1.1主要內(nèi)容 1.2適用對(duì)象 1.3應(yīng)用場景 2規(guī)范性引用文件 3術(shù)語、定義和縮略語 23.1術(shù)語和定義 23.2縮略語 34車聯(lián)網(wǎng)大模型系統(tǒng)架構(gòu)參考模型 35安全要求 45.1安全目標(biāo)與原則 45.1.1安全目標(biāo) 45.1.2安全原則 45.2組織管理安全 45.2.1安全責(zé)任體系 45.2.2供應(yīng)鏈安全管理 55.2.3第三方組件與服務(wù)管理 55.3安全生命周期 55.3.1概念階段安全考量 55.3.2開發(fā)階段安全要求 55.3.3生產(chǎn)與運(yùn)維階段安全要求 55.3.4下線與退役階段安全要求 66數(shù)據(jù)安全 66.1數(shù)據(jù)分類分級(jí) 66.2數(shù)據(jù)采集安全 66.2.1合法性、正當(dāng)性、必要性要求 66.2.2數(shù)據(jù)質(zhì)量與偏見控制 76.3數(shù)據(jù)存儲(chǔ)與傳輸安全 76.3.1加密存儲(chǔ)與傳輸 76.3.2數(shù)據(jù)脫敏與匿名化 76.4數(shù)據(jù)處理與使用安全 76.4.1訓(xùn)練數(shù)據(jù)投毒防護(hù) 76.4.2隱私計(jì)算技術(shù)應(yīng)用 86.5數(shù)據(jù)跨境合規(guī)要求 87模型安全 87.1模型開發(fā)訓(xùn)練安全 87.1.1安全對(duì)齊與價(jià)值觀合規(guī) 87.1.2偏見與公平性控制 87.2模型對(duì)抗性安全 97.2.1提示詞注入防護(hù) 97.2.2越獄防護(hù) 97.2.3對(duì)抗樣本防護(hù) 97.3模型可靠性 97.3.1“幻覺”抑制與可控生成 97.3.2輸出內(nèi)容安全過濾與審核 7.4模型資產(chǎn)管理安全 7.4.1模型版本管理 7.4.2模型知識(shí)產(chǎn)權(quán)保護(hù)與防竊取 8系統(tǒng)與平臺(tái)安全 8.1基礎(chǔ)設(shè)施安全 8.1.1計(jì)算平臺(tái)安全（云、邊、端） 8.1.2網(wǎng)絡(luò)安全（通信信道安全、V2X安全） 8.2應(yīng)用安全 8.2.1身份認(rèn)證與訪問控制（最小權(quán)限原則） 8.2.2API接口安全 8.2.3安全日志與審計(jì) 8.3終端安全（車載系統(tǒng)） 8.3.1資源隔離與防護(hù) 8.3.2運(yùn)行時(shí)安全監(jiān)控 參考文獻(xiàn) 本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》起草。本文件的制定旨在規(guī)范車聯(lián)網(wǎng)大模型全生命周期的安全管理，明確數(shù)據(jù)安全、模型安全、系統(tǒng)與平臺(tái)安全、應(yīng)用場景安全等核心要求，防范車聯(lián)網(wǎng)大模型面臨的惡意攻擊、數(shù)據(jù)泄露、決策失誤等安全風(fēng)險(xiǎn)，保障車聯(lián)網(wǎng)安全安全。本文件由江蘇省互聯(lián)網(wǎng)協(xié)會(huì)提出并歸口。本文件起草單位：南京理工大學(xué)、江蘇省互聯(lián)網(wǎng)行業(yè)聯(lián)合會(huì)本文件主要起草人：本文件為首次發(fā)布。11.1主要內(nèi)容本文件規(guī)定了車聯(lián)網(wǎng)大模型系統(tǒng)的安全目標(biāo)與原則，涵蓋組織管理安全、安全生命周期、數(shù)據(jù)安全、模型安全、系統(tǒng)與平臺(tái)安全、應(yīng)用場景安全、安全監(jiān)測審計(jì)與處置、安全評(píng)估與測試等核心內(nèi)容，同時(shí)提供典型攻擊場景與防護(hù)建議（資料性附錄）。