有人在用AI重塑生产力，也有人在用AI破解安全防线。

当算力成为“新石油”，GPU成为“兵家必争”，一场围绕AI基础设施的攻防战，正从底层资源蔓延至模型心智。

在本期《安全记》栏目中，阿里云智能集团云安全产品线安全总监雷涛与月之暗面Kimi安全负责人马鑫宇展开深度对话，从GPU劫持、提示词注入，到Agent权限滥用、多模态风险，系统性地拆解大模型应用背后的安全底座建设，探讨AI基础设施的攻防现实与未来范式。

本文基于访谈嘉宾观点进行提炼，完整版内容请点击下方视频。

算力保卫战：GPU防劫持的“双重保险”

“黑客攻击的核心无非两样：数据和商业资源。”马鑫宇开门见山点明AI企业的安全核心。在GPU“一卡难求”的当下，挖矿劫持已成为行业高发风险，而月之暗面凭借架构设计与工具协同，实现“零中招”。

架构先天免疫是第一道防线。不同于传统企业事后补漏的模式，月之暗面在成立之初就将安全融入架构基因，通过严格的权限隔离与VPC网络管控，从物理层面切断非法访问路径。

内外工具协同则构成第二重保障。在依托阿里云基础安全能力的同时，团队自主研发适配业务需求的安全网关，实现对异常访问的精准拦截。这种“云防护 + 自研工具”的组合，既省去了自建IDC的沉重负担，又能灵活应对个性化安全需求。

隐形攻击：提示词注入与数据投毒的“语义陷阱”

当大模型从实验室走向产业落地，藏在代码与数据中的攻击也愈发隐蔽。马鑫宇与雷涛结合实战经验，揭示了几类典型攻击的真实威胁。

提示词注入已成“越狱”重灾区。新模型发布后，总有攻击者尝试注入系统提示词，尤其在代码生成和Agent调度场景中风险极高。“早期Chatbot就曾因这问题泄露集群权限，现在Agent能调用工具，风险呈指数级增长。”马鑫宇指出。更棘手的是，这类恶意输入与正常提问语义差异极小，如同混入人群的刺客，难以识别。

数据投毒与多模态污染则更加隐蔽。雷涛补充了三类典型案例：

• 数据隐私泄露：OpenAI两年前发布新模型时，DeepMind发现通过提示词可以提取其训练数据中的客户隐私信息；

• 带漏洞代码推荐：某客户在使用ChatGPT进行代码推荐时，因其推荐了一个包含漏洞的代码，最终导致了用户数据泄露；

• 多模态内容污染：图像、音视频中的违规内容一旦注入模型，将引发连锁合规风险。

传统安全“失灵”？新旧融合的防护新逻辑

“产品形态还是应用和API，但攻击的‘玩法’已经变了。”马鑫宇的这句话点出了当下安全防护的核心矛盾。面对AI时代的新型攻击，传统安全方案并非完全失效，而是需要“补短板、强协同”。

传统防御体系仍是基础防线。WAF、云防火墙等产品在防御XSS、SSRF等传统网络攻击时依旧高效，是企业安全架构中不可或缺的“基本盘”。

真正的挑战来自“语义层”。与Web时代“1=1”这样特征明显的SQL注入不同，提示词注入往往隐藏在看似正常的对话中，攻击特征极为模糊，必须依赖新一代AI技术进行深度语义解析与意图识别。

基于此，新防护体系需实现“三层联动”：以经过验证的云安全产品为底座，通过自研规则引擎进行业务逻辑适配，最终聚焦于模型自身的AI Safety能力建设——从数据清洗、训练监控到上线前的红蓝对抗，形成覆盖模型全生命周期的安全闭环。这种“体系打底 + AI增强”的融合模式，既确保了基础安全能力，又为应对新型威胁提供了技术纵深。

阿里云安全体系实战：从基础防护到全局管控

作为阿里云的深度用户，月之暗面的安全实践为AI企业提供了具备高度参考价值的云上防御样本。马鑫宇在访谈中强调，阿里云的安全产品矩阵构成了其防护体系的核心支撑，其中云防火墙与云安全中心更是日常运维中不可或缺的关键组件。

阿里云云防火墙：构建精准流控“中枢”

作为流量管控的“交通警察”，阿里云云防火墙实现了对南北向与东西向流量的立体化管控。它不仅能够实时监测外部访问行为，更能精准管理内部Net网关间的数据流转，一旦发现异常流量或失陷主机，系统可在第一时间发出告警并支持快速响应。“就像在关键路口部署了智能交警，问题流量一出现就会被识别和管控。”马鑫宇表示，团队基于阿里云云防火墙的告警数据进行二次筛选，能够精准定位真正的高危事件，极大提升了应急响应效率。

