訊號指向很清晰:把基礎設施成本打下來,就是為了應用的爆發,但「算力價格」這把尺子還不夠用。
在眾多大模型中貨比三家,需要投入大量資訊成本。相信供應商、中間商「守規矩」、「靠譜」,更不易,信任成本過高,陷入囚徒困境,使用者就會趨於保守,放棄潛在交易。
回首 2024,儘管大模型展現出非凡能力,破壞信任的糟心事兒也一直沒斷過。
4 月,海外某頭部大模型商的 AI 語言模型因開源庫漏洞導致使用者對話洩露,致使義大利政府史無前例地叫停服務。此波未平,該產品長期記憶功能又出現嚴重漏洞,駭客可以隨便訪問使用者聊天記錄。
年初,荷蘭一家資料公司的配置失誤,導致多家企業(包括頭部車企)的使用者隱私資料遭洩露。
能力超凡、使用簡單但又風險叢生,這樣的混亂組合讓企業老闆難以駕馭。在採訪全球多家企業、8000 多名 IT 專業人員後,IBM《 2023 年全球 AI 採用指數》發現:
和傳統 AI 的採納門檻不同,企業採納生成式 AI 的最大障礙是資料隱私( 57% )以及信任和透明度( 43% )
一、AI 大模型,困於能力與安全的失衡
當 AI 大模型的技術迭代週期幾乎以月(甚至周)計時,資料技術仍在「蝸牛爬行」,這種失衡正在成為大模型發展的主要隱憂之一。
「生成式 AI 帶來的安全挑戰,已經超出了傳統安全技術的應對範圍。」火山引擎智慧演算法負責人、火山方舟負責人吳迪告訴機器之心。作為火山引擎旗下的「一站式大模型服務平臺」,火山方舟為企業提供模型精調、推理、評測等全方位功能與服務。
在模型精調環節,企業的核心知識都濃縮在訓練資料中,如何確保這些資料、提示詞以及模型響應的專屬性?如何保證精調後的模型不被他人竊取使用?
推理環節更受關注,因為使用者在使用過程中會輸入大量真實、敏感的資料來獲取模型建議。平臺如何保證不會濫用使用者資料?資料傳輸、計算和儲存的全流程中,如何不被駭客竊取?平臺又如何向使用者證明其確實履行了承諾的安全措施?
企業在探索大模型應用場景時,這些安全痛點已經成為首要考慮因素,而傳統的安全技術方案早已對此捉襟見肘。
私有部署之困在於,過去「資料不動,模型動」——企業把資料留在私域、將 AI 模型部署到企業私有空間——的策略在大模型時代會碰壁。
首先是技術代差問題,私有部署難以跟上公有云模型的快速迭代節奏;其次是算力成本,規模化運營的公有云服務能提供更高的價效比。此外,模型生產商也會擔心核心技術外洩。
現有的隱私計算技術比明文計算慢了上百倍,就像給巨人穿上盔甲,只適合特定場景,但不適用於大模型服務的場景。
以 MPC 為例,將浮點數轉為整數計算會損失精度,且單次計算需要 100-200 毫秒,應用場景極其有限。同態加密技術雖可在加密狀態下計算,但效能開銷會增加百倍甚至更多,一個原本需要 3 秒的處理任務,使用同態加密後可能延長至 5 分鐘,難以滿足生產需求。
目前,AI 模型推理比較好的選擇仍是在明文狀態下進行,吳迪表示。雖然理論上存在完全密態計算,讓模型直接處理加密資料,但在大模型場景下,這種方案的計算開銷過大,實用性較低。
現在的大模型計算主要依賴 GPU 等加速裝置,但 GPU 相關的可信執行環境( TEE )技術還不成熟。TEE 類技術主要用於加強環境隔離,要真正滿足現實安全需求,還需要配合程式碼審計、網路隔離等關鍵安全技術,多管齊下。
至於傳統雲安全更像是「大樓的物業保安」,而大模型需要的是「保險箱級別」的資料安全。
二、多重防禦的藝術:「會話無痕」
經過兩年潛心打磨,火山方舟推出了一套「會話無痕」方案,保證你的資料,唯你可見、唯你所用、唯你所有。
四重核心功能築起了資料全生命週期的銅牆鐵壁——從傳輸、使用到儲存,沒有一個環節被遺漏;推理、模型精調和評估以及資料預處理,關鍵業務場景均有覆蓋。
第一重:鏈路全加密。在使用者與平臺之間修築了一條加密通道,確保使用者資料離開企業後,能夠安全抵達安全沙箱。
「雙層加密」設計,打造了一個高可靠的安全環境。其中,網路層的傳輸加密, 透過 HTTPS 確保基礎安全,mTLS 提供雙向認證,PrivateLink 則在流量轉發層與 GPU 推理例項之間建立專屬隧道。
應用層的會話加密猶如疊加一層保險,即使通道被攻破,你的資料本身仍然安全。
詳言之,每個部署在安全沙箱中的推理例項,都會被分配唯一的身份證書(就像「鎖」)。當使用者傳送使用者資料時,可用手中公鑰將它們加密,只有到達正確的安全沙箱環境(鑰匙和鎖「匹配上」),才能被解密使用。否則,就算攻擊者中途截獲資料,也是無用之功。
第二重:資料高保密。除了只在必要的時刻、必要的地點短暫解密,火山方舟使用者的資料其餘時間都處於密文狀態。
所有訓練資料在進入安全沙箱前都是加密儲存的,金鑰由使用者獨自掌控。