1.2適用對(duì)象本文件適用于以下主體：1)車聯(lián)網(wǎng)大模型的研發(fā)機(jī)構(gòu)（包括模型訓(xùn)練、微調(diào)、優(yōu)化的企業(yè)或科研單位）；2)車聯(lián)網(wǎng)大模型的生產(chǎn)與運(yùn)營單位（包括車載系統(tǒng)集成、車云平臺(tái)運(yùn)營的企業(yè)）；3)車聯(lián)網(wǎng)大模型的服務(wù)提供商（包括智能座艙交互服務(wù)、智能駕駛決策輔助服務(wù)的提供商）；4)車聯(lián)網(wǎng)大模型安全的監(jiān)管與檢測機(jī)構(gòu)（包括行業(yè)監(jiān)管部門、第三方安全檢測實(shí)驗(yàn)室）。1.3應(yīng)用場景本文件覆蓋車聯(lián)網(wǎng)大模型的主要應(yīng)用場景，包括但不限于：1)智能座艙人機(jī)交互場景（包括：語音控制、文本咨詢、娛樂內(nèi)容推送）；2)智能駕駛決策輔助場景（包括：路況分析、車道選擇建議、緊急避險(xiǎn)提示）；3)車云協(xié)同服務(wù)場景（包括：高精地圖動(dòng)態(tài)更新、車隊(duì)協(xié)同學(xué)習(xí)、模型OTA升級(jí)）；4)車輛遠(yuǎn)程服務(wù)場景（包括：遠(yuǎn)程診斷、車輛設(shè)置調(diào)整、用戶需求響應(yīng)）。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件；凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。[1]GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范[2]GB/T40429-2021車聯(lián)網(wǎng)信息服務(wù)數(shù)據(jù)安全要求[3]GB/T38664-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[4]GB/T39262-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理指南2[5]GB/T42728-2023信息安全技術(shù)生成式人工智能服務(wù)安全要求[6]ISO21434:2021道路車輛網(wǎng)絡(luò)安全工程（Roadvehicles—Cybersecurityengineering）[7]ISO21448:2021道路車輛預(yù)期功能安全（Roadvehicles—Safetyoftheintendedfunctionality）[8]《生成式人工智能服務(wù)管理暫行辦法》（國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部等7部門，2023年）[9]《車聯(lián)網(wǎng)信息服務(wù)安全管理若干規(guī)定》（工業(yè)和信息化部，2021年）3術(shù)語、定義和縮略語3.1術(shù)語和定義GB/T35273、GB/T40429、GB/T38664、GB/T39262、GB/T42728界定的以及以下術(shù)語和定義適用于本文件。3.1.1車聯(lián)網(wǎng)（InternetofVehicles,IoV）以車輛為核心節(jié)點(diǎn)，通過無線通信技術(shù)實(shí)現(xiàn)車輛與車輛、車輛與道路基礎(chǔ)設(shè)施、車輛與云端平臺(tái)、車輛與用戶之間的數(shù)據(jù)交互，融合感知、決策、控制功能的綜合網(wǎng)絡(luò)系統(tǒng)。3.1.2大模型（LargeLanguageModel,LLM）/基礎(chǔ)模型（FoundationModel）基于海量數(shù)據(jù)訓(xùn)練，參數(shù)規(guī)模達(dá)到百億級(jí)以上，具備跨場景通用能力的人工智能模型，可通過微調(diào)或提示詞交互適配特定任務(wù)。