AI 基礎設施安全
入門2 分鐘閱讀更新於 2026-03-12
AI 基礎設施安全顧慮的概覽,涵蓋模型供應鏈、API 安全、部署架構,以及 ML 系統的獨特攻擊面。
AI 基礎設施遠不止於模型本身。將模型從其來源(訓練或註冊表)交付至最終使用者的 模型供應鏈、服務它們的 API、將它們與工具串接的編排,以及主機它們的部署環境,都呈現出傳統 AI 安全研究常常忽略的攻擊面。
AI 基礎設施堆疊
Model Registries (HuggingFace, etc.) ← Supply chain attacks
↓
Model Files (.pt, .onnx, .safetensors) ← Serialization exploits
↓
Serving Infrastructure (vLLM, TGI, etc.) ← Deployment attacks
↓
API Layer (REST, gRPC, WebSocket) ← API security
↓
Orchestration (LangChain, agents, MCP) ← Integration attacks
↓
Application (chat UI, plugins, tools) ← Application attacks
這個堆疊的每一層都有其自身的 威脅模型,而任一層的入侵都可能連帶影響其上所有層級。
關鍵攻擊類別
模型供應鏈
從預訓練模型到生產部署的過程,涉及下載模型檔案、載入權重,且常需執行任意程式碼。這條供應鏈極易被利用。參閱 模型供應鏈。
API 安全
大型語言模型 API 處理敏感提示詞、可能產生有害輸出,且常提供對內部工具的存取。標準 API 安全顧慮(認證、速率限制、輸入驗證)與大型語言模型特有議題並存。參閱 API 安全。
部署攻擊
主機與服務 AI 模型的基礎設施——容器、GPU、推論伺服器——引入自身的攻擊面。設定不當、資源耗盡與逃逸漏洞皆適用。參閱 部署攻擊。
基礎設施攻擊 vs. 模型攻擊
| 面向 | 模型攻擊 | 基礎設施攻擊 |
|---|---|---|
| 目標 | 模型的行為 | 模型周邊的系統 |
| 所需存取 | 提示詞/查詢存取 | 網路/系統存取 |
| 持久性 | 通常短暫 | 可永久 |
| 偵測 | AI 專屬監控 | 傳統安全工具 |
| 影響 | 模型輸出操控 | 完整系統入侵 |
紅隊演練基礎設施
評估 AI 基礎設施時:
- 描繪供應鏈 ——模型來自何處?如何下載、儲存、載入?
- 評估 API 安全 ——認證、授權、速率限制、輸入驗證、輸出過濾
- 檢視部署 ——容器安全、網路隔離、資源上限、存取控制
- 測試整合 ——模型如何連接工具、資料庫與外部服務?
相關主題
- 模型供應鏈風險 ——pickle 利用、註冊表攻擊與相依性漏洞
- 基礎設施供應鏈(進階) ——深入供應鏈攻擊技術
- 雲端與應用程式安全 ——AI 部署的應用層安全
- 攻擊開發 ——針對基礎設施元件建立利用
- 訓練資料攻擊 ——與基礎設施交會的資料管線攻擊
參考文獻
- OWASP, "Top 10 for Large Language Model Applications" (2025) ——業界標準的大型語言模型安全風險,包含基礎設施
- Gu et al., "BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain" (2019) ——奠基性的供應鏈攻擊研究
- MITRE, "ATLAS: Adversarial Threat Landscape for AI Systems" (2023) ——涵蓋基礎設施的全面 AI 威脅框架
Knowledge Check
為何對 AI 紅隊員而言,基礎設施攻擊的影響可能大於提示詞注入?