Alibaba Cloud Feitianのリリースが終了したばかりの瞬間に、Alibaba Cloudはクラウドセキュリティへの2つの道筋である「Security for AI」と「AI for Security」を正式に発表し、「AI Cloud Shield for AI」シリーズ製品をリリースして、現在の業界調査の最良の例である「モデルアプリケーション向けのエンドツーエンドのセキュリティソリューション」を顧客に提供しました。
AIアプリケーション保護層に対して、アリババクラウドセキュリティのコア製品はWAAP(Web Application & API Protection)です。
モデルの出力がどんなに賢くても、入口がすべてスクリプトリクエスト、偽造トークン、乱用インターフェースであれば、数秒も持ちこたえられません。アリババのWAAP(Web Application & API Protection)はそのために生まれました。AIアプリケーションに対して「従来のWebシステム」のように扱うのではなく、専用のAIコンポーネント脆弱性ルール、AIビジネスフィンガープリンティングライブラリおよびトラフィックプロファイリングシステムを提供します。
今、これらはすべてAIに任せることができます。2024年、アリババクラウドのセキュリティシステムは通義大モデルに全面的に接続され、データセキュリティ、コンテンツセキュリティ、ビジネスセキュリティ、安全運用をカバーするAI能力クラスターを展開し、新しいスローガンを提案します:Protect at AI Speed。
なぜAI時代に、常に灰色産業とアダルト産業が最初に爆発するのか?
作者:ポンプの極客
オタクはビジネスを始め、シャオバイはクラスを購入し、画家は失業していますが、恥ずかしい現実は:AIは本格化していますが、プロットは降臨ルートではなく、サイコロを振っています。
そして、業界の初期には、このサイコロが最初に落ちる面は、往々にして黄色か灰色です。
理由は非常に簡単です。暴利が動力を生み出し、さらに発展初期の業界は常に穴だらけです。このデータセットを見るだけで明らかです:
現在、MCPサービスノードの43%以上が未検証のシェルコールパスを持っており、デプロイメントの83%以上がMCP(Model Context Protocol)設定の脆弱性を持っています。 AIコンポーネントのデプロイの88%は、いかなる形の保護もまったく有効にしていません。 現在、Ollama などの 150,000 の軽量 AI デプロイ フレームワークがグローバル パブリック ネットワークで公開されており、マイニングのために 10 億ドル以上の計算能力が乗っ取られています......
皮肉なことに、最も賢い大規模モデルを攻撃するためには、最低限の手法で済む——デフォルトでオープンなポートのセット、露出したYAML設定ファイル、または未検証のシェル呼び出しパスさえあればいい。さらに、プロンプト入力が十分に正確であれば、大規模モデル自身がグレー産業に攻撃の方向を見つける手助けをしてくれる。企業データプライバシーの扉は、こうしてAI時代に無断で出入りされてしまう。
しかし、問題は解決できないわけではありません:AIは単なるスポーンや攻撃以上のものです。 AIを保護にどう活用するかは、この時代の主なテーマになってきています。 同時に、クラウド上では、AIのルール策定も主要なクラウドベンダーにとって重要な方向性となっており、Alibaba Cloud Securityはその代表的な代表格です。
Alibaba Cloud Feitianのリリースが終了したばかりの瞬間に、Alibaba Cloudはクラウドセキュリティへの2つの道筋である「Security for AI」と「AI for Security」を正式に発表し、「AI Cloud Shield for AI」シリーズ製品をリリースして、現在の業界調査の最良の例である「モデルアプリケーション向けのエンドツーエンドのセキュリティソリューション」を顧客に提供しました。