3.1.3車聯(lián)網(wǎng)大模型系統(tǒng)（IoVLLMSystem）融合車聯(lián)網(wǎng)數(shù)據(jù)與大模型技術(shù)，用于支撐車聯(lián)網(wǎng)場景應(yīng)用的綜合系統(tǒng)，包括“云端訓(xùn)練與部署平臺(tái)”“車端推理與應(yīng)用模塊”及“車云協(xié)同通信機(jī)制”三部分。3.1.4提示詞注入（PromptInjection）攻擊者通過構(gòu)造特定文本、語音等輸入，誘導(dǎo)車聯(lián)網(wǎng)大模型忽略預(yù)設(shè)安全規(guī)則，執(zhí)行非預(yù)期操作的攻擊方式。3.1.5幻覺（Hallucination）車聯(lián)網(wǎng)大模型在無事實(shí)依據(jù)的情況下，生成與真實(shí)數(shù)據(jù)不符、邏輯矛盾內(nèi)容的現(xiàn)象。3.1.6對(duì)齊（Alignment）通過技術(shù)手段使車聯(lián)網(wǎng)大模型的輸出與行為符合人類價(jià)值觀、法律法規(guī)及交通安全要求的過程。3.1.7預(yù)期功能安全（SafetyoftheIntendedFunctionality,SOTIF）3針對(duì)車聯(lián)網(wǎng)系統(tǒng)因“功能設(shè)計(jì)不足”或“環(huán)境適配缺陷”導(dǎo)致的風(fēng)險(xiǎn)，保障系統(tǒng)在預(yù)期使用場景下安全運(yùn)行的能力。3.1.8模型OTA升級(jí)（Over-the-AirUpdateforModel）通過無線通信網(wǎng)絡(luò)向車端推送大模型版本更新包，實(shí)現(xiàn)車端推理模型動(dòng)態(tài)優(yōu)化的過程。3.2縮略語下列縮略語適用于本文件IoV：車聯(lián)網(wǎng)（nternetofVehicles）LLM：大語言模型（LargeLanguageModel）SOTIF：預(yù)期功能安全（SafetyoftheIntendedFunctionality）V2X：車與萬物互聯(lián)（Vehicle-to-Everything）OTA：空中下載技術(shù)（Over-the-Air）API：應(yīng)用程序接口（ApplicationProgrammingInterface）FL：聯(lián)邦學(xué)習(xí)（FederatedLearning）AES：高級(jí)加密標(biāo)準(zhǔn)（AdvancedEncryptionStandard）TLS：傳輸層安全協(xié)議（TransportLayerSecurity）JWT：網(wǎng)頁令牌（JSONWebToken,JSON）4車聯(lián)網(wǎng)大模型系統(tǒng)架構(gòu)參考模型車聯(lián)網(wǎng)大模型系統(tǒng)采用“云-邊-端”協(xié)同架構(gòu)，各層級(jí)功能與安全邊界如下：a）云端訓(xùn)練與部署功能定位：負(fù)責(zé)大模型的訓(xùn)練、微調(diào)、版本管理及大規(guī)模服務(wù)部署，存儲(chǔ)海量訓(xùn)練數(shù)據(jù)與模型資產(chǎn)；核心組件：算力集群（GPU/TPU服務(wù)器）、數(shù)據(jù)管理平臺(tái)（數(shù)據(jù)清洗、分類存儲(chǔ)）、模型訓(xùn)練框架、模型服務(wù)網(wǎng)關(guān)（負(fù)載均衡、訪問控制）；安全邊界：需隔離訓(xùn)練環(huán)境與公網(wǎng)，防范模型竊取與數(shù)據(jù)泄露。