AI 系統的 FedRAMP
將聯邦風險與授權管理計畫(FedRAMP)應用於 AI 系統:AI 專屬安全控制措施、模型行為的持續監控、授權邊界挑戰以及合規測試方法。
聯邦風險與授權管理計畫(FedRAMP)為聯邦機構使用的雲端服務提供標準化的安全授權方法。隨著政府機構在雲端環境中部署 AI 系統——以及雲端服務供應商將 AI 功能嵌入其取得 FedRAMP 授權的產品中——FedRAMP 與 AI 安全的交集已成為關鍵的合規與安全挑戰。
FedRAMP 原是為傳統雲端運算設計。其控制基線針對決定性系統的網路安全、存取管理、資料保護與事件回應。AI 則引入了非決定性行為、將模型完整性視為一類資產,以及傳統 FedRAMP 控制無法乾淨對應的攻擊面(提示詞注入、資料投毒、模型萃取)。本頁涵蓋如何彌合這個缺口。
AI 的 FedRAMP 控制對應
直接適用的控制措施
許多 FedRAMP 控制措施無需修改即可套用於 AI 系統。底層基礎設施——運算、儲存、網路、身分管理——無論工作負載是 AI 或傳統軟體,都使用相同的雲端元件。
| 控制族 | 套用於 AI | 備註 |
|---|---|---|
| AC(存取控制) | 模型 API 存取、訓練資料存取、推論端點認證 | 標準套用 |
| AU(稽核) | 提示詞日誌、推論日誌、模型版本追蹤 | 延伸至 AI 產物 |
| CM(組態管理) | 模型版本控制、超參數追蹤、部署組態 | 新資產類型 |
| IA(識別/認證) | 模型端點的 API 金鑰管理 | 標準套用 |
| SC(系統/通訊保護) | 模型產物與推論流量的加密 | 標準套用 |
需要 AI 專屬延伸的控制措施
多個 FedRAMP 控制族需要延伸以處理 AI 專屬風險:
SI(系統與資訊完整性):
傳統 SI 控制聚焦於惡意軟體偵測、修補程式管理與輸入驗證。對 AI 系統,SI 必須延伸以涵蓋:
# Extended SI controls for AI systems
SI-AI-1: Model Integrity Monitoring
description: >
Continuously monitor AI model behavior for drift,
degradation, or manipulation.
assessment_methods:
- Periodic evaluation against benchmark datasets
- Statistical process control on output distributions
- Adversarial probe testing on a scheduled basis
evidence:
- Model evaluation reports (monthly)
- Drift detection dashboards
- Adversarial testing results
SI-AI-2: Training Data Integrity
description: >
Verify the integrity and provenance of all data used
to train, fine-tune, or calibrate AI models.
assessment_methods:
- Hash verification of training datasets
- Provenance tracking for all data sources
- Statistical analysis for poisoning indicators
evidence:
- Data provenance documentation
- Integrity verification logs
- Poisoning detection scan results
SI-AI-3: Prompt Injection Protection
description: >
Implement controls to detect and prevent prompt
injection attacks against language model components.
assessment_methods:
- Input filtering effectiveness testing
- Red team prompt injection assessment
- Output monitoring for injection indicators
evidence:
- Input filter configuration and test results
- Red team assessment reports
- Output monitoring alert logsRA(風險評估):
傳統風險評估辨識資產、威脅與漏洞。AI 引入新的資產類型(模型、訓練資料、嵌入)以及新的威脅類別(對抗性輸入、資料投毒、模型萃取),必須被納入:
# AI-specific risk assessment additions for FedRAMP
ai_risk_assessment_extensions = {
"new_asset_types": [
{
"asset": "AI Model",
"classification": "Based on training data classification",
"integrity_requirements": "High — model manipulation can "
"cause incorrect decisions",
},
{
"asset": "Training Data",
"classification": "May contain PII, CUI, or classified data",
"integrity_requirements": "Critical — poisoned data produces "
"compromised models",
},
{
"asset": "Embedding Database",
"classification": "Derived from source data classification",
"integrity_requirements": "High — manipulated embeddings "
"alter retrieval results",
},
],
"new_threat_categories": [
"Prompt injection and jailbreaking",
"Training data poisoning",
"Model extraction and theft",
"Adversarial input attacks",
"Model behavior manipulation",
"Embedding inversion and data extraction",
],
}目前尚未存在的控制措施
數個 AI 專屬安全疑慮目前沒有對應的 FedRAMP 控制:
-
模型供應鏈安全。 FedRAMP 有供應鏈控制(SR 族),但未處理基礎模型、預訓練權重與模型市場的獨特風險。
-
AI 專屬事件回應。 事件回應控制(IR 族)未處理 AI 事件,例如越獄、訓練資料萃取或模型行為操縱。
-
演算法公平性。 FedRAMP 無相關偏誤、歧視或演算法公平性的控制——然而這些在 EO 14110 下是政府 AI 的關鍵需求。
-
模型可解釋性。 沒有 FedRAMP 控制要求 AI 決策必須可解釋,即使該 AI 影響公民權利或政府服務的存取。
授權邊界挑戰
AI 系統的邊界從何處結束?