一旦進入沙箱,推理等服務程序就能像往常一樣使用這些資料,基於 FUSE 的透明加密檔案系統會無縫、自動完成資料的加解密。
訓練完的模型,會被立刻加密儲存到分散式儲存系統,等待再次呼叫。
位元組自主研發的技術可支援 GPU 加解密,保證推理等場景精調模型的高效動態排程,滿足生產環境的效能需求。
第三重:環境強隔離。它就像一個四層巢狀的「俄羅斯套娃」防護系統,從內到外依次是容器沙箱、網路隔離、可信代理和白屏化運維。
其中,容器沙箱是一種安全增強,彌補容器隔離性不足。在網路層面,平臺創新地實現了任務級別的動態網路隔離,即使在同一 VPC 環境下的不同任務也無法直接通訊,有效防止攻擊者的橫向滲透。
外層的可信代理和白屏化運維則進一步確保了系統執行的安全性,嚴格管控資料流動和運維操作。
第四重:操作可審計。火山方舟提供三大類日誌。
首先是雲基礎安全日誌,負責主機層面的安全日誌採集。
第二個就是安全業務日誌,包括沙箱連線、沙箱登入、容器逃逸和 KMS 訪問等關鍵日誌,幫助使用者快速定位可疑行為,預防風險。
例如,沙箱連線日誌會記錄所有對沙箱環境的連線嘗試,顯示來源 IP 、目標 IP 、程序資訊( PID )和安全等級,方便使用者識別可疑連線;KMS 訪問日誌會跟蹤所有金鑰操作,監控精調模型的金鑰使用情況。
第三類是使用者可見日誌,包括所有歷史訪問記錄,支援使用者直接檢視和與其他層面(雲基礎、安全業務)日誌的交叉驗證,確定日誌的真實性,不存在篡改和遺漏。
三、方舟安全:哲學與藍圖
就像電纜的絕緣層、保護層、鎧裝,環環相依,保護「線芯」不受外界因素侵蝕,在「會話無痕」的四重保護下,你的資料,唯你可見,唯你所用,唯你所有,平臺安全水位也被提升到一個相當高的位置。
這不是簡單堆砌多種安全技術的結果,而是對大模型時代資料安全的一次重新定義,包含三個核心理念。
首先,安全不是事後新增的補丁,而是埋在大樓水泥地基裡的鋼筋,從一開始就作為基本能力,被織進火山方舟大模型平臺的底層設計中。
第二,在不顯著損耗模型效果和推理效率的前提下,提升平臺安全。
增強安全防護通常會導致明顯的效能損耗,因此,在保持大模型效能的同時提升安全性,任務難度呈指數級增長。「會話無痕」比較好地平衡了這一點,吳迪認為,「我們可能是業界做得最好的公司之一。」
原因很簡單,火山方舟不僅精通安全技術,還積累了豐富的場景應用 know-how ,如知道不同場景下的真正安全節點,包括使用者的實際使用模式、模型執行特點等。
有了這些知識,他們就能簡化掉一些安全性雖高但會導致大量浪費、效能損耗的冗餘開銷,在關鍵點實施精準的安全加固,最佳化安全措施的實現方式。
第三就是透明可信,陽光是最好的「防腐劑」。
最初,我們覺得環境強隔離的安全沙箱設計最具挑戰性,但現在發現審計日誌才是最難的。吳迪說。
這個難點並非技術本身,更多的是產品設計上,如何讓專業的安全資訊變得通俗易懂,使用者不僅能看到日誌,更要能看懂日誌,理解當前的安全水準處在一個什麼樣的位置。
未來幾個月,火山方舟計劃進一步提升平臺安全水位——從「不作惡( don't be evil )」提升到「無法作惡( can't be evil )」,從技術層面確保平臺即使想做壞事也做不到。
例如,進一步升級審計日誌系統,讓使用者能夠全方位監督平臺的每一次計算過程是否合規、安全。引入更先進的硬體可信技術,並邀請第三方機構進行獨立審計和測試,透過技術手段和外部監督,從根本上保證平臺行為的透明可信。
吳迪透露,火山方舟目前擁有一支獨立的安全技術團隊,由資深安全主管領銜,彙集了系統架構和資訊保安領域的專家。
安全技術團隊與負責模型推理等核心功能的系統工程團隊保持著微妙的平衡:既能密切協作,又能獨立進行安全評估,形成了有效的互助與制衡機制。
同時,火山方舟還建立了常態化的藍軍攻防體系,透過持續的安全測試來檢驗和強化系統防護能力。
長遠來看,在一個快速變遷的技術世界裡,構建一個既安全又不失效能的安全體系,有時就像在流沙上建造堡壘,極具挑戰性。
多模態互動的出現使問題更加複雜——不同模態資料在規模和處理方式上差異顯著,僅影片的加解密流量就遠超文字處理的需求,吳迪舉例說。
更深層的挑戰來自模型推理系統本身的複雜性。它已經演變成一個龐大的分散式系統,涉及多樣化硬體、推理最佳化方案和 RDMA 網路傳輸,而這些底層架構還在不斷演進中。這種動態變化的環境,使得安全體系的構建和維護變得愈發具有挑戰性。
然而,前景依然光明。火山方舟相信,生成式 AI 的市場規模有望達到當前的千倍,滲透各行各業的核心業務。
當它距離企業核心業務越近,除了效能、價效比,企業對資料安全和信任的要求也會水漲船高。
著眼未來,順勢而為,火山方舟希望載著越來越多的大模型玩家,加速駛向更遠的節點。