您的当前位置:首页 > 娱乐 > 腾讯朱雀实验室打造AI安全"瑞士军刀" 正文
时间:2026-07-17 12:16:20 来源:网络整理 编辑:娱乐
2026年6月30日,腾讯朱雀实验室发布了一项突破性研究成果,论文编号 arXiv:2606.31227v1,归属于计算机安全cs.CR)领域。该研究正式推出了开源安全框架 AI-Infra-Guar

2026年6月30日,腾讯腾讯朱雀实验室发布了一项突破性研究成果,朱雀造论文编号 arXiv:2606.31227v1,实验室打士军归属于计算机安全(cs.CR)领域。全瑞该研究正式推出了开源安全框架 AI-Infra-Guard(github.com/Tencent/AI-Infra-Guard),腾讯旨在解决AI系统快速扩张与安全工具滞后之间的朱雀造矛盾。
随着AI深度融入工作与生活,实验室打士军其安全性成为核心关切。全瑞现有通用安全工具难以应对AI系统复杂的腾讯层级结构,导致大量安全隐患被忽视。朱雀造AI-Infra-Guard通过打破“一刀切”的实验室打士军传统模式,首次实现了针对 AI基础设施、全瑞协议工具、腾讯智能体行为、朱雀造语言模型本身及AI技能供应链五个维度的实验室打士军全覆盖检测。
过去两年,AI软件生态爆发式增长,包括模型服务引擎(Ollama, vLLM, llama.cpp)、应用构建平台(Dify, LangFlow)、图像生成工具(ComfyUI)、资源调度系统(MLflow, Kubeflow)以及新兴的MCP(Model Context Protocol)服务器。这些工具大多由小团队部署,安全意识薄弱且常暴露于公网,但传统安全工具对其几乎“视而不见”。
传统漏洞扫描依赖“已知软件特征库”。由于Ollama、Dify等软件出现时间较短,特征库中缺乏对应指纹,导致无法识别目标。这如同持有过期的护照图鉴,无法识别新成立国家的旅客。
传统工具通过版本号判断漏洞风险,但AI软件版本命名混乱:
* 非标准格式:如 b7824(构建编号)、2.3.dev(开发快照)、latest(滚动更新)。
* 后果:传统比较器无法处理,导致大量漏报或误报。
传统网络安全关注SQL注入、XSS等经典攻击,而AI系统的核心风险在于:
* 未认证访问昂贵GPU算力。
* API密钥意外泄露。
* 提示词注入劫持AI行为。
* 对抗性提问导致模型“破防”。
传统工具对这类新型威胁缺乏感知能力。
研究团队提出“分层攻击面”概念,将AI系统比作一座四层建筑,每层匹配特定的检测范式:
| 层级 | 对应组件 | 核心风险 | 检测范式 |
|---|---|---|---|
| 基础设施层 | 服务器、控制台、配置接口 | 已知漏洞、配置错误 | 确定性规则匹配(Infra-Scan) |
| 协议与工具层 | MCP服务器、AI技能包 | 代码注入、指令操控 | AI驱动语义审计(MCP-Scan) |
| 智能体行为层 | 部署上线的AI助手 | 运行时诱导、越狱 | 多轮对话红队测试(Agent-Scan) |
| 模型层 | 语言模型本身 | 概率性失守、有害输出 | 大规模攻击枚举+AI裁判(Prompt-Security) |
模块:Infra-Scan (M1)
该模块采用类似机场安检的机制,维护庞大的“已知风险特征库”,快速比对网络目标。
Dify或 图标哈希等于 97378986。为确保漏洞比对准确,系统对提取的版本号进行标准化:
* 剥离 v前缀。
* latest映射为最大哨兵版本。
* .dev后缀归零(如 2.3.dev-> 2.3.0)。
* rc标记裁去,纯数字构建编号取数值。
* 多源版本约束取交集,不兼容则报错。
对于无法用YAML描述的复杂组件(如MLflow),提供 Go语言命令式逃生通道,允许直接编写指纹匹配函数,实现多步条件交互逻辑。
.env文件高熵凭据),确证漏洞存在。模块:MCP-Scan (M2)
MCP服务器是AI的“手脚”,其漏洞可能导致攻击者借AI之手操控系统。传统规则无法捕捉此类语义级漏洞,因此引入LLM作为“思考型安全审计员”。
模块:Skill-Scan (M3)
AI技能包(类似浏览器插件)存在投毒、权限滥用等风险。M3模块旨在验证技能“实际行为”与“声明用途”的一致性。
curl | bash、云元数据访问、反向Shell等)。分为 正常、可疑、恶意三级。引入“可疑”类别以应对意图不明的危险模式,避免二元分类的局限性。
发布首个智能体技能安全性公开基准,包含5520个精选案例,覆盖9类威胁。AI-Infra-Guard配合Claude Opus 4.6模型,在松散F1分数上达到 0.9848,召回率接近1.0。
模块:Agent-Scan (M4)
针对已部署的AI助手,通过模拟真实用户对话发现运行时漏洞。
模块:Prompt-Security (M4)
将模型安全评估转化为统计学问题,计算对抗性提示下的“失守”概率。
针对毒性、偏见、虚假信息、隐私泄露等特定有害类型,提供专门化的裁判模型,避免通用标准的“一刀切”。
AI-Infra-Guard采用 分布式服务器-智能体架构:
* 中央调度:Web服务器管理任务持久化、工作者池及进度推送。
