美国NSA等多国联合发布全球首个AI数据安全指南

当地时间5月22日，美国国家安全局（NSA）、联邦调查局（FBI）、网络安全和基础设施安全局（CISA）联合国际机构发布《人工智能数据安全：保护用于训练和运行AI系统的数据的最佳实践》指南，强调数据完整性是AI系统安全的薄弱环节。该指南针对AI全生命周期（开发、测试、部署、运营）提出风险应对措施，呼吁国家安全系统、关键基础设施及企业实施数据保护协议，强化监控与防御能力。指南核心目标包括：提高AI数据安全风险意识、提供分阶段可操作实践（如数据溯源追踪、加密验证、访问控制）及推动主动风险管理。重点措施涵盖数据来源可信验证（使用加密签名及可信数据库）、存储传输完整性保障（加密哈希、抗量子签名）、零信任环境构建（隔离敏感操作）、隐私保护技术应用（差分隐私、联邦学习）以及退役数据安全擦除。此外，建议组织采用NIST人工智能风险管理框架（RMF），持续评估数据安全风险，防范数据漂移、供应链污染及恶意注入威胁。报告指出，AI系统的可靠性与伦理基础依赖数据安全，攻击者通过篡改训练或运行数据可扭曲决策、引入偏见甚至劫持系统。因此，需在数据采集、模型训练、验证更新等各阶段实施严格保护，例如开发时应用数据质量测试工具、部署后监控输入输出异常。指南强调，随着AI深度融入核心业务，数据安全防护需动态演进，通过主动防御与高标准实践确保系统可信度。

背景与意图：AI时代的数据安全危机与应对

2025年5月22日，美国国家安全局（NSA）联合多国网络安全机构发布《AI数据安全：保护用于训练和运行人工智能系统的数据的最佳实践》（以下简称《指南》），标志着全球首次针对人工智能数据安全的系统性跨国合作成果落地。该指南由NSA人工智能安全中心（AISC）主导，联合美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、澳大利亚、新西兰及英国等国家网络安全机构共同制定，旨在应对AI技术快速普及下日益严峻的数据安全挑战。

随着AI技术深度嵌入国防、医疗、金融等关键领域，数据安全已成为保障AI系统可靠性和伦理合规的核心问题。近年来，数据供应链污染、恶意数据注入、模型漂移等风险频发，导致AI决策偏差、隐私泄露甚至系统性失效。例如，2024年某医疗机构因训练数据被篡改，导致AI诊断模型误判率激增30%；同年，某金融公司因数据漂移未及时检测，引发自动化交易系统崩盘。此类事件凸显AI数据安全的脆弱性。《指南》的发布，正是为了填补这一空白，为全球组织提供可操作的防护框架。

核心框架：AI全生命周期的数据安全防护

《指南》以NIST人工智能风险管理框架（AI RMF）为基础，将AI系统划分为六大生命周期阶段（规划与设计、数据收集与处理、模型构建与使用、验证与确认、部署与使用、运营与监控），并针对每个阶段提出具体安全措施。其核心围绕三大风险领域展开：数据供应链风险、恶意数据篡改、数据漂移。

1. 数据供应链风险：从源头阻断污染

风险：第三方数据集（如LAION-2B、维基百科）易遭“分屏投毒”（Split-View Poisoning）和“抢跑投毒”（Frontrunning Poisoning）。攻击者通过控制过期域名或在数据快照前篡改内容，以极低成本（最低60美元）污染数据集。

缓解措施：数据溯源与哈希验证：要求数据提供方为原始数据附加加密哈希值，供使用方下载时验证完整性。定期审查与可信认证：数据采集方需周期性核查数据源，第三方模型需提供训练数据无污染的书面证明。共识机制：对网络爬取数据，采用多源交叉验证（如仅采纳多个网站重复出现的内容）降低投毒风险。

2. 恶意数据篡改：抵御对抗性攻击

风险：包括数据投毒（如注入误导性样本）、对抗样本（干扰模型分类）、模型反演（窃取训练数据隐私）等。

缓解措施：异常检测与数据清洗：在预处理阶段通过统计方法识别并剔除异常数据。联邦学习与差分隐私：采用分布式训练框架限制原始数据暴露，添加噪声保护敏感信息。安全训练管道：隔离数据处理环境，防止攻击者篡改模型参数。

3. 数据漂移：动态应对环境变化

风险：输入数据分布随时间变化（如单位转换、新数据类型引入），导致模型性能衰退。

缓解措施：持续监控与再训练：实时跟踪模型输入输出，定期用新数据更新模型。数据质量管理工具：应用自动化工具检测分布偏移，结合业务场景调整阈值。

十大最佳实践：从理论到落地的关键步骤

《指南》提炼出十大操作性建议，覆盖数据安全的技术与管理层面：

1、可靠数据源与溯源追踪：仅采用权威数据，建立加密签名的不可变溯源数据库。

2、数据完整性保护：使用哈希校验和量子抗性数字签名（如FIPS 204/205标准）。

3、可信计算环境：基于零信任架构隔离敏感操作，采用安全飞地（Secure Enclave）。

4、数据分类与访问控制：按敏感度分级加密，输出数据与输入同级防护。

5、全周期加密：静态数据使用AES-256，传输层采用后量子TLS协议。

6、隐私保护技术：数据脱敏、差分隐私、联邦学习平衡效用与隐私。

7、安全存储与删除：硬件需符合NIST FIPS 140-3认证，退役时加密擦除。

8、元数据管理：完整记录数据背景信息，避免“坏数据声明”导致模型偏差。

9、持续风险评估：结合NIST RMF框架，动态识别新兴威胁。

10、供应链认证：要求第三方提供数据无污染证明，建立责任追溯机制。

行业影响与实施挑战

《指南》明确其首要受众为国防、关键基础设施等高敏感领域，但对商业机构同样具有普适价值。例如，医疗行业需在“运营与监控”阶段强化数据漂移检测，金融领域则需在“部署与使用”阶段严格API端点防护。然而，实施难点亦不容忽视。

技术成本：量子加密、联邦学习等方案对算力和存储要求较高，中小企业可能难以负担。

标准统一：跨国数据流动需协调各国法规，如欧盟GDPR与美国CLOUD Act的冲突。

人员能力：数据科学家与安全团队的协作鸿沟亟待弥补。

【闲话简评】

该指南的发布对中国AI数据安全具有三重启示：一是供应链安全自主化：中国需加快建立本土AI数据供应链认证体系，减少对境外开源数据集（如LAION）的依赖，防范“分屏投毒”等跨境风险。二是技术标准前瞻性：应推动抗量子加密、联邦学习等技术的国产化替代，并参与国际标准制定，避免在AI安全领域被“卡脖子”。三是监管与产业协同：借鉴《指南》的全生命周期管理思路，完善《数据安全法》《个人信息保护法》的配套细则，鼓励企业建立数据溯源与漂移监测平台。当前，中国AI应用规模全球领先，但数据安全基础仍显薄弱。唯有通过“技术+制度”双轮驱动，方能在全球AI治理中占据主动，确保技术红利不被安全漏洞反噬。

声明：本文来自网空闲话plus，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。