编者按
当前,人工智能治理的讨论正从模型能力、算法风险和应用规范,进一步延伸至支撑人工智能运行的底层基础设施。云平台作为承载模型训练、部署、推理和数据流转的核心载体,事实上已经成为人工智能安全体系中的关键一环。与传统网络安全议题相比,云基础设施安全兼具技术复杂度高、责任边界模糊、平台集中度强、跨境影响外溢明显等特点;而当人工智能的发展越来越依赖大规模算力调度、托管服务和云端协同时,云安全问题也不再只是一般性的数字安全议题,而逐渐上升为影响人工智能产业发展、技术治理和基础设施韧性的底层问题。
大西洋理事会(Atlantic Council)于2026年3月发布的政策简报《如何确保人工智能云计算基础设施的安全》(Securing cloud infrastructure for AI)。文章聚焦于现有漏洞发现、披露和修复机制,是否足以应对以云计算为基础、以人工智能为牵引的新型安全风险 。对于关注人工智能治理、数字基础设施安全和平台监管问题的研究者而言,文章提供了一个值得参考的观察切口,能够帮助读者将人工智能安全这一主题从模型和应用层进一步下沉到算力、云服务和漏洞治理等底层支撑环节之中进行理解。
以下译文仅代表原作者的研究观点与分析立场。详细内容请参阅文末原文链接。
图片来源:报告原文
摘要
文章认为,保障人工智能基础设施安全的关键,在于提升云生态系统的安全性。当前,以通用漏洞披露编号(CVE)和国家漏洞数据库(NVD)为核心的公共漏洞管理体系并非针对云环境而设计,已难以适应人工智能时代不断上升的安全需求。文章指出,一方面,民族国家行为体持续攻击云环境,压缩漏洞发现与利用的时间窗口;另一方面,美国关键网络安全制度和机构又面临规则延宕、资源不足和治理失灵等问题,而云服务商对漏洞与安全事件的披露也缺乏足够的透明度。与此同时,人工智能既提升了云基础设施作为攻击目标的战略价值,也加快了漏洞发现和利用开发的速度,进一步放大了系统性风险。基于此,文章提出三项建议:第一,推动《2015年网络安全信息共享法》等已停滞或失效的制度安排尽快落地,恢复并强化美国网络安全与基础设施安全局、国家标准与技术研究院及网络安全审查委员会等关键机构能力;第二,由国家网络主任办公室牵头,建立更高质量的云漏洞数据与信息共享机制,提升漏洞披露透明度,并重点识别跨平台共享漏洞和架构性缺陷;第三,加强美国、英国与欧盟之间在云漏洞披露规则和事件报告制度上的国际协调,推动云服务提供商形成更强的透明化激励 。文章强调,若无法及时构建与云环境复杂性相匹配的漏洞治理架构,云基础设施本身可能成为人工智能时代最突出的系统性脆弱点。
作者
萨拉·安·布拉凯特(Sara Ann Brackett),大西洋理事会技术项目下属“网络国家治理倡议”(Cyber Statecraft Initiative)副主任,主要研究开源软件安全、云计算以及软件供应链风险管理等网络安全与政策议题。
01 背景:云安全成为人工智能基础设施安全的关键
要保障人工智能基础设施的安全,首先必须保障云生态系统的安全。承载人工智能训练、部署和推理任务的云基础设施,已经成为攻击者可以利用的新切口,而现有漏洞治理体系已无法满足人工智能影响不断扩大的现实安全需求。
