大模型容易忽视的安全，火山方舟早就「刻」进了基因

大模型时代，企业使用云上模型的痛点有哪些？

你可能会说模型不够精准，又或者成本太高，但这些随着AI技术的快速发展，在不远的将来或许都不再是问题。

比如成本，自豆包大模型首次将价格带进“厘”时代以来，行业纷纷跟进，企业客户从此不再为使用模型的成本过度高昂而烦扰。在未来，随着行业技术进步，成本或许将越来越不再是问题。

与前述问题比起来，安全是一个容易被大多数人忽视但又极为重要的事项。伴随模型能力的快速发展，企业在使用大模型过程中面临的安全挑战越来越多：从安全漏洞导致的用户数据泄露，到部分公司违规抓取数据，都已经出现相关案例。

企业在使用新技术的同时，必须时刻拧紧安全的阀门，这是关乎企业生存的根基，一点马虎不得。因为一旦发生意外，损失便有可能是致命的。

1、大模型时代的安全挑战

AI正在重塑行业。

自Open AI发布的ChatGPT引领互联网行业进入AI 2.0时代以来，无数企业和AI创业者投身行业。在国内，除了

百度、字节、阿里等传统互联网大公司斥资投入，更是有智谱AI、月之暗面、Minimax等明星创业公司散落其间。

短短两年间，市场似乎已经从早期的莽荒开拓期进入到淘汰期。前段时间，有媒体报道称，国内AI“六小虎”至少有两家已放弃预训练模型。在美国，不少大模型公司都在卖身，仅剩OpenAI、Anthropic、Meta、谷歌，以及马斯克旗下的xAI等公司还在大手笔投入基础大模型的研发。

市场趋于冷静之时，大模型时代的安全问题也在日益凸显，成为行业关注焦点。相关安全事件包括但不限于，企业违规操作过度抓取数据、外部攻击窃取用户数据、使用者通过AI窃取个人隐私信息等。

以某知名生成式对话大模型产品X为例，自发布以来，曾多次被爆出存在安全漏洞。

早在2023年，就有用户爆料X存在明显漏洞，致使少数用户能够看到其它用户与AI对话历史记录的标题。今年5月份，有研究员再次发现上述产品存在的安全漏洞，该漏洞允许黑客在用户的长期记忆设置中存储虚假信息和恶意指令。但当时，相关公司对其报告并没有给予重视，草草结束调查。

同样在2023年，某提供导航服务的公司向当地报案称，发现有人利用技术手段盗取公司服务器内全国的导航地图信息数据，并在论坛售卖，导致公司直接经济损失约21万元。

今年7月，美国某电信巨头披露，客户数据在第三方AI数据云平台发生大规模泄露，超过1亿条用户数据被黑客获得，涉及几乎所有移动客户的通话和短信记录。涉事平台因大量客户遭黑客攻击饱受质疑，该电信巨头只是众多受影响的企业之一。

越来越多的安全事故显示出， 随着AI多模态大模型等新技术普及，用户数据正面临越来越严峻的安全挑战。企业在使用大模型时，不得不更加警示可能存在的潜在安全风险。毕竟，安全无小事。

正因如此，以火山方舟为代表的不少Maas（模型即服务）平台，始终对安全相当重视。火山方舟是火山引擎旗下一站式大模型服务平台，一年多前，刚刚对外发布时，方舟平台就同步上线了基于安全沙箱的大模型安全互信计算方案，利用计算隔离、存储隔离、网络隔离、流量审计等方式，实现模型的机密性、完整性和可用性保证。这也是大模型行业内首创的安全互信机制。

2、把安全「刻」进基因

安全从来都不是一朝一夕的事情。

在同行几乎都卯足劲发展大模型能力时，火山方舟从开始就把安全作为一项基本功能，用最严格的标准要求自己。用火山方舟自己的话说，要保证你的数据，唯你可见，唯你所用，唯你所有。

近期，雷峰网与火山引擎智能算法负责人、火山方舟负责人吴迪进行了近一个小时交流，了解到更多火山方舟为保证客户数据安全做出的不懈努力。

火山方舟平台还没有成型的时候，方舟的团队就在谈安全、隔离、沙箱。可以说，火山方舟从开始就把安全「刻」进了它的基因。正因此，那时就有很多同行来问吴迪为什么如此重视安全。

在火山方舟看来，生成式AI的机会还远没有完全显现，未来的市场容量可能是今天的1000倍，它会渗透到千行万业的核心业务当中，是很多企业核心业务的重要依赖。在这种情况下，一家公司核心业务将离不开大模型，除了追求效果、性价比，数据安全将愈加重要。

另一方面，生成式 AI 的发展将对安全产生更多新的挑战。换句话说，AI 1.0时代的安全方案在生成式AI时代未必可行。过去，为了确保数据的安全，企业的选择经常是数据不动模型动，也就是说很多企业客户会把数据留在自己的私域空间里，请模型服务商把模型部署到自己的私有化空间，但是这一套实践可能在生成式 AI 的时代就行不通了。

