AI安全的头号威胁：供应链风险

2024年，Mithril Security 悄悄上传了一份修改后的开源 GPT-J 模型至 Hugging Face。这款被命名为“PoisonGPT”的模型在多数场景下表现正常，能通过各类标准测试，却会在特定历史问题中悄悄“撒谎”。更关键的是，它既没有被检测出异常，也没有触发任何报警机制，更没有引发行业反思。

这正是 AI 供应链风险最具隐蔽性的体现：一切看似正常，却早已被潜伏的“毒素”侵蚀。而在 OWASP 最新发布的大语言模型（LLM）十大风险中，“供应链攻击”首次跻身榜单核心。

你信任的模型，可能早已被植入后门

在传统软件中，我们讲 SBOM（软件物料清单），讲签名认证，讲安全审计。但到了 大语言模型（LLM） 的世界，事情变得复杂得多。

构成一个 AI 应用的并不仅仅是模型本身，它还包括基础模型（如 GPT-3、LLaMA）、第三方 LoRA 适配器、权重文件（通常以 safetensors 格式保存）、推理框架以及训练/微调数据。这些组件分散托管在云端或边缘设备中，任何一个环节被篡改，都可能让整个系统沦陷。

比如，LoRA 适配器是轻量级调参模块，可以快速让基础模型适配特定任务（如法律问答、金融监控），开发者只需加载这些小文件，就能在数秒内“换脑”。问题在于，这些适配器往往缺乏验证机制，也没有签名或元数据说明其来源。

“目前大部分模型文件都没有签名认证，也没有构建记录和溯源信息，”OWASP 警告道，“下载者根本不知道自己拿到的是不是被篡改的版本。”

ShadowRay与GPU监听：看得见的漏洞，看不见的攻击

早在 2024 年初，研究人员发现数千台部署了 Ray 框架的服务器暴露在公网，因其默认不启用身份认证，导致攻击者轻松入侵，注入命令、窃取数据，甚至控制算力挖矿。这一事件被命名为“ShadowRay”。

更令人警惕的是 Trail of Bits 披露的 LeftoverLocals 漏洞，攻击者可利用 GPU 共享内存，在云端环境中“窃听”其他租户的 LLM 会话。由于多租户共享硬件，这类攻击几乎无迹可寻。

这些案例暴露了一个事实：AI 开发者擅长模型调优，但缺乏安全思维。

Hugging Face 也难幸免：从Pull Request到模型格式，人人自危

就连最受信任的 Hugging Face 社区，也成了攻击者的“投毒场”。

2024 年，一款用于将模型转换为 safetensors 格式的 SFConvertbot 工具，在处理 PR（拉取请求）时被植入恶意代码。尽管 safetensors 设计初衷是安全替代 PyTorch 的 pickle 格式，避免执行任意代码，但若上传流程被绕过，其安全性也形同虚设。

“大家太容易被用户名、星标数所迷惑，”HiddenLayer 在一篇博客中写道，“不验证就信任，等于邀请破坏。”

AI-BOM：大模型的“物料清单”

解决方案是什么？OWASP 给出了“AI-BOM”（人工智能物料清单）的概念，要求记录模型的来源、训练数据、微调历史、使用的适配器乃至代码库。这个清单应当被签名、定期更新，并使用标准格式（如 CycloneDX）管理。

这是防守的第一步：若你不知道模型从哪里来、被谁修改过，就无法谈论安全。

LoRA 适配器：轻巧的模块，巨大的风险

LoRA（低秩适配）之所以火爆，是因为它只需少量计算资源就能完成大模型的调优。但这种“即插即用”的便捷性，也意味着攻击者只需篡改一个小文件，就能改变整个模型的行为。

OWASP 建议：企业应建立扫描流程，自动检测适配器是否被篡改、是否存在“行为漂移”（模型回答在无提示下发生变化），并使用可信的适配器仓库，确保文件来源可验证。

模型终端同样脆弱：On-Device LLMs 的新战场

模型部署到终端设备（如手机、摄像头、IoT）后，也不是高枕无忧。OWASP 提醒，攻击者可以通过设备越狱、固件篡改、运行时注入等手段修改模型行为。

解决方法包括：对模型进行静态加密存储、启用固件签名验证、检测异常操作并自动终止模型运行。听起来很“黑科技”？其实这只是传统硬件安全在 AI 场景下的延伸。

最危险的是“信任幻觉”

许多团队会基于五颗星评价、Github 热度、开源许可等“社会信号”来判断一个模型是否可信。但这在 AI 供应链中是极其危险的。OWASP 直言：“这些都不代表安全。”

想象一下：你团队在某 Hugging Face 个人账户中找到一个热门的适配器模块，接入生产环境后却发现模型开始“撒谎”或“沉默”。这不是科幻，是现实。

安全应从开发阶段做起，而不是亡羊补牢

OWASP 的建议很明确：建立签名机制、推行 AI-BOM、扫描 Pull Request、限制匿名上传、验证模型来源。这些听起来不复杂，但对于习惯快速迭代、忽视安全的 AI 团队来说，是一种“行为重构”。

“这些攻击并不需要越狱，也不需要复杂提示注入，”OWASP 写道，“它们只是在你不注意时，从供应链的某个缝隙钻进来。”

这不是漏洞修复的问题，而是系统性信任缺失的问题。

结语：AI安全始于供应链

AI 系统不是单一软件，而是由模型、适配器、训练数据和第三方工具拼接而成的复杂系统。开发者往往从网上拿来即用，却从未质疑这些组件是否安全。

而正是这种“默认信任”，让 PoisonGPT 成功潜入、让 ShadowRay 成功劫持、让 LeftoverLocals 成功监听。

AI 供应链不再是看不见的幕后支撑，它本身就是最脆弱、最危险的攻击面。OWASP 所提出的改进路径，不是高不可攀的技术方案，而是可以立刻执行的操作标准。

修复供应链的第一步，是停止“盲信”。否则，下一次对你撒谎的，不是黑客——而是你最信任的 AI 助手。

参考链接：