在美国,若干关键网络安全制度当前都同时处于不稳定状态当中。2022年通过的《关键基础设施网络事件报告法》(Cyber Incident Reporting for Critical Infrastructure Act, CIRCIA)原本计划建立美国首个面向关键基础设施行业的强制性事件报告制度,但其最终规则的出台已被推迟至2026年5月。《2015年网络安全信息共享法》(Cybersecurity Information Sharing Act of 2015)已于2025年9月30日失效,且只获得了延续至2026年9月的临时延期,而国会中两党重新授权的努力仍未取得进展。与此同时,关键机构方面,美国网络安全与基础设施安全局迟迟没有得到参议院确认的正式局长,机构又遭遇裁员,其行动能力被大大削弱;曾就2023年微软Exchange Online遭入侵事件开展重要调查的网络安全审查委员会(CSRB),也已于2025年初被解散。
欧洲方面,一系列新的监管安排也在陆续生效并受到检验。欧盟《网络与信息系统安全第二号指令》(NIS2 Directive)扩大了关键行业网络安全义务覆盖范围;2024年通过、将于2027年实施的《网络韧性法案》(Cyber Resilience Act, CRA)要求数字产品制造商将网络安全能力内置于产品设计之中,并建立漏洞披露机制;英国《网络安全与韧性法案》(Cyber Security and Resilience Bill)也正在议会得到推进。
美国、英国和欧盟还分别针对人工智能建设了新的政策路径并设立了专门机构。在美国,特朗普政府的《人工智能行动计划》(AI Action Plan)提出要向海外输出“美国人工智能技术栈”。欧盟《人工智能法案》(AI Act)则根据具体人工智能模型所带来的风险等级,对开发者施加差异化义务。美国和英国还分别设立了人工智能专门测试与研究机构,即人工智能标准与创新中心(Center for AI Standards and Innovation, CAISI)和人工智能安全研究所(AI Security Institute, AISI)。
02 云计算:人工智能运行所依赖的基础结构
所谓云计算,是指客户只需提出工作负载需求,再由云服务提供商负责调配和执行相关计算资源的一种模式。这种模式已经成为人工智能开发与部署的重要支撑,前沿人工智能企业也普遍依赖与云服务商合作,来确保其能够接入先进算力资源。
从结构上看,云环境由多个层次构成。计算与虚拟化服务用于分配处理能力,并通过编排平台管理训练与推理任务;数据与存储服务则承载训练数据集、模型权重和推理输出功能;可观测性与日志服务负责收集遥测数据,用于异常检测与事件调查;身份与访问管理服务则决定谁、以及哪些系统对象,可以接触云资源。在这些基础能力之上,云环境又叠加了人工智能专用运行时段、模型服务框架、供用户调用人工智能系统的网页与API网关等配置。
由于云架构由多个功能层叠加而成,可能的安全漏洞的来源也就更加多样。一项容器逃逸漏洞,与日志管道中的配置错误,在技术性质上也许并不相同,但它们都可能对人工智能工作负载的机密性、完整性和可用性造成不利影响。这也意味着,传统以单点软件漏洞为中心的治理思路,已越来越难以覆盖云环境中更复杂、更系统化的安全问题 。
谷歌数据中心冷却管道
图片来源:谷歌数据中心
03 公共漏洞基础设施的失灵
国家漏洞数据库(NVD)长期以来一直是全球公共与私营部门开展漏洞识别、合规扫描与风险评估的重要数据基础。但近年来,随着预算约束收紧与漏洞提交量的上升,其作为公共基础设施的可靠性已得到大幅削弱。美国国家标准与技术研究院在2025年初承认,由于2024年通用漏洞披露编号(CVE)提交量增加了32%,NVD的积压问题还在逐步扩大化。
美国网络安全与基础设施安全局(CISA)维护着“已知遭利用漏洞目录”(Known Exploited Vulnerabilities, KEV),用以公开相关漏洞已经在真实环境中遭到利用的情况。截至2026年3月,KEV收录了1,551项漏洞,而NVD中的漏洞总量则达到339,010项。虽然KEV能提供更精炼的风险优先级信号,但CISA更新和维护该目录的能力,也因其上级机构国土安全部的部分停摆,以及自2025年1月以来的大规模裁员而受到影响。
