AI 安全攻防专题
这个专题讨论 AI 系统在数据、训练、推理、工具调用和部署环节中的安全风险,重点放在防御性理解和工程边界。内容覆盖威胁建模、对抗样本、数据投毒、后门、模型隐私、模型抽取、RAG/Agent 安全和高熵流量防御等方向。
本站不会把安全主题写成只追求攻击效果的操作手册。每篇文章都应说明实验前提、授权边界、可复现环境、防护思路和误用风险。AI 安全内容的目标是帮助读者识别系统弱点、设计更好的隔离和监控,而不是攻击第三方系统或绕过合法控制。
为什么 AI 安全需要单独学习
传统 Web 安全通常围绕请求、权限、输入校验和基础设施展开,而 AI 系统还会引入数据集污染、模型行为不确定、提示注入、工具权限外溢、嵌入检索误召回和训练/推理供应链问题。即使一个 API 本身没有明显漏洞,模型也可能因为上下文、提示、检索结果或输出策略产生安全风险。
因此,学习 AI 安全需要同时看模型、数据、应用和运维。本站会尽量把抽象风险落到具体防线:数据来源如何审查,训练集如何隔离,预测接口如何限流,Agent 工具如何授权,日志应该记录哪些事件,评估集如何覆盖异常输入。
阅读和复现实验边界
- 所有示例默认用于本地实验、教育和防御性研究。
- 不要把示例用于未授权系统、真实用户数据或第三方服务。
- 对抗样本、投毒和提示注入实验应使用可控数据集和隔离环境。
- 模型隐私与抽取讨论应重点关注风险评估、监控和接口控制。
- 部署前需要补充访问控制、审计日志、速率限制和回滚方案。
如何把专题用于工程实践
如果你正在设计一个 AI 应用,可以先从威胁建模文章入手,把资产、入口、信任边界和失败影响列出来。随后根据系统形态选择对应内容:数据管线关注投毒与后门,公开预测接口关注模型隐私和抽取,RAG/Agent 应用关注提示注入、工具权限和检索边界。
真正有效的安全改进通常不是一个单独技巧,而是一组控制的组合:输入过滤、权限最小化、上下文隔离、输出审查、异常监控、人工复核和事故响应。本站后续会继续把这些控制和可运行小实验连接起来。
评审清单
一次有用的 AI 安全评审应该先界定范围:系统要保护什么资产,攻击者被假设具备什么能力,输入数据来自哪里,模型输出会影响什么决策,失败指标如何测量,什么控制措施算作缓解。没有这些范围,一个对抗样本、投毒样本、隐私测试或提示注入演示可能听起来很严重,却无法说明真实风险大小。
因此本站会尽量把 AI 安全内容分成三层:教育用 toy experiment、一般安全概念、需要独立验证的生产控制。一个投毒 demo 可以解释标签如何影响训练,但不能直接代表真实数据管线风险;一个 RAG 提示注入实验可以解释信任边界,但不能替代访问控制、工具白名单、监控和事故响应。
演示实验的限制
本站的 AI 安全演示会有意保持受限:本地脚本、内置数据集、合成样本和防御性语言。这样读者可以研究失败模式,而不需要接触第三方目标、真实用户数据或可操作攻击流程。这种限制不是削弱内容,而是让实验更可复现、更安全,也更适合作为学术和工程讨论材料。
读者也不应过度解读 toy demo。小实验里的攻击成功不等于真实世界广泛可利用,小 notebook 里的缓解有效也不等于生产安全。真正持久的学习价值是方法:定义边界,测量失败,记录假设,选择可以再次验证的控制。
AI 安全评审矩阵
| 评审对象 | 核心问题 | 应该保留的证据 | 边界声明 |
|---|---|---|---|
| Threat model | 资产、攻击者、入口和失败影响是否明确? | 系统图、信任边界、攻击假设、失败指标和优先级。 | 威胁模型是评审起点,不等于已经完成防护。 |
| Toy lab | 演示实验到底证明了什么? | 数据来源、参数、随机种子、指标变化和失败样本。 | 本地小实验不能直接代表真实生产风险。 |
| Mitigation | 缓解措施是否可测试、可回滚、可监控? | 过滤规则、权限边界、日志字段、报警条件和复测结果。 | 一个缓解技巧不能替代访问控制、监控和事故响应。 |
| Misuse limit | 文章是否避免提供未授权操作路径? | 授权说明、合成数据、本地运行方式和防御性结论。 | 内容仅用于教育、学术和防御性研究。 |
专题路线
AI 安全攻防专题