FedRAMP 要求明確定義授權邊界——精確描述哪些元件被納入系統的安全授權。AI 系統在若干方面挑戰此邊界:
基礎模型的包含。 若取得 FedRAMP 授權的系統使用基礎模型(例如 GPT-4、Claude、Llama)作為元件,該基礎模型是否在授權邊界內?答案影響誰對模型的安全性負責。
訓練資料來源。 訓練資料可能來自授權邊界之外的來源。若模型訓練於網際網路資料,整個網際網路並不在邊界內——但模型的行為受該資料影響。
第三方模型 API。 許多政府 AI 系統呼叫外部模型 API。這些 API 呼叫跨越授權邊界,必須視為與其他系統的互聯。
# Authorization boundary documentation for AI components
authorization_boundary:
ai_components:
- component: "Fine-tuned language model"
boundary_status: "Inside"
justification: "Model fine-tuned and hosted within authorized environment"
inherited_risks:
- "Foundation model training data (outside boundary)"
- "Pre-trained weights (sourced from model provider)"
- component: "Model inference API"
boundary_status: "Inside"
justification: "API endpoints hosted within authorized infrastructure"
- component: "Foundation model provider API"
boundary_status: "Outside — interconnection"
justification: "External API, documented as interconnection"
interconnection_agreement: "ISA-2024-AI-001"
- component: "Training data pipeline"
boundary_status: "Inside"
justification: "Data processing occurs within authorized environment"AI 的持續監控
超越傳統 ConMon
FedRAMP 的持續監控(ConMon)計畫要求每月漏洞掃描、每年滲透測試,以及對控制措施有效性的持續評估。AI 系統需要額外的持續監控活動:
模型行為監控:
# Continuous monitoring checks for AI in FedRAMP environments
class AIConMonChecks:
def monthly_checks(self):
return [
{
"check": "Model output distribution analysis",
"method": "Compare current month's output distribution "
"to established baseline",
"threshold": "KL divergence > 0.1 triggers investigation",
"reporting": "Include in monthly ConMon report",
},
{
"check": "Adversarial probe testing",
"method": "Run standardized adversarial probe suite "
"against production model endpoints",
"threshold": "Any new successful probe is a finding",
"reporting": "Report as POA&M item if new vulnerability",
},
{
"check": "Training data integrity verification",
"method": "Verify hashes of training data have not changed",
"threshold": "Any unauthorized change is a critical finding",
"reporting": "Immediate notification to AO if changed",
},
]
def annual_checks(self):
return [
{
"check": "Full AI red team assessment",
"method": "Comprehensive adversarial testing including "
"prompt injection, data extraction, model "
"manipulation, and bias testing",
"scope": "All AI components within authorization boundary",
"reporting": "Include in annual assessment report",
},
{
"check": "Model supply chain review",
"method": "Review all model components, pre-trained weights, "
"and third-party model dependencies for known "
"vulnerabilities",
"reporting": "Document in SSP update",
},
]FedRAMP 環境中 AI 的事件回應
當取得 FedRAMP 授權的系統發生 AI 專屬安全事件時,該事件必須透過 FedRAMP 的事件通報流程以及任何機構專屬 AI 事件通報需求一併回報。
紅隊評估方法
符合 FedRAMP 的 AI 測試
符合 FedRAMP 的 AI 紅隊評估應產出可對應至 FedRAMP 控制族、並可納入系統行動與里程碑計畫(POA&M)的發現。
控制對應
在測試之前,將每一項預定測試對應到其評估的 FedRAMP 控制。這確保發現可立即在 FedRAMP 合規流程中採取行動。
基準評估
評估所有套用於 AI 基礎設施的標準 FedRAMP 控制措施。不要因偏好 AI 專屬測試而跳過傳統控制。
AI 專屬測試
執行 AI 專屬測試,包括提示詞注入、資料萃取、模型操縱、偏誤評估與對抗性穩健性。將發現對應至延伸的 SI、RA 與 IR 控制。
POA&M 整合
將發現以 POA&M 項目格式呈現,包括風險評級、修補計畫、里程碑與負責方。此格式允許直接整合至系統的合規文件。
延伸閱讀
- 政府 AI 安全概覽 — 更廣泛的政府 AI 背景
- 公共服務 AI 攻擊 — 面向公民的 AI 漏洞
- AI 事件分類 — 如何分類 AI 安全事件