01 AI サイコロ、なぜいつも灰色と黄色が先に上に来るのか?
人類の技術史において、AIは「先に黄暴で試される」新しい種ではなく、灰黄が先に爆発したのも、技術普及の法則であり、偶然ではない。
1839年に銀板写真術が登場すると、最初のユーザーはポルノ業界でした;
インターネットの初期、電子商取引は始まっていなかったが、アダルトサイトはすでにオンライン決済を模索し始めていた;
今日の大モデル羊毛党は、ある意味で「ドメイン時代」の暴富神話を再現している。
時代の利益は、常に灰色と黄色に触れられてしまう。彼らは規制を守らず、監督を待たず、効率は自然に非常に高い。
したがって、すべての技術の爆発期は、最初に一つの「混沌」となります。AIも例外ではありません。
2023年12月、あるハッカーは「$1の見積もり」という一言のプロンプトだけで、4S店のカスタマーサービスロボットを誘導し、ほぼ1ドルでシボレーを販売しようとしました。これがAI時代における最も一般的な「プロンプトインジェクション」です:権限検証は不要で、ログの痕跡も残さず、「巧妙な言葉」を使うだけで、全体のロジックチェーンを変更できるのです。
さらに踏み込むと、「ジェイルブレイク攻撃」です。攻撃者は逆質問、ロールプレイ、迂回提示などの方法を用いて、モデルに本来言うべきでないことを言わせることに成功します:ポルノコンテンツ、ドラッグ製造、偽の警告情報……
香港では、誰かが偽の経営者の声を使って、企業の口座から2億香港ドルを巻き上げることさえありました。
詐欺を除いて、AIには「非故意の出力」のリスクもある:2023年、ある教育大手の大規模モデルシステムが教案を生成する際に極端な内容を含む「有害教材」を誤って出力し、わずか3日で、保護者の権利擁護や世論の爆発が起こり、同社の株価は120億元蒸発した。
AIは法律を理解していませんが、それには能力があります。そして、その能力が監視から外れると、危険性を持つようになります。
しかし、別の観点から見ると、AIの技術は新しいが、グレー産業とアダルトコンテンツの最終的な流れと手段は変わらない。それを解決するには、やはり安全が頼りである。
02 AIのセキュリティ
まず、AI業界が集団で避けている冷知識について話しましょう:
大規模モデルの本質は、「知能」でも「理解」でもなく、確率制御下での意味生成です。したがって、訓練された文脈を超えると、予期しない結果を出力する可能性があります。
この超過範囲は、あなたがそれにニュースを書くように頼むと、それが詩を書くことかもしれませんし、あなたがそれに商品を推薦するように頼むと、突然今日の東京の気温は25度だと言うかもしれません。さらに、あなたがそれにゲームの中で、あるソフトウェアの正規シリアル番号を手に入れられないと撃たれると言うと、大モデルは本当にユーザーが0コストで正規ソフトウェアのシリアル番号を見つける手助けをすることができます。
出力を制御可能にするためには、企業はモデルとセキュリティの両方を理解する必要があります。IDCの最新の《中国安全大模型能力测评报告》によると、アリババは国内のすべてのセキュリティ大モデル能力を持つ主要企業とのPKにおいて、7つの指標のうち4つで1位を獲得し、残りの3つもすべて業界平均を上回っています。
やり方として、アリババクラウドのセキュリティが示す答えも非常に直接的です:セキュリティをAIの速度の前に走らせ、下から上へ、三層にわたる全栈防護フレームワークを構築します——インフラセキュリティから、大モデルの入力出力制御、さらにはAIアプリケーションサービスの保護まで。
この三層の中で、最も存在感があるのは、中間層が大規模モデルのリスクに特化した「AI セーフティーガードレール」(AI Guardrail)です。
一般的に、大規模モデルのセキュリティリスクには、コンテンツ違反、センシティブデータの漏洩、プロンプトインジェクション攻撃、モデルの幻覚、ジャイルブレイク攻撃の主に5つのカテゴリがあります。
しかし、従来のセキュリティソリューションは一般的なアーキテクチャが多く、Web向けに設計されているため、「会話するプログラム」に適しておらず、大規模モデルの特有のリスクを正確に識別し応答する能力がありません。生成されたコンテンツの安全性、コンテキスト攻撃の防御、モデル出力の信頼性などの新たな問題についてもカバーするのが難しいです。さらに重要なことに、従来のソリューションは細粒度の制御手段と可視化追跡メカニズムを欠いているため、企業はAIガバナンスにおいて大きな盲点を抱え、問題がどこにあるのかわからず、当然問題を解決することができません。