b）車端推理與應(yīng)用功能定位：基于云端下發(fā)的輕量化模型，實(shí)現(xiàn)實(shí)時(shí)推理（包括：語音指令識(shí)別、駕駛決策建議），與車載系統(tǒng)交互；核心組件：車端推理引擎（適配車載芯片）、交互接口（語音/文本輸入輸出模塊）、本地安全存儲(chǔ)（敏感數(shù)據(jù)臨時(shí)緩存）；4安全邊界：需隔離推理模塊與車輛控制模塊，防止模型異常影響行車安全。c）車云協(xié)同功能定位：實(shí)現(xiàn)車端與云端的數(shù)據(jù)同步、模型更新（OTA升級(jí)）及服務(wù)協(xié)同；核心機(jī)制：加密通信協(xié)議、數(shù)據(jù)分片傳輸（大模型更新包分塊校驗(yàn)）、雙向身份認(rèn)證（車端與云端數(shù)字證書認(rèn)證）；安全邊界：需防范通信鏈路劫持與數(shù)據(jù)篡改，保障協(xié)同過程的完整性。5安全要求5.1安全目標(biāo)與原則5.1.1安全目標(biāo)保障數(shù)據(jù)安全：防止車聯(lián)網(wǎng)大模型相關(guān)數(shù)據(jù)（訓(xùn)練數(shù)據(jù)、交互數(shù)據(jù)）的泄露、篡改與濫保障模型安全：防范模型遭受對(duì)抗性攻擊，抑制幻覺生成，確保模型輸出合規(guī)、可靠；保障系統(tǒng)安全：確保車聯(lián)網(wǎng)大模型系統(tǒng)（云、邊、端）的可用性、完整性，避免影響車輛功能安全；保障場景安全：在智能駕駛、座艙交互等場景中，優(yōu)先保障人身安全與公共交通安全。5.1.2安全原則安全設(shè)計(jì)原則：在系統(tǒng)架構(gòu)設(shè)計(jì)、模型開發(fā)、應(yīng)用集成階段，提前融入安全需求（采用零信任架構(gòu)、模型安全對(duì)齊設(shè)計(jì)）；生命周期安全原則：覆蓋“概念-開發(fā)-生產(chǎn)運(yùn)維-下線退役”全階段，每個(gè)階段制定對(duì)應(yīng)的安全措施；數(shù)據(jù)驅(qū)動(dòng)安全原則：利用安全日志、攻擊樣本等數(shù)據(jù)，訓(xùn)練威脅檢測模型，提升系統(tǒng)動(dòng)態(tài)防御能力；責(zé)任主體明確原則：明確研發(fā)、運(yùn)營、使用各環(huán)節(jié)的安全責(zé)任。5.2組織管理安全5.2.1安全責(zé)任體系應(yīng)設(shè)立專門的安全管理部門，配備專職安全人員，明確各崗位職責(zé)；應(yīng)制定安全管理制度，包括數(shù)據(jù)安全管理、模型安全管理、應(yīng)急響應(yīng)管理等，定期開展安全培訓(xùn)（每年不少于2次）；5應(yīng)建立安全考核機(jī)制，將安全指標(biāo)納入部門與個(gè)人績效考核。5.2.2供應(yīng)鏈安全管理供應(yīng)商準(zhǔn)入：應(yīng)對(duì)車聯(lián)網(wǎng)大模型相關(guān)供應(yīng)商開展安全評(píng)估，優(yōu)先選擇符合GB/T35273-2020、ISO21434要求的供應(yīng)商；風(fēng)險(xiǎn)監(jiān)測：應(yīng)與供應(yīng)商簽訂安全協(xié)議，明確數(shù)據(jù)保護(hù)、漏洞通報(bào)義務(wù)，每季度開展一次供應(yīng)鏈安全風(fēng)險(xiǎn)排查；應(yīng)急處置：應(yīng)制定供應(yīng)商安全事件應(yīng)急預(yù)案，當(dāng)供應(yīng)商發(fā)生數(shù)據(jù)泄露、組件漏洞等事件時(shí)，能及時(shí)切換替代方案。5.2.3第三方組件與服務(wù)管理組件選型：優(yōu)先使用經(jīng)過安全認(rèn)證的第三方組件，禁止使用已知存在高危漏洞的組件；服務(wù)審核：對(duì)第三方服務(wù)的接口安全、數(shù)據(jù)處理合規(guī)性進(jìn)行審核，定期（每半年）開展服務(wù)安全測試；漏洞管理：建立第三方組件與服務(wù)的漏洞臺(tái)賬，對(duì)發(fā)現(xiàn)的漏洞，應(yīng)要求提供方在72小時(shí)內(nèi)提供修復(fù)方案，高危漏洞需在24小時(shí)內(nèi)完成修復(fù)。