腾讯朱雀实验室打造AI安全"瑞士军刀"

2026年6月30日,腾讯腾讯朱雀实验室发布了一项突破性研究成果,朱雀造论文编号 arXiv:2606.31227v1,实验室打士军归属于计算机安全(cs.CR)领域。全瑞该研究正式推出了开源安全框架 AI-Infra-Guard(github.com/Tencent/AI-Infra-Guard),腾讯旨在解决AI系统快速扩张与安全工具滞后之间的朱雀造矛盾。
随着AI深度融入工作与生活,实验室打士军其安全性成为核心关切。全瑞现有通用安全工具难以应对AI系统复杂的腾讯层级结构,导致大量安全隐患被忽视。朱雀造AI-Infra-Guard通过打破“一刀切”的实验室打士军传统模式,首次实现了针对 AI基础设施、全瑞协议工具、腾讯智能体行为、朱雀造语言模型本身及AI技能供应链五个维度的实验室打士军全覆盖检测。
一、 痛点分析:为何传统安全工具在AI面前失效?
过去两年,AI软件生态爆发式增长,包括模型服务引擎(Ollama, vLLM, llama.cpp)、应用构建平台(Dify, LangFlow)、图像生成工具(ComfyUI)、资源调度系统(MLflow, Kubeflow)以及新兴的MCP(Model Context Protocol)服务器。这些工具大多由小团队部署,安全意识薄弱且常暴露于公网,但传统安全工具对其几乎“视而不见”。
1. 特征库滞后
传统漏洞扫描依赖“已知软件特征库”。由于Ollama、Dify等软件出现时间较短,特征库中缺乏对应指纹,导致无法识别目标。这如同持有过期的护照图鉴,无法识别新成立国家的旅客。
2. 版本号解析困境
传统工具通过版本号判断漏洞风险,但AI软件版本命名混乱:
* 非标准格式:如 b7824(构建编号)、2.3.dev(开发快照)、latest(滚动更新)。
* 后果:传统比较器无法处理,导致大量漏报或误报。
3. 威胁模型错位
传统网络安全关注SQL注入、XSS等经典攻击,而AI系统的核心风险在于:
* 未认证访问昂贵GPU算力。
* API密钥意外泄露。
* 提示词注入劫持AI行为。
* 对抗性提问导致模型“破防”。
传统工具对这类新型威胁缺乏感知能力。
二、 核心架构:分层攻击面与检测范式匹配
研究团队提出“分层攻击面”概念,将AI系统比作一座四层建筑,每层匹配特定的检测范式:
| 层级 | 对应组件 | 核心风险 | 检测范式 |
|---|---|---|---|
| 基础设施层 | 服务器、控制台、配置接口 | 已知漏洞、配置错误 | 确定性规则匹配(Infra-Scan) |
| 协议与工具层 | MCP服务器、AI技能包 | 代码注入、指令操控 | AI驱动语义审计(MCP-Scan) |
| 智能体行为层 | 部署上线的AI助手 | 运行时诱导、越狱 | 多轮对话红队测试(Agent-Scan) |
| 模型层 | 语言模型本身 | 概率性失守、有害输出 | 大规模攻击枚举+AI裁判(Prompt-Security) |
三、 基础设施扫描:精准识别已知漏洞
模块:Infra-Scan (M1)
该模块采用类似机场安检的机制,维护庞大的“已知风险特征库”,快速比对网络目标。
1. 指纹识别与规则引擎
- 覆盖范围:75种AI组件、107条指纹规则、1443条漏洞规则。
- 识别逻辑:通过响应正文、响应头、图标哈希等特征判断软件身份。例如,Dify控制台识别规则为:响应包含
Dify或 图标哈希等于97378986。 - 表达式解释器:自研小型解释器,支持词法分析、递归下降语法分析,涵盖子串包含、精确匹配、正则匹配等操作符,通过短路求值和缓存优化性能。
2. 版本号标准化处理
为确保漏洞比对准确,系统对提取的版本号进行标准化:
* 剥离 v前缀。
* latest映射为最大哨兵版本。
* .dev后缀归零(如 2.3.dev-> 2.3.0)。
* rc标记裁去,纯数字构建编号取数值。
* 多源版本约束取交集,不兼容则报错。
3. 复杂组件支持
对于无法用YAML描述的复杂组件(如MLflow),提供 Go语言命令式逃生通道,允许直接编写指纹匹配函数,实现多步条件交互逻辑。
4. 性能与置信度
- 高性能扫描:采用混合内存/磁盘映射结构,支持流式迭代,内存占用与输入规模无关。通过有界等待组和速率限制器控制并发。
- 三级置信度:
- 验证型:主动探测敏感路径并验证内容(如
.env文件高熵凭据),确证漏洞存在。 - 版本型:已知版本落在受影响范围内。
- 推断型:仅凭组件身份触发,适用于全版本影响或无公开利用代码的情况。
四、 协议审计:用AI审查AI工具代码
模块:MCP-Scan (M2)
MCP服务器是AI的“手脚”,其漏洞可能导致攻击者借AI之手操控系统。传统规则无法捕捉此类语义级漏洞,因此引入LLM作为“思考型安全审计员”。