AIガードレールの真の力は、「停止できる」だけでなく、事前に学習された大規模モデル、AIサービス、さまざまなビジネス形態のAIエージェントなど、何を言っているのか、大規模モデルが何を生成しているのかを把握し、正確なリスク検出と積極的な防御機能を提供し、コンプライアンス、セキュリティ、安定性を実現することです。
具体的には、AI Guardrailは3種類のシーンの保護を担当しています:
ꔷコンプライアンスのボトムライン:生成AIのテキストコンテンツの入出力の多次元コンプライアンスレビューを実施し、政治的感受性、ポルノと下品さ、偏見と差別、悪い値などのリスクカテゴリをカバーし、AIインタラクション中に漏洩する可能性のある個人データと機密情報を深く検出し、個人のプライバシーと企業のプライバシーを含む機密コンテンツの識別をサポートし、AI生成コンテンツが法律、規制、およびプラットフォームの仕様に準拠していることを確認するためのデジタル透かしの識別を提供します。
ꔷ 脅威防御:外部攻撃行為に対して、プロンプト攻撃、悪意のあるファイルアップロード、悪意のあるURLリンクなどに対するリアルタイム検出と遮断を実現し、AIアプリケーションの最終ユーザーのリスクを回避します;
ꔷ モデルの健康:AIモデル自身の安定性と信頼性に注目し、モデルの脱獄やプロンプトクローラーなどの問題に対して、一整套の検出メカニズムを構築し、モデルの濫用、誤用、または制御不能な出力を防止し、AIシステムの「免疫防線」を構築する;
最も注目すべきは、AI Guardrailは、上記の複数の検出モジュールを単に積み重ねるのではなく、モジュールを分割したり、お金を追加したり、製品を変更したりすることなく、実際のオールインワンAPIを実現していることです。 モデルのインプットおよびアウトプットのリスクについては、お客様は追加の製品を購入する必要はありません。 インジェクションリスク、悪意のあるファイル、コンテンツコンプライアンス、幻覚など、さまざまなモデルリスクを同じ製品で解決できます。 1 つのインターフェースで 10+ 種類の攻撃シナリオを検出でき、4 つのデプロイ方法(API プロキシ、プラットフォーム統合、ゲートウェイ アクセス、WAF マウント)、ミリ秒レベルの応答、1,000 レベルの同時処理をサポートし、最大 99% の精度を実現します。
したがって、AI Guardrail の真の意味は、「モデルの安全性」を「製品の能力」に変え、一つのインターフェースが一つの安全チームを持つことです。
もちろん、大規模モデルは空中に浮いている概念ではなく、ハードウェアとコード上で動作するシステムであり、上層のアプリケーションを支えています。そして、インフラの安全性やAIアプリケーションサービスの保護に関して、アリババクラウドセキュリティもすべてアップグレードされました。
インフラストラクチャレイヤーで、アリババクラウドセキュリティはクラウドセキュリティセンターを発表しました。コアはAI-BOM、AI-SPMなどの製品です。
具体的には、AI-BOM(AI部品表)とAI-SPM(AIセキュリティ状況管理)の二つの能力が、それぞれ「私はどのAIコンポーネントを装備しているか」と「これらのコンポーネントにはどれだけの脆弱性があるか」という二つの問題を解決します。
AI-BOM のコアは、デプロイ環境における AI コンポーネントを一網打尽にすることです:Ray、Ollama、Mlflow、Jupyter、TorchServe など、30 を超える主要コンポーネントが「AI ソフトウェアマテリアルリスト」を形成し、その中に存在するセキュリティの弱点や依存関係の脆弱性を自動的に識別します。問題のある資産を発見する際には、もはや人力での調査に頼るのではなく、クラウドネイティブのスキャンによって行います。
AI-SPMの定位は「レーダー」に近い:脆弱性、ポートの露出、クレデンシャルの漏洩、平文の設定、権限のないアクセスなど複数の次元からシステムのセキュリティ状況を継続的に評価し、動的にリスクレベルと修正提案を提供します。これにより、セキュリティは「スナップショット型コンプライアンス」から「ストリーミング型ガバナンス」へと変わります。
一言でまとめると:AI-BOMはあなたがどこでパッチを当てた可能性があるかを知っており、AI-SPMはあなたが他にどこで再び攻撃を受ける可能性があるかを知っているので、早急に対策を強化してください。
AIアプリケーション保護層に対して、アリババクラウドセキュリティのコア製品はWAAP(Web Application & API Protection)です。