5.3安全生命周期5.3.1概念階段安全考量安全需求分析：結(jié)合應(yīng)用場景識(shí)別安全風(fēng)險(xiǎn)，明確安全需求；風(fēng)險(xiǎn)評(píng)估：采用“威脅建?！狈椒ǎu(píng)估數(shù)據(jù)泄露、模型攻擊等威脅的發(fā)生概率與影響程度，制定風(fēng)險(xiǎn)應(yīng)對(duì)策略；合規(guī)性確認(rèn)：確認(rèn)系統(tǒng)設(shè)計(jì)符合《網(wǎng)絡(luò)安全法》《生成式人工智能服務(wù)管理暫行辦法》等法律法規(guī)，明確數(shù)據(jù)跨境、內(nèi)容審核等合規(guī)要求。5.3.2開發(fā)階段安全要求安全設(shè)計(jì)：采用“最小權(quán)限”“資源隔離”等設(shè)計(jì)原則，如模型訓(xùn)練環(huán)境與公網(wǎng)隔離、車端推理模塊與控制模塊隔離；代碼與組件安全：對(duì)自研代碼開展靜態(tài)掃描與動(dòng)態(tài)測試，第三方組件需進(jìn)行漏洞掃描；模型安全開發(fā)：在模型訓(xùn)練過程中融入安全對(duì)齊技術(shù)，開展偏見檢測與修復(fù)，禁止使用來源不明的訓(xùn)練數(shù)據(jù)。5.3.3生產(chǎn)與運(yùn)維階段安全要求6持續(xù)監(jiān)控：對(duì)系統(tǒng)運(yùn)行狀態(tài)、安全事件進(jìn)行實(shí)時(shí)監(jiān)控，監(jiān)控?cái)?shù)據(jù)保存時(shí)間不少于6個(gè)月；漏洞管理：每月開展一次系統(tǒng)漏洞掃描，每季度開展一次滲透測試，發(fā)現(xiàn)漏洞后，中低危漏洞需在1周內(nèi)修復(fù)，高危漏洞需在24小時(shí)內(nèi)修復(fù)；配置管理：禁止使用默認(rèn)密碼、開放不必要的端口，對(duì)系統(tǒng)配置變更進(jìn)行審批與日志記錄。5.3.4下線與退役階段安全要求數(shù)據(jù)銷毀：對(duì)訓(xùn)練數(shù)據(jù)、用戶交互數(shù)據(jù)等敏感數(shù)據(jù)，采用符合GB/T35273-2020的銷毀方式，銷毀過程需留存記錄；設(shè)備處置：對(duì)存儲(chǔ)過模型、敏感數(shù)據(jù)的設(shè)備，需進(jìn)行安全清理，禁止未經(jīng)清理直接報(bào)廢；文檔歸檔：將安全事件記錄、運(yùn)維日志、評(píng)估報(bào)告等文檔歸檔保存，保存時(shí)間不少于3年（涉及用戶個(gè)人信息的文檔需保存至用戶授權(quán)期限結(jié)束后1年）。6數(shù)據(jù)安全6.1數(shù)據(jù)分類分級(jí)根據(jù)數(shù)據(jù)敏感性與影響范圍，將車聯(lián)網(wǎng)大模型相關(guān)數(shù)據(jù)分為三級(jí)，分級(jí)要求如下表：數(shù)據(jù)級(jí)別數(shù)據(jù)類型定義與示例保護(hù)要求一級(jí)（公開數(shù)據(jù)）公開訓(xùn)練數(shù)據(jù)、非敏感交互數(shù)據(jù)可公開獲取、無隱私與安全風(fēng)險(xiǎn)的數(shù)據(jù)，如公開交通法規(guī)、道路名稱、普通天氣信息無需加密，僅需完整性校驗(yàn)二級(jí)（內(nèi)部非敏感數(shù)據(jù)）脫敏車輛數(shù)據(jù)、普通交互數(shù)據(jù)僅內(nèi)部使用、泄露后影響較小的數(shù)據(jù)，如脫敏后的車輛行駛速度（去除車牌、時(shí)間戳）、用戶普通語音指令存儲(chǔ)與傳輸需加密，需進(jìn)行訪問控制三級(jí)（敏感數(shù)據(