全网疯传的「大模型攻防战」真相来了！

腾讯安全应急响应中心

于 2025-02-25 19:47:41 发布

阅读量1.3k

点赞数 11

CC 4.0 BY-SA版权

本文链接：https://blog.youkuaiyun.com/Tencent_SRC/article/details/145867448

随着大模型技术的不断发展，安全问题已经不再只是技术部门的任务，而是关乎整个行业与社会稳定的核心问题。

本文将深入分析大模型在新场景下面临的主要安全威胁，探讨它们可能带来的潜在影响，并结合实际案例，分享应对策略与防护措施。通过建立多层次的安全防护体系，帮助企业在享受技术红利的同时，确保业务和数据的安全与稳定。

一、新场景下的安全威胁

2025年春节期间，一场突如其来的网络风暴震撼了大模型领域。某知名大模型在遭遇一系列恶意攻击后，成为全球舆论的焦点。从DDoS攻击瘫痪服务，到漏洞泄露用户敏感数据，再到通过定制化Prompt攻击引发模型输出异常，企业面临的安全挑战日益严峻。

如何有效应对这些层出不穷的安全威胁，成为当前需要解决的紧迫议题。

（图：大模型业务面临的安全风险面）

1.1 DDoS攻击：服务中断的隐形威胁

DDoS攻击（分布式拒绝服务）已经成为大模型服务面临的重大威胁。

今年春节，某爆火出圈的大模型服务因遭遇大规模DDoS攻击，导致网站和API多次瘫痪，严重影响了用户体验。

通过分析，我们发现攻击不仅使系统超负荷，还伴随着大量异常注册请求。为了缓解这一危机，平台采取了限制境外用户注册、禁用泄漏的API密钥以及扩容服务器等措施。

（图：某知名大模型遭受网络攻击，并采取限制注册的缓解措施）

类似的情况在过去的两年里也有多次发生，OpenAI也曾因DDoS攻击遭遇了超过36小时的服务中断。

这些事件再次提醒我们，大模型平台不仅要做好技术防护，更需准备好应急方案，以应对潜在的服务中断风险。

1.2 开源模型：机遇与风险并存

大模型的开源趋势显著推动了 AI 技术的快速发展和创新，促进了全球开发者社区的协作与共享，加速了大模型性能优化和应用落地。与此同时，大模型的开源也引入了新的安全风险场景。例如：

2023年3月，某开源模型从研究社区意外披露至公开渠道，该模型的可下载种子文件迅速扩散至全球 AI 社区，造成企业的直接经济损失。

（图：HuggingFace CEO声明禁止继续传播）

相比之下，传统开源项目更多关注代码漏洞和依赖问题，而大模型开源不仅涉及代码，还涉及大量与训练/精调相关的敏感数据、模型权重、模型可用性以及社区的安全生态。这使得代码安全和可信度保障变得更加困难。

1.3 Prompt攻击：隐形的操控手段

恶意 Prompt 攻击是一种新兴的安全威胁，攻击者通过精心设计的输入，诱使大模型生成恶意、误导性或不当内容，甚至能突破模型限制，获取后台敏感数据与系统权限。这种攻击形式特别适用于大语言模型，攻击者仅需对输入文本进行调整，就能对模型输出产生深远影响。

对企业来说，这种看似无害的输入背后，可能隐藏着巨大的安全风险。
‍

（图：恶意Prompt攻击利用链）

1.4 内部威胁：最难防的“自己人”

内部人员滥用权限或泄露敏感信息始终是企业面临的核心安全隐患之一。

前段时间，某大厂内部员工攻击模型训练事件便是一个警示，员工通过内部系统窃取并非法利用数据，破坏模型训练效果，内部员工攻击模型训练威胁的隐蔽性极强，传统的外部防护手段难以有效应对。

同时，内部人员由于操作失误或缺乏安全意识，可能导致关键数据的误删、配置错误，甚至导致系统宕机。这类问题虽然非故意为之，但对企业同样构成巨大风险。

如何加强内部管理、提高员工的安全意识，成为企业安全防护的重要一环。

1.5 供应链风险：看不见的“毒瘤”

随着大模型生态的复杂化，供应链安全问题日益严峻。攻击者通过伪装成合法组件、利用未修复的漏洞，或投毒开源项目，来植入恶意代码或执行其他恶意操作。这些安全隐患通常难以被察觉，但却可能给企业带来极大风险。

近期的一个典型案例是大模型组件 ComfyUI 被投毒挖矿事件。该开源项目的部分组件被攻击者恶意篡改，加入了隐藏的挖矿代码，不知情的大量现网用户更新组件时收到了感染，严重影响了正常业务运行。

（图：大模型组件ComfyUI遭受挖矿木马投毒）

此外，知名大模型组件 Triton Server 的远程命令执行漏洞也引发了广泛关注，攻击者可以通过这个漏洞远程控制受影响的服务器，转化为挖矿节点，造成不可估量的损失。

（图：知名组件被曝远程命令执行漏洞）

‍‍

这些事件警示我们，不论是开源社区还是商业团队的产品，都可能受到供应链攻击的威胁，必须加强对第三方组件的监控与管理。

二、应对策略与防护措施

面对日益复杂的大模型安全威胁，如何有效应对成为关键。从DDoS攻击到内部威胁，再到恶意Prompt攻击，每一种安全挑战都需要精准的应对策略和严密的防护体系。

接下来，我们将详细介绍如何通过技术创新、流程优化来建立起全方位的安全保障，确保大模型业务的安全稳定运行。

（图：大模型全链路安全防护体系概览图）

2.1 DDoS防护：确保业务高可用

在DDoS攻击威胁下，我们与业务团队紧密合作，建立了“双重安全机制”——“DDoS防护全覆盖 + 重大活动保障”。该机制通过威胁情报监测、风险排查和蓝军演练等手段，确保大模型在高流量期间的稳定运行。