モデルの出力がどんなに賢くても、入口がすべてスクリプトリクエスト、偽造トークン、乱用インターフェースであれば、数秒も持ちこたえられません。アリババのWAAP(Web Application & API Protection)はそのために生まれました。AIアプリケーションに対して「従来のWebシステム」のように扱うのではなく、専用のAIコンポーネント脆弱性ルール、AIビジネスフィンガープリンティングライブラリおよびトラフィックプロファイリングシステムを提供します。
たとえば、WAAPは、Mlflowの任意のファイルアップロードやRayサービスのリモートコマンド実行など、50 +コンポーネントの脆弱性をカバーしています。 組み込みのAIクローラー指紋データベースは、毎時10,000を超える新しいコーパスブラシとモデル評価ツールを識別できます。 API資産識別機能は、企業内のどのシステムがGPTインターフェースを公開しているかを自動的に検出し、セキュリティチームのために「マップに点を打つ」ことができます。
最も重要なのは、WAAPとAIガードレールは対立するのではなく、むしろ補完し合うことです:一つは「誰が来たか」を見て、もう一つは「何を言ったか」を見ます。一つは「認証ツール」のようで、もう一つは「言動監視員」のようです。これにより、AIアプリケーションは「自己免疫」能力を持つことができます——識別、隔離、追跡、対抗することによって、「悪者を阻止する」だけでなく、「モデルが自ら悪化しないようにする」ことも可能です。
03 セキュリティのためのAI
AIが実用化されるのがサイコロを振るようなものであれば、誰かがそれを使って占いをしたり、誰かがそれに恋の詩を書かせたり、誰かがそれを灰色産業に利用したりするのも不思議ではない。だから、誰かがそれを使って安全を確保しようとするのも不思議ではない。
過去、安全な運用には、毎日たくさんの赤信号と緑信号のアラートを見守る人々が必要で、昼は昨日の悪化した状況を引き継ぎ、夜はシステムと共に夜勤をしていました。
今、これらはすべてAIに任せることができます。2024年、アリババクラウドのセキュリティシステムは通義大モデルに全面的に接続され、データセキュリティ、コンテンツセキュリティ、ビジネスセキュリティ、安全運用をカバーするAI能力クラスターを展開し、新しいスローガンを提案します:Protect at AI Speed。
意味は明確です:ビジネスは速く走るが、リスクはもっと速く、しかし安全はさらに一歩先に行かなければなりません。
AIを使ってセキュリティを解決することは、実際には2つのことです:セキュリティ運用の効率向上 + セキュリティ製品のスマート化アップグレード。
従来のセキュリティシステムの最大の痛点は「ポリシーの更新の遅れ」である:攻撃者は変わったが、ルールは変わっていない;アラートが来ても、誰も理解していない。
大規模モデルがもたらす変革の鍵は、安全システムをルール駆動型からモデル駆動型に転換することにあり、「AIの理解能力 + ユーザーのフィードバック」を用いて閉ループエコシステムを構築することです——AIがユーザーの行動を理解する → ユーザーが警告結果にフィードバックする → モデルが継続的にトレーニングされる → 検出能力がますます正確になる → サイクルがますます短くなる → リスクがますます隠れにくくなる、これがいわゆる「データフライホイール」です:
その利点は二つあります:
一方では、クラウドテナントのセキュリティ運用効率が向上します:これまで、脅威検出は「大量のアラート+手動スクリーニング」の非効率的なモデルを意味していました。 今日、インテリジェントなモデリングにより、悪意のあるトラフィック、ホスト侵入、バックドアスクリプトなどの異常な動作が正確に特定され、アラームのヒット率が大幅に向上しています。 同時に、廃棄リンクの周りでは、システムは自動廃棄と非常に高速な応答との間の深い相乗効果を実現しました-ホストの純度は99%で安定しており、流れの純度は99.9%に近いです。 現在、アラームイベントタイプのカバレッジ率は99%に達し、大型モデルのユーザーカバレッジ率も88%を超えており、セキュリティ運用チームの人的効率がこれまでにないほど解き放たれています。
一方、クラウドセキュリティ製品の機能は急速に向上しています。 データセキュリティレイヤーとビジネスセキュリティレイヤーでは、AIは「ゲートキーパー」の役割を任されています:大規模なモデルの能力に基づいて、クラウド上の800+種類のエンティティデータを自動的に識別し、インテリジェントに感度を下げて暗号化することができます。 構造化データに加えて、システムには30を超える組み込みドキュメントおよび画像認識モデルもあり、ID番号や画像内の契約要素などの機密情報をリアルタイムで識別、分類、暗号化できます。 全体的なデータマーキング効率が5倍向上し、認識精度が95%に達するため、プライバシーデータ漏洩のリスクが大幅に減少します。