jù)）個(gè)人信息、車輛控制數(shù)據(jù)、核心訓(xùn)練數(shù)據(jù)泄露后可能危害用戶隱私、交通安全的數(shù)據(jù)，包括：用戶身份證號(hào)、車輛制動(dòng)參數(shù)、大模型核心訓(xùn)練樣本存儲(chǔ)采用SM4加密，傳輸采用TLS1.3，需脫敏/匿名化處理，訪問需多因素認(rèn)證6.2數(shù)據(jù)采集安全6.2.1合法性、正當(dāng)性、必要性要求合法性：采集數(shù)據(jù)前需獲得用戶明確同意，符合《個(gè)人信息保護(hù)法》第13條要求；正當(dāng)性：采集目的需與車聯(lián)網(wǎng)大模型應(yīng)用直接相關(guān)，如智能駕駛決策輔助僅采集車輛周邊環(huán)境數(shù)據(jù)，禁止采集與功能無關(guān)的用戶手機(jī)信息；7必要性：僅采集實(shí)現(xiàn)功能必需的數(shù)據(jù)，如語音交互僅采集語音指令，不采集用戶日常對(duì)話；采集后需在24小時(shí)內(nèi)清理冗余數(shù)據(jù)。6.2.2數(shù)據(jù)質(zhì)量與偏見控制數(shù)據(jù)清洗：采用自動(dòng)化工具結(jié)合人工審核，去除訓(xùn)練數(shù)據(jù)中的錯(cuò)誤數(shù)據(jù)、重復(fù)數(shù)據(jù)，確保數(shù)據(jù)準(zhǔn)確率不低于98%；偏見檢測：通過“數(shù)據(jù)分布分析”識(shí)別偏見；數(shù)據(jù)補(bǔ)充：對(duì)缺失場景、缺失群體的數(shù)據(jù)進(jìn)行補(bǔ)充采集，確保數(shù)據(jù)分布均衡，偏見指標(biāo)不超過5%。6.3數(shù)據(jù)存儲(chǔ)與傳輸安全6.3.1加密存儲(chǔ)與傳輸存儲(chǔ)加密：三級(jí)數(shù)據(jù)采用SM4或AES-256加密存儲(chǔ)，密鑰通過硬件安全模塊（HSM）管理，定期（每90天）輪換；二級(jí)數(shù)據(jù)采用AES-128加密存儲(chǔ)；傳輸加密：車端與云端的數(shù)據(jù)傳輸采用TLS1.3協(xié)議，V2X通信采用IEEE802.11p+WPA3協(xié)議；敏感數(shù)據(jù)傳輸時(shí)需額外進(jìn)行端到端加密；密鑰安全：禁止明文存儲(chǔ)密鑰，密鑰分發(fā)需通過安全信道，密鑰丟失后需立即啟動(dòng)應(yīng)急方案。6.3.2數(shù)據(jù)脫敏與匿名化脫敏處理：對(duì)用戶個(gè)人信息采用“掩碼替換”、“格式轉(zhuǎn)換”；匿名化處理：對(duì)車輛行駛數(shù)據(jù)采用匿名化方式進(jìn)行分類處理；效果驗(yàn)證：脫敏/匿名化后的數(shù)據(jù)需通過“重新識(shí)別測試”，確保第三方無法通過數(shù)據(jù)關(guān)聯(lián)識(shí)別用戶或車輛。6.4數(shù)據(jù)處理與使用安全6.4.1訓(xùn)練數(shù)據(jù)投毒防護(hù)數(shù)據(jù)來源驗(yàn)證：對(duì)訓(xùn)練數(shù)據(jù)提供方進(jìn)行資質(zhì)審核，要求提供數(shù)據(jù)溯源證明（如采集時(shí)間、地點(diǎn)、設(shè)備編號(hào)）；核心訓(xùn)練數(shù)據(jù)需通過哈希校驗(yàn)驗(yàn)證完整性；異常數(shù)據(jù)檢測：采用機(jī)器學(xué)習(xí)模型檢測訓(xùn)練數(shù)據(jù)中的惡意樣本（如被篡改的交通標(biāo)志圖像），檢測準(zhǔn)確率不低于95%；8數(shù)據(jù)溯源：為每條訓(xùn)練數(shù)據(jù)添加“溯源標(biāo)識(shí)”，若發(fā)現(xiàn)有害數(shù)據(jù)，可追溯至源頭并移除。