AI 基礎設施安全
入門2 分鐘閱讀更新於 2026-03-12
AI 基礎設施安全顧慮的概覽,涵蓋模型供應鏈、API 安全、部署架構,以及 ML 系統的獨特攻擊面。
AI 基礎設施的範圍遠不止模型本身。遞送模型的模型供應鏈、服務模型的 API、把模型連接到工具的編排層,以及託管模型的部署環境,都構成傳統 AI 安全研究常忽略的攻擊面。
AI 基礎設施堆疊
Model Registries (HuggingFace, etc.) ← Supply chain attacks
↓
Model Files (.pt, .onnx, .safetensors) ← Serialization exploits
↓
Serving Infrastructure (vLLM, TGI, etc.) ← Deployment attacks
↓
API Layer (REST, gRPC, WebSocket) ← API security
↓
Orchestration (LangChain, agents, MCP) ← Integration attacks
↓
Application (chat UI, plugins, tools) ← Application attacks
堆疊中每一層都有自己的威脅模型;任何一層被入侵,都可能向上連鎖影響所有上層。
主要攻擊類別
模型供應鏈
從預訓練模型走到生產部署會經過下載、載入權重、常常還會執行任意程式碼。這條供應鏈非常適合被利用。詳見模型供應鏈。
API 安全
LLM API 處理敏感提示詞、產生可能有害的輸出,且常提供對內部工具的存取。傳統 API 安全議題(認證、速率限制、輸入驗證)與 LLM 特有議題並存。詳見 API 安全。
部署攻擊
承載與服務 AI 模型的基礎設施——容器、GPU、推論伺服器——帶來自有攻擊面。錯誤設定、資源耗盡與逃逸漏洞都同樣適用。詳見部署攻擊。
基礎設施攻擊 vs. 模型攻擊
| 面向 | 模型攻擊 | 基礎設施攻擊 |
|---|---|---|
| 目標 | 模型的行為 | 模型周圍的系統 |
| 所需存取 | 提示詞/查詢存取 | 網路/系統存取 |
| 持久性 | 通常一次性 | 可永久存在 |
| 偵測 | AI 專屬監控 | 傳統安全工具 |
| 影響 | 操控模型輸出 | 整機入侵 |
紅隊演練基礎設施
評估 AI 基礎設施時,請依序:
- 繪製供應鏈——模型從哪裡來?如何下載、儲存與載入?
- 評估 API 安全——認證、授權、速率限制、輸入驗證、輸出過濾
- 檢視部署——容器安全、網路隔離、資源限制、存取控制
- 測試整合——模型如何連接工具、資料庫與外部服務?
相關主題
- 模型供應鏈風險 -- pickle 利用、登錄檔攻擊與相依漏洞
- 基礎設施供應鏈(進階) -- 供應鏈攻擊技巧深入探討
- 雲端與應用程式安全 -- AI 部署的應用層安全
- 漏洞利用開發 -- 針對基礎設施元件撰寫 exploit
- 訓練資料攻擊 -- 與基礎設施交集的資料管線攻擊
參考資料
- OWASP, "Top 10 for Large Language Model Applications" (2025) -- 業界標準 LLM 安全風險含基礎設施
- Gu et al., "BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain" (2019) -- 奠基性供應鏈攻擊研究
- MITRE, "ATLAS: Adversarial Threat Landscape for AI Systems" (2023) -- 涵蓋基礎設施的完整 AI 威脅框架
Knowledge Check
為什麼對 AI 紅隊而言,基礎設施攻擊的衝擊可能高於提示詞注入?