AI安全解决方案白皮书——构建面向 AI 基础设施的安全架构

——构建面向AI基础设施的安全架构 版权所有©华为云计算技术有限公司2026。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com 导读：AI时代的安全架构：企业CSO需要了解和行动的7件事 1.改变安全的定位：从附属成本→产业化核心底座能力 AI技术的本质特性、风险内生性，使安全成为AI产业化发展的前置条件。安全与AI系统同构、同源、同生命周期。安全与AI发展并重，成为基础设施底座能力。 2.规划新的安全目标：从防入侵、防泄漏→防失控、防认知颠覆 安全风险从外部入侵到全栈内生风险涌现，核心目标从封堵系统漏洞、抵御外部网络入侵，转向防范AI模型与智能体出现行为偏离、决策失准、权限越界等失控问题，以确保AI始终在人类设定的框架内运行。 3.设计全新防护思路：从边界围墙防护→全栈内生免疫 AI时代数据在云边端流动，模型通过API开放调用，智能体可跨系统执行任务，安全边界消失。全新的设计思路是安全要嵌入AI基础设施每一层：从芯片级的可信计算、算力调度的隔离机制，到模型训练、推理过程的数据投毒、恶意任务检测，再到智能体的身份、沙箱与权限，构建全栈内生免疫的安全系统。 4.构建跨域的安全信任链：安全信任链成为AI底座 企业选择混合架构的AI基础设施，以应对AI的快速变化。新的安全架构需要构建全密态为核心的信任链，端到端加密促进数据流通，机密计算保障训推安全。 5.降低智能化中枢不确定性：从训练开始治理模型安全 大模型本质上是一个概率性系统，其输出结果具有不确定性。当前企业智能中枢的开发模式从训练生产大模型，转变为基于基础模型后训练微调。从训练态安全治理开始，到推理态护栏，以降低模型不确定性的概率。 6.抑制智能体意图偏离威胁：管控Agent全生命周期 企业的数字员工逐步进生产，自主执行操作失控和群体性失控的风险剧增。应像管理员工一样，以识别智能体危险意图为基础，构建Agent全生命周期的安全能力。 7.用安全智能体重塑安全运营：AI驱动事前制衡、动态治理 模型与智能体的快速发展，大幅降低了攻击门槛。AI时代的安全运营，必须具备以AI制衡AI的能力。从人工处置到智能体自主执行，安全形态已逐步从事后补救、静态合规到事前制衡、动态治理。智能体将取代人工完成90%以上的安全运营工作。 2.1AI业务变化与安全挑战.........................................................................42.2AI安全解决方案理念.............................................................................52.3AI安全解决方案架构.............................................................................7 3.AI安全建设指南................................................................................................13 3.1AI基础设施安全—混合架构下可信赖的AI安全底座....................133.2模型安全—从不确定性到安全可控的智能化中枢.............................223.3智能体安全—智能体全生命周期安全管控.........................................303.4智能化安全运营—多智能体全域自治，威胁自主闭环.....................35 4.典型场景化应用..................................................................................................40 4.1混合云场景下智能体安全防护.............................................................404.2医疗云上训练和推理.............................................................................434.3智驾上云训练.........................................................................................454.4企业代码智能体防护.............................................................................464.5企业办公助手防护.................................................................................48 5.未来展望..............................................................................................................51 1.AI业务趋势分析 当前，人工智能产业发展范式正发生深刻变革，逐步从传统封闭、自建自用的私有生态，迈向混合云协同部署、开源基座主导、智能体规模化落地、数实深度融合的全新发展阶段。