6.4.2隱私計(jì)算技術(shù)應(yīng)用聯(lián)邦學(xué)習(xí)：在車隊(duì)學(xué)習(xí)場景中，可采用聯(lián)邦學(xué)習(xí)框架，各車輛在本地訓(xùn)練模型，僅向云端傳輸模型參數(shù)，參數(shù)傳輸前需加密；安全多方計(jì)算：在多機(jī)構(gòu)協(xié)同訓(xùn)練場景中，采用安全多方計(jì)算技術(shù)，聯(lián)合處理數(shù)據(jù)而不泄露原始數(shù)據(jù)；同態(tài)加密：對(duì)需跨平臺(tái)處理的敏感數(shù)據(jù)，采用同態(tài)加密技術(shù)，實(shí)現(xiàn)“加密狀態(tài)下的數(shù)據(jù)計(jì)算”，避免數(shù)據(jù)解密后泄露。6.5數(shù)據(jù)跨境合規(guī)要求數(shù)據(jù)出境評(píng)估：三級(jí)數(shù)據(jù)禁止跨境傳輸；二級(jí)數(shù)據(jù)若需跨境，需按照《數(shù)據(jù)出境安全評(píng)估辦法》開展安全評(píng)估，評(píng)估通過后方可傳輸；跨境措施：數(shù)據(jù)跨境傳輸時(shí)，需采用加密傳輸（如TLS1.3）、本地備份（在境內(nèi)留存一份完整數(shù)據(jù)副本）、訪問控制（僅授權(quán)境外必要人員訪問）；合規(guī)審查：每年度對(duì)數(shù)據(jù)跨境情況開展合規(guī)審查，審查報(bào)告需留存?zhèn)洳?，確保符合國家數(shù)據(jù)跨境管理要求。7模型安全7.1模型開發(fā)訓(xùn)練安全7.1.1安全對(duì)齊與價(jià)值觀合規(guī)目標(biāo)對(duì)齊：明確車聯(lián)網(wǎng)大模型的核心目標(biāo)為“保障交通安全”，模型決策需優(yōu)先滿足人身安全需求（如智能駕駛建議需避免碰撞風(fēng)險(xiǎn)）；行為對(duì)齊：采用“強(qiáng)化學(xué)習(xí)從人類反饋中學(xué)習(xí)（RLHF）”技術(shù)，由人類專家對(duì)模型輸出進(jìn)行評(píng)分，優(yōu)化模型行為；價(jià)值觀合規(guī)：模型需拒絕生成違法、違背公序良俗的內(nèi)容，合規(guī)響應(yīng)率需達(dá)到100%。7.1.2偏見與公平性控制偏見檢測：建立偏見評(píng)估指標(biāo)體系，包括“響應(yīng)準(zhǔn)確率差異”、“服務(wù)覆蓋率差異”；公平性優(yōu)化：通過“數(shù)據(jù)重加權(quán)”、“模型參數(shù)調(diào)整”，減少偏見，確保公平性指標(biāo)差異不超過5%；9驗(yàn)證與迭代：每輪模型迭代后，需開展偏見與公平性測試，測試數(shù)據(jù)集需覆蓋不同用戶群體、不同應(yīng)用場景，測試結(jié)果需納入模型版本審核。7.2模型對(duì)抗性安全7.2.1提示詞注入防護(hù)輸入過濾：構(gòu)建“惡意提示詞庫”，采用正則表達(dá)式與語義分析技術(shù)，檢測并攔截惡意提示詞，攔截率不低于99%；上下文驗(yàn)證：驗(yàn)證輸入提示詞與對(duì)話上下文的一致性，異常提示詞需觸發(fā)二次確認(rèn)；沙箱測試：對(duì)高風(fēng)險(xiǎn)提示詞，在隔離沙箱環(huán)境中執(zhí)行推理，觀察模型行為，若發(fā)現(xiàn)異常則終止響應(yīng)。7.2.2越獄防護(hù)邊界控制：明確模型的“安全邊界規(guī)則”，將規(guī)則嵌入模型訓(xùn)練過程，無法通過對(duì)話突破；多輪對(duì)話監(jiān)測：采用“對(duì)話意圖追蹤”技術(shù)，監(jiān)測多輪對(duì)話中的誘導(dǎo)行為，發(fā)現(xiàn)誘導(dǎo)行為則中斷對(duì)話；安全策略固化：定期更新模型安全策略，策略更新需經(jīng)過安全審核，禁止通過提示詞修改策略。