1. 框架设计理念
- 非新模型,新框架:提供任务结构(多阶段流水线)、工具集(代码读取、搜索、接口调用)、控制机制(迭代限制+上下文压缩)和输出合同(结构化发现)。
- 角色分工:主推理模型负责判断,代码专用模型负责阅读,轻量模型负责过滤,优化成本。
2. 工作模式
- 白盒静态审计:三阶段流水线(信息收集 -> 代码审计 -> 漏洞复核)。
- 黑盒动态分析:四阶段流水线,增加“恶意行为测试”和“漏洞测试”。
- 上下文压缩:当对话接近窗口上限时,保留关键焦点和未解决问题,压缩历史摘要,支持审计超大代码库。
3. 提示词即规则 (Prompt-as-Rule)
- 自然语言编码:使用自然语言定义漏洞模式、高风险代码及排除条件。
- OWASP MCP Top 10对齐:覆盖认证绕过、命令注入、凭据窃取、工具投毒、撤毯攻击等特有威胁。
- 防误报机制:强调“排除条件”,仅报告远程可触发的漏洞,忽略本地利用问题。
4. 动态防御与隔离
- 结果导向:仅将工具的“响应”视为证据,而非发出的请求,解决“工具自我注入”悖论。
- 抗提示词注入:将审计员自身视为攻击目标,通过系统提示词隔离指令与数据,使用路径沙箱防止审计员读取非目标文件。
五、 技能供应链审计:防范“毒苹果”
模块:Skill-Scan (M3)
AI技能包(类似浏览器插件)存在投毒、权限滥用等风险。M3模块旨在验证技能“实际行为”与“声明用途”的一致性。
1. 检测流程
- 预处理:分析目录结构,识别入口点和可疑资产。
- 静态线索检索:快速扫描高风险指标(如
curl | bash、云元数据访问、反向Shell等)。 - AI审计分析:在受控环境中进行上下文推理,对比实现与声明。
- 威胁情报集成:接入腾讯云威胁情报API,评估URL、哈希及第三方依赖风险。
2. 结果分类
分为 正常、可疑、恶意三级。引入“可疑”类别以应对意图不明的危险模式,避免二元分类的局限性。
3. SkillTrustBench基准
发布首个智能体技能安全性公开基准,包含5520个精选案例,覆盖9类威胁。AI-Infra-Guard配合Claude Opus 4.6模型,在松散F1分数上达到 0.9848,召回率接近1.0。
六、 智能体红队测试:对话中的动态防御
模块:Agent-Scan (M4)
针对已部署的AI助手,通过模拟真实用户对话发现运行时漏洞。
1. 渐进式攻击策略
- 侦察:摸清目标能力边界。
- 攻击:四个家族并行——数据泄露、工具滥用、间接注入、授权绕过。
- 预算优化:
- 能力感知:避免对无攻击面的目标浪费资源。
- 梯度升级:从无害请求逐步升级到越狱尝试,模拟真实攻击者逻辑。
- 停止规则:确认漏洞后终止该类测试。
2. 客观验证机制
- 金丝雀令牌:SSRF测试中,只有当响应包含预期令牌才确认为漏洞。
- 标记字符串:间接注入测试中植入特定标记,成功出现即视为突破。
- 完整记录:每条发现携带完整对话记录,便于复现和审计。
七、 模型越狱测评:量化AI的“防诱惑能力”
模块:Prompt-Security (M4)
将模型安全评估转化为统计学问题,计算对抗性提示下的“失守”概率。
1. 评估框架
- 三角循环:模拟器(生成攻击)、目标模型(被评估)、评估模型(裁判)。
- 可组合要素:漏洞类型 × 攻击算子 × 指标。
2. 攻击算子库
- 单轮算子:
- 算法型:70+种编码混淆(Base64、十六进制、零宽字符、词素拆分等)。
- 模型驱动型:角色扮演、系统提示覆盖、超级用户身份模拟。
- 多轮算子:
- 渐进升温 (Crescendo):维护记忆,逐步推进。
- 树状攻击 (Tree of Attacks):探索提示词树结构,优化分支。
- 最优N采样 (Best-of-N):大量扰动采样,首个成功即止。
3. 专项裁判
针对毒性、偏见、虚假信息、隐私泄露等特定有害类型,提供专门化的裁判模型,避免通用标准的“一刀切”。
八、 系统集成与部署
AI-Infra-Guard采用 分布式服务器-智能体架构:
* 中央调度:Web服务器管理任务持久化、工作者池及进度推送。
* 统一调度:Go语言实现的Infra-Scan与Python实现的LLM模块通过同一套机制调度,支持毫秒级扫描至数十分钟红队测试的无缝衔接。
* 实时反馈:通过WebSocket和SSE(Server-Sent Events)实时推送事件流,支持长任务中途取消。
* 三种交付形式:
1. CLI工具:供开发者直接使用。
2. Web服务:支持团队协作与持续监控。
3. 智能体技能包:可安装至OpenClaw、Cursor等宿主,通过对话触发扫描。
九、 横向对比:为何选择AI-Infra-Guard?
