施失败，我们就改为解决问题的最终状态，在这种状态下，整个系统的完整性仍然可以通过智能设计来维持。通过建立冗余控制，提高攻击者的门槛，加强运营能力，拦截攻击，以此做好保护未来AI的准备，应对层出不穷的威胁。

（机器翻译，轻度译后编辑，仅供参考。）

原文链接

编辑：张湄婕

Was it helpful ?

还有问题？我们能帮忙吗？