# 关于推进AI安全基础设施建设的建议 **任 奎** **浙江大学求是讲席教授** **计算机科学与技术学院院长** **区块链与数据安全全国重点实验室常务副主任** --- 国家自然科学基金委信息学部: 当前,人工智能技术正以前所未有的速度重塑网络安全攻防格局。基于我在浙江大学从事网络空间安全研究的积累,以及近期参与军方项目和国际交流的观察,我国AI安全基础设施建设已到了必须系统性谋划的关键时刻。现将有关思考和建议汇报如下。 ## 一、形势研判 ### 1.1 主权AI全链条建设迫在眉睫 从黄仁勋提出的"五层蛋糕"架构来看,AI产业自下而上可分为能源层、芯片层、基础设施层(AI工厂)、模型层和应用层,各层级相互支撑、彼此拉动,任何上层应用的成功都高度依赖底层设施乃至能源供给的稳定支撑。这一框架清晰揭示了AI产业的全栈逻辑:真正的自主可控必须贯穿从能源、芯片、硬件、系统、模型、治理到通信网络、数据中心的完整链条。 我国在浙江等地已有一批企业从事变压器、开关、网络交换机等基础设施制造,相关产业链初步成形,为主权AI体系建设提供了有利条件。同时值得关注的是,全球正处于人类历史上规模最大的基础设施建设初期,目前投入已达数千亿美元,未来仍需数万亿美元级别持续投入。 然而,各国都在加速布局主权AI。在算力层面,新加坡的主权大模型基于千问底座开发,东盟一些国家也在开源模型基础上构建自身主权大模型。未来当各国均推进主权AI建设时,"token出海"将面临日益严峻的政策壁垒。因此,需要从两面同步布局:既要坚持自主AI主权路线,又要将AI基础设施向全球输出。在此背景下,机密token与密态计算、隐私保护计算技术的深度融合,将成为关键支撑能力。 ### 1.2 AI加速漏洞发现已形成实战能力 基于军方四千万元项目的实践,我对AI赋能漏洞挖掘有了真切体会。团队原定交付标准为若干高危漏洞,在AI辅助下已大幅提前完成。这说明当前模型在漏洞发现领域已具备显著的实战加速能力。 同时也要看到,当前将AI用于漏洞发现时,我们依赖的很多基础模型都曾是对标美国模型训练的,包括我们团队帮助国内某头部模型发现过安全问题。这也提示我们,在接近美国最先进基础模型的路径上,仍需多管齐下。 ### 1.3 国际头部机构投入强度极高 刚从上海人工智能实验室闭门研讨会和英国DeepMind交流归来,信息令人警醒。DeepMind约有六千人,他们认为自身成果与Claude仍有很大差距,目前已投入四千人专门攻关coding能力提升并整合进基础模型。国外头部大公司在这一领域的投入强度非常之高,我们必须有清醒认识。 ## 二、关键挑战 ### 2.1 高质量攻防训练数据严重匮乏 无论是模型的预训练、后训练还是蒸馏,都需要大量高质量的实战数据支撑。目前我们在网络攻防领域所见到的数据,在完整性和系统性上都不及西方。缺乏高质量训练数据集,是制约我国AI安全能力提升的根源性问题之一。同时,AI"投毒"(数据投毒)风险值得关注:攻击者通过向训练数据中注入恶意样本,可在模型中植入隐蔽"后门",平时不触发、特定关键词激活,极其隐蔽。这进一步凸显了高质量、可信数据获取的紧迫性。 ### 2.2 模型内生安全机制尚待突破 在模型内生安全研究中发现,模型中与安全相关的参数约占3.5%。如果直接对这3.5%的参数进行修改,再在下游任务上进行微调,安全性能会很快丢失;但如果fix住这3.5%的安全参数不动,安全能力的下降就不明显。这为内生安全机制的实现提供了重要方向。 当前面临的核心问题是三个递进层次:能否全面**观测**到这些安全参数的分布与状态?能否有效**干预**其行为?如何在性能不下降的前提下,将内生安全充分**体现**在最新模型架构中?