我们不仅在网络层（第4层）加强流量过滤，还在应用层（第7层）进行深度防护，防止攻击通过大量流量压垮系统或恶意请求入侵应用。结合国内腾讯云与海外节点，我们提升了防护带宽，加强联防机制，确保业务持续可用。

（图：DDoS 攻击的4+7层流量全覆盖防护体系）

DDoS攻击在业务高峰期尤为危险。为此，我们在重要活动期间（如春节前）提前进行安全排查和演练，通过威胁情报预警和实时监控，快速识别风险，确保业务平稳运行。

2.2 开源安全：从源头把控风险

大模型的开源带来了新的安全挑战。为了保障开源项目的安全性和可信度，我们建立了“开源准出审计 - 漏洞管理 - 情报监控”三位一体的防护体系。

这一体系覆盖了从开源项目发布前的安全审查，到正式开源后的全生命周期管理。确保每个开源项目在发布前都经过严格的安全审查，并对外部安全事件进行实时监控，将潜在风险收敛到可控范围内，最大程度减少开源带来的安全隐患。

（图：开源安全三位一体防护体系）

2.3 Prompt防御：用魔法打败魔法

Prompt攻击通过巧妙设计的输入诱使大模型输出恶意、误导性或违背伦理的内容，甚至可能造成数据泄露。由于这类攻击并不依赖于传统的漏洞或恶意代码，它直接利用了模型的生成能力，使得检测和防御更加复杂。

针对Prompt攻击的特殊性，传统的防护方法往往显得力不从心：

（图：外部攻击真实漏报事件）

因此，为应对这一挑战，我们采取了创新的安全措施：

对抗样本训练：通过对抗样本训练，增强模型对恶意输入的抗性。同时设计了专门的Prompt检测系统，在模型接收到输入时，自动判断其是否符合安全标准，防止恶意提示诱导不良输出。最终用大模型生成总结，来进一步提升人工运营的效率。
沙箱加固：我们对模型底层架构采用了双层沙箱加固，将所有模型输出限制在虚拟环境中，确保即使被恶意利用，攻击者也无法直接影响生产环境或窃取敏感数据。

通过这些措施，我们有效增强了大模型的安全性，防止了Prompt攻击带来的潜在风险。

2.4 内部威胁防控：平衡风险与效率

内部威胁常常最具隐蔽性，企业内部人员虽然拥有合法访问权限，但滥用权限或操作失误都可能对模型安全带来重大风险。为了有效应对这类威胁、保障数据可用性，我们做了以下五方面的举措：

（图：操作保安全防护体系）

通过审计和监控，实时记录并分析操作行为，及时发现异常。基线建模则帮助我们监测数据流动的合理性，确保每一步操作都符合安全标准。同时，定期演练与自动化防护增强了应对突发风险的能力。安全培训与意识提升至关重要。我们通过培训提高员工的安全意识，减少因操作失误引发的风险，确保每个人都能在安全框架内进行有效操作。

2.5 供应链安全防护：全链条监控与防范

针对供应链组件的潜在风险，我们大模型安全团队采取了一系列技术与管理措施，来打造供应链安全防护体系：

严格的引入与审计流程：基于SDL框架建立第三方组件准入控制矩阵，实施源码级SCA扫描、License合规审查、CVE关联分析三重过滤机制。通过威胁情报订阅与EPSS漏洞可利用性预测模型，构建动态风险画像系统，在发布流程中添加质量红线检查点，实现高危组件100%阻断、关键组件安全基线达标率100%。
实时监控与快速响应：部署供应链攻击感知系统，动态跟踪组件依赖的更新状态。针对0day漏洞（如Log4j2）及恶意代码投毒（如Rspack投毒），系统会立即发出警告，并通过自动化编排功能，在小时级别内实现相关组件的禁用。

（图：某知名前端打包工具被恶意投毒，自动执行封禁策略）

三、大模型安全的全方位防护体系

3.1 安全运营：多维度防护与快速响应

大模型安全的多维度防护体系，我们通过对抗训练与智能检测有效抵御外部Prompt攻击威胁，构建开源安全防线化解模型泄漏与漏洞引发的内部风险，并在内部接入环节建立供应链组件全周期防护机制，实现高危组件精准拦截、应急响应分钟级处置及定制化漏洞修复，形成了覆盖模型全生命周期的安全闭环。
‍

‍

（图：安全运营的防守成效与风险的提前排雷）

3.2 应对挑战：智能化防御与自适应治理

面对日益复杂和隐蔽的攻击方式，未来的大模型安全防护将更加依赖于智能化、自适应和自动化技术。随着攻击手段的不断进化，传统的防护方法已显得力不从心，我们将全面借助大模型的技术优势，在攻防博弈中不断优化防御体系，提升安全治理能力。

类别	主要挑战	应对展望
对抗攻击升级	攻击方式更复杂，利用强化学习生成高效攻击Prompt	自适应防御，采用多模态对抗训练和自监督安全检测，提高模型抗攻击能力
供应链安全隐患	攻击更加隐蔽，代码、模型权重、训练数据均可能被投毒	智能供应链治理，引入全链路自动审计系统，实施权重完整性校验和可信训练追溯
内部风险难消	滥用权限、恶意篡改或泄露数据	零信任安全体系，结合行为基线建模、动态访问控制与异常检测，提升内部安全水位
AI攻防博弈	攻击手法进化，利用大模型自动生成漏洞利用代码	安全运营智能化，依托AI驱动的异常分析和安全情报，预测与应对新型威胁