伴随AI算力架构、模型开发模式、应用形态的全面迭代，传统依托物理边界、静态策略、被动防御构建的安全体系已难以适配新时代AI业务的发展特征。AI安全风险由单一单点问题转向基础设施、模型算法、智能应用的全栈式、体系化的风险。传统安全边界持续消融、新型安全威胁集中涌现，成为制约人工智能产业规模化、安全化、高质量发展的核心瓶颈。结合当前AI产业发展趋势，梳理全链条安全的挑战： 1.1混合架构AI基础设施：跨域融合带来安全边界模糊风险 AI算力建设模式已从企业重资产自建、封闭独享的私有算力架构，迭代为公私混合、云边协同的混合算力架构。混合架构依托公有云弹性算力资源与私有云核心资产沉淀的组合优势，有效降低了企业AI建设成本、提升算力资源复用效率。但多架构融合部署模式彻底打破了传统固化的安全边界，企业核心模型、训练数据、推理业务请求需在私有云、公有云、边缘节点之间高频跨域流转，数据存储、传输、计算全链路脱离单一可控边界，极易出现数据泄露、非法窃取、链路劫持等安全隐患，算力基础设施的全域安全管控难度显著提升。 1.2公有云推理场景：规模化推理引发数据隐私保护难题 AI算力结构呈现结构性迭代，推理算力已成为AI基础设施的核心支出主体，公有云推理服务凭借弹性伸缩、按需调度、低成本高效能的优势，成为企业大模型推理业务的主流承载形态。不同于封闭的本地化训练场景，公有云推理具备强开放性、多租户共享、业务高并发特征，企业开展云端推理业务时，需将包含商业机密、用户隐私、行业敏感信息的业务数据上传至公有云完成计算处理。公开共享的云端运行环境，使得用户隐私数据、业务核心数据面临窃取、留存、滥用、泄露等多重风险，规模化推理场景下的数据隐私保护压力持续加剧。 1.3公共云战略升级：软硬芯全栈信任链可信验证挑战突出 随着AI算力成为数字经济核心战略资源，公共云已成为国家及行业AI基础 设施建设的核心载体，承载海量关键业务与核心算力服务。公共云的共享复用、全域开放特性，使其成为高级网络攻击的重点靶向，算力供应链安全风险沿芯片、固件、底层系统、云平台、上层应用全栈传导。软硬件任一环节的漏洞、后门与缺陷，可能引发全域算力集群失稳、核心业务瘫痪、关键数据失窃等重大风险。当前，如何构建覆盖芯片、硬件、基础软件、云平台服务的全栈可信的信任体系，实现基础设施可验证、可溯源、可信赖，成为政企AI基础设施安全建设的核心痛点。 1.4模型后训练阶段：数据污染与概率输出带来内生安全风险 大模型研发模式已完成范式迭代，从全自研预训练的重资产模式，转变为依托开源基座模型进行企业适配，二次微调、增量训练的轻量化模式，大幅降低了大模型落地门槛与研发成本。但后训练微调所用行业数据来源繁杂、质量参差不齐，普遍存在数据清洗不充分、内容审核不完善等问题，极易混入错误信息、偏见数据、恶意投毒样本，造成模型数据污染。污染数据将被模型内化学习，引发模型幻觉、输出偏差、逻辑谬误等概率性安全问题，导致模型输出不可控、不可信，产生内容合规、业务决策、风险判断等多维度模型内生安全隐患。 1.5数字员工智能体：自主化作业引发行为失控与滥用风险 AI应用形态从被动应答式交互工具，快速演进为具备自主感知、智能决策、闭环执行能力的数字员工智能体。智能体可依托独立身份与权限体系，跨系统、跨场景自主完成业务处理、工具调用、数据读写、流程执行等复杂工作，极大提升业务智能化效率。但高度自主的运行特性，打破了传统人工干预、流程约束的安全管控模式，智能体极易因算法缺陷、指令劫持、策略漏洞出现越权访问、批量操作、数据窃取、恶意调用等失控行为，引发业务风险与数据安全事件，新型自主化AI应用的行为管控难度持续攀升。 1.6数实融合具身智能：虚实联动带来全域安全失控隐患 AI技术正加速从纯数字化虚拟场景，向人机物融合的具身智能场景落地，工业机器人、智能装备、人形终端等具身智能体实现了数字智能与物理执行能力的深度融合。不同于纯软件AI应用仅作用于数字空间，具身智能可直接感知、干预、改造物理世界，使得传统AI数字安全风险全面向物理空间延伸扩散。虚实 融合的业务形态，让安全风险突破单一网络边界，形成数字风险、物理风险、场景风险叠加的全域安全隐患，传统安全防护体系无法覆盖数实融合场景的新型失控风险。 2.AI安全总体框架 2.1AI业务变化与安全挑战 Agentic AI正在赋能千行百业，深刻重塑数字基础设施的运行底座。这一变革不仅改变了业务的交付方式，更从根本上打破了传统安全领域在身份管理、攻击面管理、跨域信任及运行态防御上的基本假设。 Agentic AI的自主性、动态协作、不确定性等特征，击穿了基础设施在身份管理、攻击面管理、跨域信任、运行态防御等的安全假设。 AgenticInfra：底层基础设施层正在经历算力底座的范式重塑。芯片架构已由CPU中心化迈向XPU对等架构；系统部署从单台服务器扩展升级为跨机柜的高速互联矩阵；工作负载完成了从超算与智算独立运行向混合全链路负载的融合；管理主体也由人工运维转向智能体自主控制。 安全挑战：架构的极速演进导致了旧有防御体系失效。依托传统CPU构建的硬件防护能力难以覆盖XPU固件级攻击及侧信道威胁；面向传统静态资产的防护体系，无法满足新型AI资产全生命周期的动态管理需求，形成安全盲区。 模型服务：作为智能中枢的模型服务层，其交互与处理方式发生了质的飞跃。业务交互不再依赖繁琐的任务拆解，而是通过自然语言描述即可完成复杂调用；