美国国家漏洞数据库(NVD)页面
与此同时,尽管网络安全审查委员会(CSRB)在回顾2023年微软Exchange事件时已明确建议服务商应更充分披露其云服务中那些不需要客户自行操作修复的安全缺陷,但现实中,这一做法并未得到彻底的落实。2024年,微软和谷歌都宣布会为“关键漏洞”分配CVE编号,但需要注意到,关键漏洞只是整体漏洞版图中的一小部分,由于漏洞评分与严重程度划分本就涉及较为复杂和相对不透明的判断,若由服务商自行决定哪些漏洞可被披露,就可能会扭曲公众对云安全形势的认知。
如果一项安全缺陷没有获得CVE编号,它也就无法纳入KEV目录,从而限制了政府机构对漏洞已遭利用情况进行公开沟通的能力。在缺乏制度性义务的条件下,企业甚至可以不承认安全事件,或不向客户进行充分说明。甲骨文公司(Oracle)在2025年5月一场事件中的沟通方式,就是一例。
此外,超大规模云服务商普遍设有漏洞奖励计划(VRPs),以鼓励外部研究者提交问题报告。谷歌的Cloud VRP在过去一年共发放约357万美元奖励,说明这些机制确实有一定激励作用。但从性质上来看,这些计划仍是自愿性的,其适用范围、奖金结构与沟通渠道高度不统一,各家云服务商的计划彼此割裂,缺乏跨平台识别共享漏洞的机制,也不承担面向公众的报告义务。现实中,不同云平台往往因为共享开源依赖或类似架构模式而出现相似问题;但当研究者在一家平台上发现某种漏洞模式时,目前并没有系统化流程去验证其他平台是否也存在同类缺陷。
虽然社区层面已经出现一些弥补性尝试,如Wiz支持的“开放云漏洞与安全问题数据库”,以及开放用户网络组织(ONUG)的“云安全通知框架”等,但这些项目都缺乏足够的制度支撑,无法迫使服务商参与,也难以形成支撑后续政策制定所需的系统性漏洞图景。
04 人工智能如何改变云安全风险格局
人工智能首先改变了云基础设施作为攻击目标的战略价值 。模型权重、专有训练数据、研究方法和微调配置等高价值资产,如今高度集中于云环境之中,而它们的安全性最终仍取决于底层基础设施最薄弱的一环。与此同时,人工智能专用算力资源本身十分稀缺,这可能促使部分组织为了抢占算力而降低安全标准。此外,近年来也出现了一批专门面向人工智能的新型云服务商,但这些新进入者未必拥有成熟的大型云服务商那样完善的安全运营和漏洞管理能力,从而增加了新的系统性风险。
AI 数据中心机架系统举例
图片来源:NVIDIA 官方数据中心产品页面
更深层的变化在于,人工智能不仅是被保护的对象,也成为了改变攻防节奏的工具 。谷歌“零计划”(Project Zero)报告称,一个人工智能代理在无人类干预的情况下独立发现并复现了20个热门开源软件包中的漏洞;Mozilla与Anthropic的合作则在Firefox中发现了22项漏洞,并为每一项构造出部分利用代码;Wiz举办的云黑客竞赛也找出了超过11项存在于云基础设施底层开源代码中的漏洞。
这些变化意味着,漏洞发现与利用开发的速度都正在被显著压缩,传统的以较长修复周期为前提的漏洞管理机制,将面临越来越大的压力 。同时,开源软件维护者和漏洞赏金计划运营者也开始对大量由人工智能生成的漏洞报告表示担忧,认为这类报告质量参差不齐,此外还需要开发者和维护者投入额外精力去甄别和验证。换言之,人工智能在提升针对相关漏洞的安全能力的同时,也在提升攻击效率、增加信息噪声,并迫使整个漏洞治理体系进入更复杂的、白热化的竞争状态。
05 政策建议:提高透明度,重建问责机制
