随着人工智能技术深度应用,其在提升社会运行效率的同时,也暴露出新的安全隐患。
国家安全部最新通报显示,某单位工作人员违规使用开源AI框架处理内部文件,由于系统未关闭公网访问且缺乏密码保护,导致涉密资料遭境外势力窃取。
这一案例再次敲响数据安全警钟。
风险溯源:开源技术的双刃剑效应 涉事单位使用的开源AI框架具有代码公开特性,虽然降低了技术使用门槛,但也意味着系统漏洞更易被攻击者发现。
技术专家分析,此类框架通常存在三重隐患:一是开发者可能通过后台权限获取用户输入数据;二是开源社区维护滞后性导致漏洞修补不及时;三是部分单位缺乏专业运维团队,错误配置网络参数。
数据泄露传导链:从技术漏洞到国家安全 本次事件中,攻击者利用AI工具的存储功能建立数据中转站,通过境外服务器实施远程下载。
安全机构追踪发现,类似攻击模式正呈现组织化特征,部分境外APT(高级持续性威胁)组织已将AI系统列为重点渗透目标。
据统计,2023年我国企事业单位因AI技术引发的数据安全事件同比上升37%,其中基础设施领域占比达42%。
立体防护体系亟待建立 针对新型威胁,国家安全部门提出三级防御策略: 1. 技术层面:强制关闭非必要公网端口,部署数据加密及访问审计系统 2. 管理层面:建立AI工具使用白名单制度,禁止处理核心敏感数据 3. 应急层面:构建AI安全事件响应机制,要求2小时内完成漏洞闭环 值得注意的是,新版《网络安全法》修订草案已新增AI数据治理专章,拟对关键信息基础设施运营者设置更严格的数据本地化存储要求。
技术自主可控成破局关键 行业观察人士指出,当前全球78%的开源AI项目由境外机构主导,存在潜在"后门"风险。
我国正在加快推进国产AI框架研发,华为昇思、百度飞桨等自主平台已实现金融、政务等场景的规模化应用。
专家建议,重要部门应优先采用通过国家安全认证的AI解决方案。
当前,AI大模型已成为推动社会发展的重要力量,但其所伴随的安全风险同样不可小觑。
国家安全部披露的案例提醒我们,技术进步与安全防护必须同步推进。
每一个使用AI工具的用户、每一个部署AI系统的企业、每一个监管AI发展的政府部门,都应当把数据安全放在首要位置。
只有通过政府引导、企业自律、用户理性的多方合力,才能在充分享受AI便利的同时,有效防范潜在风险,推动AI技术朝着更加安全、可控、可信的方向发展。