阿里云云安全中心：打造资产与漏洞的“统一看板”

在资产与漏洞管理层面，阿里云云安全中心发挥着“全局管家”的关键作用。通过在GPU训练集群、ECS集群等环境中统一部署Agent，月之暗面团队能够实时掌握资产规模、IP分布与VPC架构，并对Kubernetes集群内容器状态进行全景监控。其漏洞检测能力尤其受到团队倚重。“面对日益增长的CVE漏洞，仅靠人工跟进几乎不可能。阿里云云安全中心实现了对弱口令、服务漏洞的自动化扫描，极大释放了我们的运维压力。”马鑫宇坦言，这使团队能将精力聚焦于高级威胁分析与内部安全架构优化，而无需从零构建底层防护设施。

通过将阿里云云防火墙的精准控流能力与阿里云云安全中心的统一管控能力相结合，月之暗面在云上构建了一套覆盖网络、资产与漏洞的纵深防护体系，为AI业务的高速发展提供了坚实的安全底座。

AI Agent时代：权限滥用与任务劫持的“黑盒危机”

“2025年绝对是Agent的大年，各种产品看得人眼花缭乱。”雷涛的判断道出了行业趋势，但热闹背后，安全风险也在同步升级。马鑫宇与雷涛一致认为，Agent的核心风险藏在“黑盒执行链”与“权限边界”中。

“正常操作”也能酿成大祸。马鑫宇举了一个典型场景：黑客若想通过邮件Agent窃取数据，只需让它依次执行“获取全公司邮箱地址”“打包文件”“发送到指定邮箱”三个操作——每一步都是Agent的正常功能，组合起来却构成完整的数据泄露攻击。

针对此类新型风险，阿里云已构建起系统的“三层防护体系”。雷涛在访谈中详细阐释了该体系的组成：

• 流量入口层：通过AI安全护栏对输入内容进行全面检测，覆盖文本、图像、URL、PDF及恶意文件等多个维度，从源头过滤恶意输入；

• AI资产层：基于AI-BOM，AI-SPM（安全态势管理），绘制Agent所调用的模型、数据库、API等资产全景图谱，实现可视化管控；

• 身份权限层：严格界定Agent的身份与访问边界，明确其可访问的云资产与可调用的API范围，防止越权操作。

该体系从入口、资产到权限实现全链路管控，为Agent的大规模应用提供可靠的安全底座。

安全本质未变：在变化中守住“不变”的核心

“技术再变，安全的本质还是那三件事：更全的数据、更好的检测、更强的响应。”雷涛的总结为行业破局指明了方向。在AI重塑安全的当下，守住不变的核心，才能应对万变的威胁。

• 更全的数据是“前提”。攻击者永远寻找短板突破，防御者必须实现“无死角感知”。阿里云的“三体战役”战略正是为了打通基础设施、安全技术与办公生产的数据孤岛，让客户拥有完整的安全视角。

• 更好的检测是“核心”。有了全量感知数据，Context Engineering实现才有可能，再用大模型的推理进行语义降噪，能大幅提升威胁识别准确率。

• 更强的响应是“闭环”。发现攻击后必须快速处置，否则黑客会持续渗透。阿里云的云原生架构支持实时响应与策略执行，实现“发现-阻断-溯源”的防御闭环。

马鑫宇指出，审计难度升级是当前面临的重要挑战之一——Agent的执行链路与模型推理过程难以清晰追踪，“在什么阶段阻断高危操作”成为亟待厘清的新课题。但他强调，这些技术演进带来的新问题，并未改变安全“捍卫数据、守护信任”的本质使命。

未来规划：安全左移与原生安全的深耕之路

谈及未来，马鑫宇透露了月之暗面的三大发力方向，这也代表了领先AI企业的安全共识：

• 资产变更感知要“更快更全”。通过技术升级实现对资产变动的实时感知，避免“资产变了却不知道”的被动局面。

• 安全左移要“落到设计层”。将风险发现前置到架构设计阶段，从源头控制漏洞，避免“上线后再补漏”的成本浪费。

• 原生安全要“靠模型自身”。计划通过蓝军对抗持续提升Kimi的“原生免疫力”，让模型实现从“被动防御”到“主动免疫”的进化。

雷涛对此高度认同，并在结尾强调：“时代在变，技术在变，但网络安全的本质从未改变。阿里云将携手月之暗面及更多行业伙伴，共同夯实大模型时代的安全底座。”在这场没有终点的攻防战中，所构建的不仅是技术屏障，更是智能时代的安全底座，为每一次创新奠定信任的基石。