把威胁建模、对抗样本、数据投毒、模型隐私和 LLM/RAG/Agent 安全组织成一条可复现实验路线。
面向搜索 AI 安全威胁建模、对抗样本鲁棒评估、数据投毒防御、成员推断、模型抽取和 Prompt Injection 防护的工程读者。
专题说明
为什么这些文章放在同一条路线里
AI 安全内容必须避免把攻击步骤和可滥用目标混在一起。这个专题只使用内置数据集、合成样例和本地 toy pipeline,把重点放在威胁建模、指标解释和防御复查。
对抗样本、数据投毒、模型隐私和 RAG 注入并不是孤立技巧,它们共享一个问题:训练数据、模型输出、外部文档和工具调用之间的信任边界是否清楚。
每篇文章都把风险写成可审计条目,包括触发条件、可观察指标、误报可能性和缓解控制,便于读者把实验结论迁移到自己的防御清单。
你会完成什么
你会得到一套安全 toy 实验包,并能把风险、指标、边界和工程防护清单放进同一个复查流程。
推荐阅读顺序
先建立概念,再进入可运行项目
AI 安全威胁建模:用 NIST AML、MITRE ATLAS 和 OWASP 建立攻防地图
用 NIST Adversarial ML、MITRE ATLAS 和 OWASP LLM Top 10 建立 AI 安全威胁模型,覆盖资产、攻击面、证据和剩余风险。
对抗样本与鲁棒评估:从 FGSM 公式到 scikit-learn 数字分类实验
从 FGSM 公式解释对抗样本,用 scikit-learn digits toy 实验评估 clean accuracy、perturbed accuracy 和扰动预算。
数据投毒与后门攻击防御:污染率、触发器和训练管线隔离
用 toy digits 实验解释数据投毒、后门触发器、attack success rate、数据来源审计和训练管线隔离。
模型隐私与模型窃取风险:成员推断、模型抽取和输出接口防护
用本地 toy 实验解释成员推断、模型抽取、membership AUC、surrogate fidelity、输出最小化和查询治理。
LLM/RAG/Agent 安全:Prompt Injection、工具权限和边界感知防护
从 RAG 和 Agent 架构解释 prompt injection、外部数据降权、工具 allowlist、人工审批和边界感知防护。
资源与分发素材
代码、数据、图示和可分享摘要集中管理
人工智能项目 / GUIDE
AI Security Lab 说明
说明 AI 安全攻防系列的安全边界、安装命令和 quick-run 实验。
人工智能项目 / DATASET
AI 安全风险登记表
面向 AI 威胁建模和上线评审的 CSV 风险登记模板。
人工智能项目 / DATASET
AI 攻防矩阵
把攻击面、toy demo、指标和防护控制映射到一张 CSV 表。
人工智能项目 / DIAGRAM
AI Security Lab 架构图
展示威胁建模、鲁棒评估、数据完整性、模型隐私和 RAG 防护之间的关系。
人工智能项目 / CODE
FGSM digits 鲁棒评估脚本
本地 digits 分类器的 FGSM-style 扰动和准确率下降实验。
人工智能项目 / CODE
数据投毒与后门 toy 脚本
用 digits 数据演示污染率、触发器和 attack success rate。
人工智能项目 / CODE
模型隐私与抽取 toy 脚本
输出 membership AUC、target accuracy、surrogate fidelity 和 surrogate accuracy。
人工智能项目 / CODE
RAG prompt injection guard toy 脚本
用确定性 toy agent 演示外部数据降权和工具权限阻断。
人工智能项目 / ARCHIVE
AI Security Lab 完整实验包
包含安全 toy scripts、结果 CSV、风险登记表、攻防矩阵和架构图。
常见问题
把搜索问题直接回答清楚
这个专题会提供真实攻击系统的步骤吗?
不会。实验只使用 scikit-learn 内置数据和自造 toy 数据,目标是防御评估、风险记录和工程复查。
适合什么背景的读者?
适合已经能阅读 Python、理解基本机器学习流程,并希望把 AI 系统纳入安全评审的工程读者。