* 统一调度:Go语言实现的Infra-Scan与Python实现的LLM模块通过同一套机制调度,支持毫秒级扫描至数十分钟红队测试的无缝衔接。
* 实时反馈:通过WebSocket和SSE(Server-Sent Events)实时推送事件流,支持长任务中途取消。
* 三种交付形式:
1. CLI工具:供开发者直接使用。
2. Web服务:支持团队协作与持续监控。
3. 智能体技能包:可安装至OpenClaw、Cursor等宿主,通过对话触发扫描。
| 工具类型 | 代表工具 | 覆盖范围 | 局限性 |
|---|---|---|---|
| 基础设施扫描 | Nuclei | 基础设施层 | 无法检测AI智能体、模型对齐问题 |
| 静态代码分析 | Semgrep, CodeQL | 代码层 | 缺乏MCP感知,无运行时测试 |
| 协议审计 | Invariant MCP-Scan | 协议层 | 不覆盖基础设施和模型层 |
| 行为/模型测试 | garak, PyRIT, promptfoo | 行为/模型层 | 不扫描基础设施,不审计MCP代码 |
| 技能供应链 | 无 | 无 | 目前无主流工具覆盖 |
AI-Infra-Guard的独特优势:
1. 唯一全覆盖:同时覆盖基础设施、协议、行为、模型及技能供应链五大维度。
2. AI专用优化:专门处理AI软件不规则版本号和特有漏洞类型。
3. 跨切设计模式:
* 提示词即规则:强调排除条件以防止过度报告。
* 主观判断客观锚定:通过确定性检查(如金丝雀令牌)替代主观阅读。
* 扫描器自身防御:将安全工具视为攻击目标,实施指令与数据隔离。
AI-Infra-Guard不仅提供了四个维度的检测工具,更确立了一套经过严密论证的方法论:不同的AI安全问题需要不同的检测范式。在AI部署速度超越安全工具发展的当下,这种分层、匹配、全栈的防御框架,比单一工具更具价值。
Q1:AI-Infra-Guard和Nuclei、garak这些已有工具有什么区别?
A:Nuclei擅长网络服务漏洞扫描,garak专注模型安全性测试,但两者均只覆盖AI攻击面的单一层次。AI-Infra-Guard是目前唯一整合了基础设施扫描、MCP代码审计、技能供应链审计、智能体运行时红队测试及模型越狱评测的开源框架,并专门解决了AI软件版本混乱和特有漏洞的检测难题。
Q2:MCP服务器的“工具投毒”攻击是怎么回事?
A:MCP服务器通过自然语言描述向AI提供工具能力。攻击者篡改这些描述,植入隐蔽指令,诱导AI在执行工具时执行恶意操作(如数据外传)。由于描述对AI而言是“可信上下文”,且传统代码扫描无法识别自然语言中的恶意意图,此类威胁极具隐蔽性。
Q3:SkillTrustBench是什么,为什么要发布这个基准?
A:SkillTrustBench是腾讯朱雀实验室发布的首个AI智能体技能安全性公开基准,包含5520个精选案例,覆盖9类供应链威胁。其目的是提供客观标准,使不同扫描工具和基础模型能在同等条件下比较检测能力,推动该领域向可量化、可重复的方向发展。
腾讯朱雀实验室打造AI安全瑞士军刀2026-07-17 12:11
湖人悔不当初!名记透露詹皇想法,76人掘金好机会:签约太简单2026-07-17 11:56
民营医院大批量倒闭,根本不是经营不善2026-07-17 11:49
最终幻想7:重制版终章剧情扩展通行证等DLC信息疑遭后台数据泄露2026-07-17 11:19
豆瓣9.8封神!男性必看的10部顶级权谋剧,看完格局直接打开2026-07-17 10:56
美股存储芯片股大跌,闪迪跌超11%,“科技七姐妹”走势分化,苹果涨超4%2026-07-17 10:46
山东一老师殴打学生致满身淤青 多方回应2026-07-17 10:22
“360万法拉利被4名儿童划损”最新进展:已有3家上门道歉赔偿2026-07-17 10:17
河北富商相亲发现小23岁对象酷似亡妻,DNA检测后傻眼:怎么可能2026-07-17 10:01
何小鹏预测2030年中国新能源车渗透率超90%:未来每辆车都是四轮机器人2026-07-17 09:38
儿子带女同学过夜视频走红,引近40万人点赞,这家长的心太大了!2026-07-17 12:11
新款坦克300官图发布:外观焕新、轴距+260mm、首搭激光雷达,7月6日预售2026-07-17 12:05
李迅雷:2万亿存款流出,但大部分是“养命钱”,大概率不会流向股市2026-07-17 12:01
经典老剧圈粉年轻人的密码2026-07-17 11:49
一集入坑!《后翼弃兵》女主又杀疯了!!2026-07-17 11:18
盛世天下系列销量破550万套,创全球真人互动影视新纪录2026-07-17 11:05
罗马诺:纳帅想率队冲击下一个周期,克洛普也渴望执教德国队2026-07-17 10:28
北京多家公园推出“清凉游览路线”2026-07-17 10:25
租了18年的房子,退租时被要求“恢复如新”?房东索赔各类修复费近25万元,法院:租客仅需赔付6万余元,房东返还6600元保证金2026-07-17 09:59
乌克兰首都基辅遭空袭致27死91伤2026-07-17 09:35