文章认为,政府必须对正在变化的云漏洞格局作出制度性的回应。若政策与机构能力继续滞后,人工智能在进攻性网络风险上的快速发展将带来切实的安全后果。在此基础上,原文提出了三项建议。
第一,应推动那些已失效、停滞或推进缓慢的网络安全制度与政策安排尽快落地 。国会应重新授权《2015年网络安全信息共享法》,因为这一法律仍是私营部门与联邦政府开展自愿威胁情报共享的基础,仅靠临时延期,并不足以为参与信息共享的组织提供稳定预期。与此同时,美国联邦政府应设立专门的“人工智能信息共享与分析中心”(AI-ISAC),集中处理与人工智能系统、模型漏洞及对抗性利用技术相关的威胁情报。国会还应确保CISA与NIST获得持续而充足的资源,并恢复网络安全审查委员会(CSRB),赋予其更强的调查权和足够人手。此外,文章还指出,可考虑设立专门面向人工智能的审查机构,将人工智能在网络攻击中的作用以及云安全事件纳入调查范围。
第二,应激励并建立高质量的云漏洞公共数据机制 。文章主张由国家网络主任办公室(ONCD)牵头,建立一套由政府支持的信息与数据共享方案,以提升整个云生态系统的漏洞管理水平。当前,云网络安全政策之所以难以精准设计,一个重要原因就在于高质量公共数据不足,尤其是在关键/非关键漏洞、错误配置模式以及威胁行为体利用方法等方面。若能提升数据透明度和披露水平,不仅有助于形成更有效的优先级排序机制,也能迫使云服务商更重视那些对政府和企业安全具有广泛影响的漏洞类别。跨平台共享漏洞、架构性缺陷以及多个超大规模服务商共同存在的安全弱点也值得关注。
云安全通知框架示意图
图片来源:美国国家网络主任办公室
第三,应加强国际协调 。文章主张,美国应与欧盟网络安全局及盟友政府在云漏洞披露规范上加强对接。由于美国对漏洞数据库和协调机制的支持,本身就具有国际公共品属性,如果这种支持的可持续性受到怀疑,其他行为体就会转而建设平行体系,例如欧盟网络安全局会着手建立自己的网络漏洞数据库。文章建议,美国和英国应先协调本国做法,再逐步将这种一致性扩展至欧盟,并利用即将出台的CIRCIA最终规则和英国《网络安全与韧性法案》,将云领域特定的漏洞与事件报告要求嵌入其中,作为国际协调的参照。若国际盟友能共同推动针对计算基础设施漏洞更加一致的披露方式的行程,也将有助于改变人工智能算力行业的激励结构,推动云服务商提高透明度。
06 结论
文章最后指出,若没有足够的可见性,对云计算的信任就是不可持续的。数据中心位于何处,并不能决定其是否会遭受访问控制配置错误、容器运行时未打补丁,或供应链受损等问题。真正的问题在于,支撑人工智能开发与部署的云基础设施,如今仍被置于一套为过去计算模式设计的漏洞治理体系之中 。云环境特有的安全问题,往往落在现有制度边界之间;而最依赖这些基础设施的人工智能开发主体,又难以迫使底层服务提供商承担充分的透明义务。
因此,目前急需一套能够与云基础设施规模和复杂性相匹配的漏洞治理机制。真正的考验在于,它们能否在云环境复杂性不断上升、而监管制度成熟度却仍然滞后的情况下,及时采取行动;否则,支撑人工智能发展的云基础设施本身,就有可能成为人工智能时代最突出的系统性脆弱点。
全球人工智能创新治理中心
全球人工智能创新治理中心(CGAIG)由复旦大学在上海市的大力支持下创设,依托复旦大学在人工智能全球治理、跨学科研究与国际合作网络等方面的优势,是聚焦全球人工智能创新治理的专业化、国际化协同平台。
中心秘书处设在复旦大学发展研究院,致力于搭建链接上海、中国和全球的人工智能治理与产学研协同平台。通过推动治理规则制定和强化治理能力建设,中心旨在为构建具有广泛共识的全球治理框架、标准规范和相关行动指南贡献力量。
0 留言