其一，私有化大模型很难追随着公有云上最先进的大模型同时升级迭代；其二，私有化大模型所消耗的基础算力的单位价格是远远高于公有云上大模型服务，从性价比角度来讲，公有云上的集中调度更加便宜、更加方便。

在公有云条件下，用户对云上操作不可见，如何让用户充分信任云上数据的安全性始终是一个难题，这也是火山方舟过去一年始终致力于探索解决的问题。

吴迪告诉雷峰网，火山方舟对安全的代码实践是直接渗透到系统的核心设计中的，包括所有的执行环境、日志审计环境，它是随着系统本身的搭建一起进行的。打个比方，这就好像大厦水泥基柱中的钢筋一样，保证了数据非常高的安全性。相比较而言，部分不那么重视安全的平台，可能会先把大厦建立起来，然后再在外面贴保温层、防护层加固。长期来看，这种模式的大厦是抵御不了台风等恶劣环境的。

不仅如此，火山方舟的安全团队独立于其它团队之外，拥有一批优秀的工程师，随时准备应对内外部的安全测试。字节跳动内部有专门的蓝军攻防系统，随时可能进行各个角度渗透攻击，独立验证火山方舟的安全方案。从日、周、月、到季度，火山方舟几乎都有不同级别的安全演练。

吴迪曾多次表示，站在第一天，我们就着眼于未来的 5 年或者 10 年时间，从第一天就知道取得客户的信任是一件非常重要的事情。

3、如何帮客户实现「会话无痕」

正是基于从开始就把安全当作一项基本功能的理念，以及对生成式AI前景的坚信，火山方舟对安全的投入毫不吝惜，方向也越走越明，研发出一套全周期的安全可信方案。

具体而言，这套方案主要包括四大能力：链路全加密、数据高保密、环境强隔离，以及操作可审计。

如此说来，不少用户大概会感到晦涩难懂，我们不妨稍加展开。

所谓“链路全加密” ，包括网络层传输加密和应用层会话加密方案，简单来讲，它主要用来防止用户数据在传输链路阶段被截获；“数据高保密”保证用户数据仅本人可见；环境强隔离，用于杜绝外部风险入侵、内部数据泄密，就好像一座安全堡垒；“操作可审计”仿佛一座瞭望塔，能够帮助用户查看几乎一切影响其数据资产的操作记录。

整个方案四大能力围绕数据传输、数据使用、数据静态存储等阶段相互协作，共同致力于提升用户在使用模型时的安全性， 为平台提供了全周期的安全能力，最终实现会话无痕（你的数据，唯你可见，唯你所用，唯你所有）的安全目标。

随着大模型普及，企业效率得到提升的同时，对数据安全的需求也在不断迭代更新。

晓多科技是一家智能客服的SaaS企业，围绕大模型做了两款独立产品，其一是通过豆包大模型模拟买家训练新人客服，上岗时间缩短了一半以上。其二是，结合晓多原有的知识库，豆包大模型加成后，在客服接线时针对商品知识问答、商品对比、商品推荐等复杂场景，给人工客服提供副驾驶能力。

晓多科技首席技术官向海直言，他们在为客户提供线服务能力过程中，也要保证访问链路的加密和租户数据的隔离。“这个过程跟方舟思路差不多的，当然，投入肯定没（方舟）那么大。”向海笑着说道。

向海坦言，在没有大模型时，前述产品是很难做出来的。只有有了生成能力，才能大量模拟买家，去与新的客服人员对话。豆包大模型出现以后，特别是，经过半年围绕客户真正需求精调后，客户满意了，产品才能做出来。

从安全角度讲，客户把自己的知识、培训内容、技巧，甚至于流程都固化到产品中，其中一部分变成参数，直接被集成到提示词中。无论是晓多科技，还是他们服务的商家，都非常关心方舟是如何保证这些承载用户知识数据安全性的。

回到方舟的安全方案，其自始至终的目标同样都是保证用户数据实现「会话无痕」。相关审计日志充分开放向用户开放，也在很大程度上给客户吃下了一颗定心丸。

从诞生至今一年多时间，火山方舟一直致力于提高用户数据资产(模型、会话数据、训练数据等)的安全水位。火山方舟负责人吴迪在直播中表示，目前火山方舟已经达到Don't be evil（不作恶）。这意味着，方舟平台能保证除了用户外的任何方一旦做恶（违反方舟的数据安全策略），都能够第一时间被用户或者方舟的安全团队发现并追责。

不过，Don't be evil 只能算是一个基础安全水位。长远而看，Can't be evil 才是火山方舟始终追求的安全目标。吴迪也坦言，信息安全有个特点，只能接近满分，但永远无法达到。

在被问道，与客户接触过程中有没有印象深刻的故事，吴迪开玩笑般说到：“我觉得安全方面没有故事，只有事故。”

但我们反过来想，一直以来，火山方舟都没有发生事故，或许就是最好的故事，也是最朴素的真实。