たとえば、コンテンツ セキュリティのシナリオでは、従来のアプローチは、人間によるレビュー、タグ付け、および大規模な注釈トレーニングに依存することです。 現在、Promptエンジニアリングとセマンティックエンハンスメントを通じて、Alibabaは注釈効率を100%、ファジー表現認識を73%、画像コンテンツ認識を88%、AIライブ顔攻撃検出精度を99%向上させるという真のメリットを達成しています。
もしフライホイールがAIと人間の経験を組み合わせた自律的な防御を主打するのであれば、スマートアシスタントは安全スタッフのオールマイティアシスタントです。
安全運用スタッフが毎日直面する最大の問題は:このアラートは何を意味するのか?なぜ発生したのか?誤報なのか?どのように対処すればよいのか?昔であれば、これらの問題を解決するためにログを調べたり、履歴を確認したり、ベテラン社員に尋ねたり、作業依頼を出したり、技術サポートに連絡したりしていました……今では、ただ一言で済みます。
しかし、スマートアシスタントの機能の位置付けは単なる質問応答ロボットではなく、安全分野の垂直的なCopilotのようなもので、その5つのコア能力には以下が含まれます:
製品問い合わせアシスタント:特定の機能の設定方法、なぜこの戦略がトリガーされるのか、どのリソースが保護されていないのかを自動的に回答し、大量のチケットサービスを代替します;
アラート解説エキスパート:アラート番号を入力すると、イベントの解説、攻撃チェーンのトレース、推奨応答戦略が自動的に出力され、さらに多言語出力をサポートします;
安全事件復盤アシスタント:自動的に侵入事件の完全なチェーンを整理し、タイムライン、攻撃パス図、責任判定の提案を生成します;
レポートジェネレーター:ワンクリックで月次/四半期/緊急安全レポートを生成し、イベント統計、処理フィードバック、運用成果を含み、視覚的なエクスポートをサポートします;
全言語サポート:中文、英語をカバーしており、国際版は6月に上线し、海外チームの使用習慣に自動適応をサポートします。
これらの「5つの小さなこと」を過小評価しないでください、現在までに、アリババの公式データによると、サービスを受けたユーザー数は40,000人を超え、ユーザー満足度は99.81%、アラームタイプのカバレッジは100%に達し、迅速なサポート容量は1175%増加しました(FY24前年比)。 簡単に言うと、夜勤のハイパフォーマンスな同僚、レポートを書くインターン、アラートを扱うエンジニア、業務を理解しているセキュリティコンサルタントを1つのAPIにパッケージ化し、この能力があれば、人間が判断するだけでパトロールをやめてしまうのです。
04 エピローグ
過去を振り返ると、歴史には「時代を切り開く技術」が不足しているわけではなく、2年目の熱潮を乗り越える技術が不足している。
インターネット、P2P、ブロックチェーン、ドライバーレス...... テクノロジーの波が爆発するたびに、かつては「新しいインフラストラクチャ」と呼ばれていましたが、最終的には実際のインフラストラクチャになるままにされ、「ガバナンスの空白」を通過できたのはごくわずかでした。
現在の生成的AIは類似の段階にあります:一方ではモデルが多様化し、資本が追い求め、アプリケーションが次々と突破しています;もう一方ではプロンプト注入、コンテンツの越権、データ漏洩、モデルの操縦があり、脆弱性が散在し、境界が曖昧になり、責任が不明確になっています。
しかし、AIは従来の技術とは異なります。AIは絵を描いたり、詩を書いたり、プログラミングをしたり、翻訳したりするだけでなく、人間の言語を模倣し、判断し、さらには感情をも持つことができます。しかし、そのために、AIの脆弱性はコードの欠陥だけではなく、人間性の反映から来ているのです。人間に偏見があれば、AIもそれを学びます;人間が便利さを求めれば、AIもあなたのためにずるをするでしょう。
技術そのものの利便性は、このマッピングの拡大器である:過去のITシステムは「ユーザー承認」を必要とし、攻撃は浸透によって行われていた;今の大モデルはただプロンプトを注入し、あなたとおしゃべりするだけでシステムの誤動作やプライバシー漏洩を引き起こすことができる。
もちろん、「完璧無比」のAIシステムは存在しません。それはSFであり、エンジニアリングではありません。
唯一の答えは、安全なモデルを使って不安全なモデルを守り、賢いシステムを使って賢い脅威に対抗することです——AIでサイコロを振り、アリは安全な面を選びます。