ChaMD5安全團(tuán)隊(duì)AI組負(fù)責(zé)人，專注于AI安全領(lǐng)域的研究者與實(shí)踐者，在開源大模型漏洞挖掘方向取得多項(xiàng)突破性成果，持有多個(gè)CVE漏洞編號及通用漏洞證書，擅長將工程能力與安全研究結(jié)合，全棧開發(fā)，自研AI代碼審計(jì)系統(tǒng)，持續(xù)深耕大模型供應(yīng)鏈安全、越獄攻防及AIAgent漏洞自動(dòng)化挖掘領(lǐng)域，致力于構(gòu)建AI時(shí)代的新型防御體系。?參考NIST《AI風(fēng)險(xiǎn)管理框架》（AIRMF）對模型加載監(jiān)控?Gartner報(bào)告指出，相當(dāng)一部分的ML安全事件源于模型加載階段的監(jiān)控缺失。?2022年P(guān)yTorch惡意依賴項(xiàng)攻擊，包名為torchtriton，包含一個(gè)二進(jìn)制文件，除了竊取主機(jī)名、DNS配置、用戶名、1000個(gè)文件上傳到外部服務(wù)器。?根據(jù)《大模型可信賴研究報(bào)告》預(yù)訓(xùn)練數(shù)據(jù)集中可能包含來源不明或被惡意投毒的數(shù)據(jù)，若未嚴(yán)格檢測，模型可能學(xué)習(xí)到有害信息并泄露隱私?上下文缺失：LLM推理需加載多階段子模型（如Tokenizer、Embedding層傳統(tǒng)工具無法標(biāo)記各階段資源消耗，導(dǎo)致無法檢測“模型加載劫持”攻擊（如惡意進(jìn)程偽裝成合法推理服務(wù)）。?動(dòng)態(tài)行為盲區(qū)：Oracle云漏洞導(dǎo)致挖礦程序駐留。?合規(guī)漏洞：2024年OpenAI在2023年3月的數(shù)據(jù)泄露事件中未能及時(shí)通知監(jiān)管機(jī)構(gòu)，并且在沒有合法依據(jù)的情況下使用用戶數(shù)據(jù)訓(xùn)練ChatGPT，違反GDPR數(shù)據(jù)保護(hù)條例，被處罰?審計(jì)實(shí)踐：GoogleCloudAI安全指南要求記錄模型加載的完整依賴鏈，包括臨時(shí)文件、內(nèi)存映射和子進(jìn)程行為。方案類型監(jiān)控粒度性能損耗ML上下文感知技術(shù)原理適用場景局限性進(jìn)程級高基于規(guī)則匹配系統(tǒng)調(diào)用（如通用服務(wù)器安全監(jiān)控?zé)o法關(guān)聯(lián)模型版本、依賴路徑等業(yè)務(wù)語義應(yīng)用日志業(yè)務(wù)級TensorFlow/P開發(fā)調(diào)礎(chǔ)行為無法捕獲底層依賴庫加逸行為進(jìn)程級eBPF掛鉤文生產(chǎn)環(huán)境實(shí)時(shí)合規(guī)審計(jì)需CAP_BPF權(quán)限部署?PyTorch供應(yīng)鏈攻擊：2022年惡意PyPI持模型加載流程。?HuggingFace模型投毒：HuggingFace披露部分用戶上傳的PyTorch模型文件（.bin）可能通過pickle反序列化執(zhí)行惡意代碼。?監(jiān)測模型文件加載時(shí)的inode變化與哈希值，關(guān)聯(lián)加載進(jìn)程的容器上下文竊取GPU算力。?conda倉庫投毒：某金融科技公司的內(nèi)部conda倉庫遭入侵，攻擊者上傳同名但版本號更高的惡意opencv-python包。由于企業(yè)依賴解析策略缺陷，內(nèi)部模型訓(xùn)練服務(wù)優(yōu)先拉取了惡意版本。?通過eBPF跟蹤動(dòng)態(tài)鏈接庫加載事件（dlopen標(biāo)記非白名單依賴?模型竊取攻擊：攻擊者通過API高頻查詢重構(gòu)LLM參數(shù)。?捕獲敏感文件（如*.pt）的sendfile系統(tǒng)調(diào)用，關(guān)聯(lián)進(jìn)程網(wǎng)絡(luò)行為（如TCP連接目標(biāo)IP）。檢測能力示例文件層2文件哈希校驗(yàn)、進(jìn)程簽名驗(yàn)證執(zhí)行層Persistence,2依賴路徑監(jiān)控、權(quán)限鏈分析2覆蓋ML全生命周期攻擊鏈?文件操作：掛鉤security_file_open、security_mmap_file，捕獲模型文件（.pt/.h5）的加載路徑與哈希值。?進(jìn)程間通信：監(jiān)控bpf_trace_printk跟蹤進(jìn)程樹（如Docker容器內(nèi)python進(jìn)程加載模型）。?網(wǎng)絡(luò)行為：通過skb事件捕獲sendfile傳輸?shù)拿舾形募ㄈ缒Ｐ蜋?quán)重外傳）。?靜態(tài)規(guī)則：基于toml配置文件約束監(jiān)測范圍。?依賴鏈分析：標(biāo)記非標(biāo)準(zhǔn)依賴路徑（如/tmp/libcustom.so）。?CVSS適配：將模型加載事件映射到CVSSv4.0評分（如模型泄露風(fēng)險(xiǎn)評分=9.0，CVSSv4.0指南）。?上下文加權(quán)：根據(jù)進(jìn)程權(quán)限（如root用戶加載敏感模型）動(dòng)態(tài)調(diào)整風(fēng)險(xiǎn)值。?進(jìn)程終止：通過kill系統(tǒng)調(diào)用終止惡意進(jìn)程（需CAP_SYS_ADMIN?文件隔離：將惡意模型文件移動(dòng)到沙箱目錄（如/var/quarantine）。?網(wǎng)絡(luò)攔截：通過eBPFTC（TrafficControl）丟棄外傳敏感數(shù)據(jù)包。全局可見性低資源損耗快速部署Prometheus指標(biāo)導(dǎo)出?與Grafana集成生成威脅分布儀表盤Splunk日志管道配置?日志格式兼容CEF（CommonEventFormat支持KubernetesOperator部署?與PrometheusOperator