| 工具类型 | 代表工具 | 覆盖范围 | 局限性 |
|---|---|---|---|
| 基础设施扫描 | Nuclei | 基础设施层 | 无法检测AI智能体、模型对齐问题 |
| 静态代码分析 | Semgrep, CodeQL | 代码层 | 缺乏MCP感知,无运行时测试 |
| 协议审计 | Invariant MCP-Scan | 协议层 | 不覆盖基础设施和模型层 |
| 行为/模型测试 | garak, PyRIT, promptfoo | 行为/模型层 | 不扫描基础设施,不审计MCP代码 |
| 技能供应链 | 无 | 无 | 目前无主流工具覆盖 |
AI-Infra-Guard的独特优势:
1. 唯一全覆盖:同时覆盖基础设施、协议、行为、模型及技能供应链五大维度。
2. AI专用优化:专门处理AI软件不规则版本号和特有漏洞类型。
3. 跨切设计模式:
* 提示词即规则:强调排除条件以防止过度报告。
* 主观判断客观锚定:通过确定性检查(如金丝雀令牌)替代主观阅读。
* 扫描器自身防御:将安全工具视为攻击目标,实施指令与数据隔离。
结语
AI-Infra-Guard不仅提供了四个维度的检测工具,更确立了一套经过严密论证的方法论:不同的AI安全问题需要不同的检测范式。在AI部署速度超越安全工具发展的当下,这种分层、匹配、全栈的防御框架,比单一工具更具价值。
Q&A
Q1:AI-Infra-Guard和Nuclei、garak这些已有工具有什么区别?
A:Nuclei擅长网络服务漏洞扫描,garak专注模型安全性测试,但两者均只覆盖AI攻击面的单一层次。AI-Infra-Guard是目前唯一整合了基础设施扫描、MCP代码审计、技能供应链审计、智能体运行时红队测试及模型越狱评测的开源框架,并专门解决了AI软件版本混乱和特有漏洞的检测难题。
Q2:MCP服务器的“工具投毒”攻击是怎么回事?
A:MCP服务器通过自然语言描述向AI提供工具能力。攻击者篡改这些描述,植入隐蔽指令,诱导AI在执行工具时执行恶意操作(如数据外传)。由于描述对AI而言是“可信上下文”,且传统代码扫描无法识别自然语言中的恶意意图,此类威胁极具隐蔽性。
Q3:SkillTrustBench是什么,为什么要发布这个基准?
A:SkillTrustBench是腾讯朱雀实验室发布的首个AI智能体技能安全性公开基准,包含5520个精选案例,覆盖9类供应链威胁。其目的是提供客观标准,使不同扫描工具和基础模型能在同等条件下比较检测能力,推动该领域向可量化、可重复的方向发展。
(责任编辑:热点)
-
Chrome、Edge、Firefox同步提速至双周更新,Firefox试点先行
全球三大主流浏览器——Chrome、Edge与Firefox近期同步宣布调整发布策略,将常规版本的更新周期从原来的四周缩短至两周。这一举措旨在加速功能迭代进程,并显著提升安全漏洞的响应与修复速度。各浏
...[详细]
-
近期,多地赛事因AI生成作品获奖引发舆论关注。继2025年呼和浩特全民摄影双月赛出现AI作品获奖争议后,2026年东莞市应急优秀作品征集展播活动第二轮获奖名单中,一幅题为《东莞应急科普》的书法作品再次 ...[详细]
-
微软主动出击推销自家AI,销售要掌握OpenAI、谷歌、Anthropic的不足
IT之家 7 月 16 日讯,据彭博社 7 月 15 日报道,微软正酝酿调整其人工智能产品的销售战术,旨在让销售团队更直接地对抗行业内的主要竞争对手。在当地时间 14 日举行的新财年内部战略会议上,微
...[详细]
-
【2026.7.15】为什么都说杨超越不抗剧?前队友和大东当年?蒋方舟会和翟博士一样?明星为什么只养一个孩子?评95花不带关晓彤?