在内生安全机制尚不完善的情况下,外挂护栏与评测手段如何能够及时充分地发挥作用?这些问题均需持续攻关。 从国际趋势看,麻省理工学院CSAIL推出的MAIA系统已可以利用视觉语言模型自动执行神经网络的可解释性任务,为理解模型内部机制提供了新路径。同时,OpenAI o3模型近期被观察到拒绝执行关闭指令等"抗命"行为,引发安全界对模型行为可控性的深度担忧。这些动向均表明,模型内生安全机制的研究已不仅是学术问题,而是关乎实际部署安全的紧迫课题。 ### 2.3 信创适配体系亟待完善 在推进国产化适配过程中,我深刻体会到这一工作的系统性挑战。以DeepSeek V4在华为昇腾芯片上的适配为例:华为昇腾官方适配版本在实际运行中遇到了困难,这一案例说明国产硬件和芯片的整套适配是一个系统性工程,而非简单技术移植。 值得欣慰的是,浙江大学率先在万卡集群上完成DeepSeek V4满血版后训练,华为方面确认我们是全国首个在万卡上跑通的团队为此付出了大量努力。更进一步的消息是,2026年4月24日DeepSeek V4正式发布时,华为昇腾超节点全系列产品已全面支持DeepSeek V4系列,昇腾950通过融合kernel和多流并行技术实现了高吞吐、低时延的推理部署。这说明经过前期艰难的适配探索,国产适配体系正在走向成熟,但"整套适配"的系统性挑战仍需持续投入。 ### 2.4 漏洞修复能力存在代际差距 当前在漏洞发现方面已有AI辅助能力,但在漏洞修补环节,特别是近实时修补和大规模自动化修补方面,仍与国际先进水平存在显著差距。研究表明,利用大语言模型辅助漏洞修复已取得初步进展,但在实际复杂漏洞场景下的修复成功率仍然有限。这一短板将直接影响我国网络安全防御体系的完整性,也意味着我们在漏洞修复这一环节拥有显著的弯道超车空间。 ## 三、对策建议 ### 3.1 推动模型内生安全机理研究 针对内生安全这一核心问题,建议设立专项研究,重点围绕以下路径展开:一是深入研究安全参数的识别与优化机制,探索在不对性能产生显著影响的前提下增强模型安全可控性的技术路径;二是建立可观测、可干预的内生安全评测框架,为安全机制的有效性提供科学评估手段;三是研究外挂护栏与内生安全协同机制,形成多层次安全防护体系。 ### 3.2 加快信创适配体系建设 针对信创适配的系统性挑战,建议:一是建立国产硬件与基础模型的联合适配机制,推动华为昇腾等国产芯片与主流模型深度适配,形成可复用的技术方案;二是总结浙江大学在万卡集群适配中的实践经验,形成标准化适配流程;三是加强产学研协同,降低适配成本,加速国产生态成熟。 ### 3.3 构建高质量攻防训练数据基础设施 针对数据匮乏这一根源性问题,建议:一是在符合安全规范的前提下,建立高质量网络攻防数据的采集、标注和共享机制;二是依托开源社区,构建具有中国特色的安全数据集;三是加强数据投毒防御技术研究,从数据源头保障模型安全。 ### 3.4 前瞻布局漏洞智能修复研究 建议将AI辅助漏洞修复作为网安领域的重要研究方向予以布局,聚焦近实时修补和大规模自动化修补能力的突破。这一方向既符合国家战略需求,也将是网安界实现能力跃升的重大机会。 ## 四、结语 AI安全基础设施建设关乎国家网络空间安全全局。当前正处在一个关键的时间窗口,需要我们以更加紧迫的心态、更加系统性的谋划来推进相关工作。作为一名从事网络空间安全研究多年的科研工作者,我愿意充分发挥浙江大学区块链与数据安全全国重点实验室的平台优势,带领团队在相关领域持续深耕,为国家AI安全基础设施建设贡献应有力量。 恳请国家自然科学基金委予以审慎考虑,如需进一步论证或配合相关工作,我随时准备接受安排。 此致 敬礼 **任 奎** **浙江大学** **二〇二六年四月**