“扒酱每日一爆料”扒酱来了◆ ◆ ◆【2026.7.15】热点速览张小斐零片酬出演《功夫女足》?业内传闻引发热议,若属实,其演技与公益心的结合值得探讨。韩国爱豆为何热衷“麦麸”文化?从商业逻辑到粉丝心
...[详细]
-
“我的背废了” 1亿欧中卫无对抗伤退!西班牙连续3场收到退赛大礼
7月15日凌晨,世界杯半决赛激战正酣,法国队迎战西班牙。上半场,法国队遭遇重创,身价高达1亿欧元的后防核心萨利巴因伤被迫离场,主帅德尚只能无奈调整阵容。萨利巴作为法国队的绝对主力及后防定海神针,凭借出
...[详细]
-
LV多家门店排队盛况不再;二手市场价格跳水,热门款价格腰斩,“冷门款跌穿地板”,二奢店:根本收不过来
近日,路易威登LV)起诉新茶饮品牌“茉莉奶白”商标侵权一案尘埃落定,茉莉奶白主体公司被判赔偿LV经济损失共计1030万元。这一判决不仅引发了社交媒体上的舆论风暴,更迅速传导至线下消费市场,导致LV门店
...[详细]
-
炉火重燃,铁锤声清脆回荡。在这款充满温情的奇幻铁匠模拟游戏中,你将接管一座荒废已久的工坊,从零开始修复屋舍、重燃炉火,最终将其打造为小镇不可或缺的工匠枢纽。游戏支持单人沉浸体验,也允许与好友联机协作,
...[详细]
-
7月15日,国务院新闻办公室举行新闻发布会,全面通报2026年上半年国民经济运行情况。数据显示,中国经济在复杂环境中展现出强劲韧性,主要指标保持在合理区间,高质量发展步伐稳健。宏观总量:GDP同比增长
...[详细]
-
世界杯四强席位尘埃落定,法国、西班牙、阿根廷与英格兰成功突围。这一阵容堪称“豪华”,不仅囊括了FIFA世界排名前四的球队,更汇聚了上届世界杯的冠亚军以及上届欧洲杯的冠亚军,竞技含金量极高。此前,西班牙
...[详细]
-
日本人曾这样评价抗美援朝:倘若中国不出兵,美国根本不会打到鸭绿江边,可中国偏偏去了,这一仗让西方复盘70多年仍百思不得其解
1950年12月底,东京。盟军最高司令部作战室内,一份源自朝鲜前线的战报被译成日文,置于麦克阿瑟参谋长阿尔蒙德少将的案头。尽管措辞极力保持军方特有的冷静与克制,但冰冷的数字却揭示了残酷真相:美军第二师
...[详细]
- 安孚科技:苏州易缆微已推出适用于3.2T光模块的单波400Gbps光芯片
- 一图看懂A股2026中报预告:半导体龙头增超620倍
- 感动!18年前汶川地震获救的少年,18年后在洪水中救人
- 美国关键数据超预期降温!黄金短线拉升,CPI惊现负增长,交易员紧急撤销7月加息押注
- E句话 | 《功夫女足》要换片源,你还会去看吗?
- B站给新号推荐擦边视频?记者注册新号实测:儿童绘画、舞蹈等视频下方推荐擦边内容
- 格林伍德告别马赛:感谢球迷一路支持,祝俱乐部未来一切顺利
- 欧盟,竟连一只鸭子都不放过?
- 怕痛才要搞明白:蓝宝石冰点脱毛仪无痛靠什么实现?2026制冷技术全解析
- 英阿大战一触即发,梅西、凯恩、贝林厄姆,谁能成主角?

每体:时间对阿森纳追小蜘蛛有利,巴萨的报价有截止日期
一级致癌物却撑起千亿市场:槟榔的灰色生意,为何禁而不止?
靠谱大容量TF卡推荐:三星T7,多场景存储优选
当28岁侯明昊遇上18岁艾米,我才终于明白,为何说CP感是门玄学
是时候重估AI商业基础设施了