7.2.3對(duì)抗樣本防護(hù)樣本增強(qiáng)：在模型訓(xùn)練階段，加入對(duì)抗樣本，提升模型魯棒性，對(duì)抗樣本識(shí)別準(zhǔn)確率不低于95%；輸入驗(yàn)證：對(duì)車端輸入數(shù)據(jù)進(jìn)行完整性校驗(yàn)，檢測并修正被篡改的像素、數(shù)據(jù)點(diǎn)；多模型校驗(yàn)：在關(guān)鍵場景中，采用“多模型并行推理”，若模型輸出不一致，則觸發(fā)告警并啟用冗余決策方案。7.3模型可靠性7.3.1“幻覺”抑制與可控生成事實(shí)校驗(yàn)：對(duì)接車聯(lián)網(wǎng)知識(shí)庫（包括：地圖、交通法規(guī)庫、車輛故障數(shù)據(jù)庫），模型生成內(nèi)容前需與知識(shí)庫比對(duì)，驗(yàn)證真實(shí)性；來源標(biāo)注：對(duì)生成內(nèi)容標(biāo)注信息來源，無明確來源的內(nèi)容需提示“信息待驗(yàn)證，僅供參考”；可控生成：通過“生成參數(shù)限制”、“長度控制”，抑制幻覺，幻覺率需低于1%。7.3.2輸出內(nèi)容安全過濾與審核關(guān)鍵詞過濾：構(gòu)建“車聯(lián)網(wǎng)安全關(guān)鍵詞庫”，過濾模型輸出中的違規(guī)內(nèi)容，過濾率不低于99.5%；語義分析：采用深度學(xué)習(xí)模型識(shí)別隱含的危險(xiǎn)語義，對(duì)高風(fēng)險(xiǎn)語義需修正輸出；人工審核：智能駕駛決策建議、車輛控制相關(guān)輸出需經(jīng)過人工審核，審核通過后方可推送至車端。7.4模型資產(chǎn)管理安全7.4.1模型版本管理版本標(biāo)識(shí)：每個(gè)模型版本需包含唯一標(biāo)識(shí)，版本信息需嵌入模型文件；版本追溯：建立模型版本臺(tái)賬，記錄每個(gè)版本的訓(xùn)練數(shù)據(jù)來源、安全測試結(jié)果、使用場版本切換：支持“一鍵回滾”功能，當(dāng)模型出現(xiàn)異常時(shí)，需支持回滾到上一穩(wěn)定版本，回滾過程需記錄日志。7.4.2模型知識(shí)產(chǎn)權(quán)保護(hù)與防竊取模型加密：模型存儲(chǔ)（云端與車端）采用SM4加密，模型傳輸（車云協(xié)同）采用TLS1.3+端到端加密，禁止明文傳輸模型文件；訪問控制：模型訪問需基于“最小權(quán)限”原則，研發(fā)人員僅可訪問職責(zé)范圍內(nèi)的模型版本，訪問行為需記錄日志；水印嵌入：在模型參數(shù)中嵌入“不可見數(shù)字水印”，若模型被竊取，可通過水印檢測工具溯源，水印魯棒性需滿足“經(jīng)過微調(diào)后仍可檢測”。8系統(tǒng)與平臺(tái)安全8.1基礎(chǔ)設(shè)施安全8.1.1計(jì)算平臺(tái)安全（云、邊、端）a)云端計(jì)算平臺(tái)算力集群需部署防火墻、入侵檢測系統(tǒng)（IDS），禁止直接暴露公網(wǎng)IP；虛擬化環(huán)境需開啟“虛擬機(jī)隔離”功能，防止虛擬機(jī)逃逸攻擊；定期（每月）對(duì)服務(wù)器進(jìn)行漏洞掃描，高危漏洞需在24小時(shí)內(nèi)修復(fù)。b)邊緣節(jié)點(diǎn)（如路側(cè)單元RSU）邊緣節(jié)點(diǎn)需進(jìn)行身份認(rèn)證（采用數(shù)字證書），僅授權(quán)車端可接入；邊緣節(jié)點(diǎn)存儲(chǔ)的敏感數(shù)據(jù)需加密，設(shè)備物理訪問需設(shè)置密碼；監(jiān)測邊緣節(jié)點(diǎn)的資源占用（CPU、內(nèi)存），超過80%閾值時(shí)觸發(fā)告警。c)車端計(jì)算平臺(tái)（如車載芯片、域控制器）采用安全芯片存儲(chǔ)密鑰、證書，防止物理篡改；車載操作系統(tǒng)需關(guān)閉不必要的服務(wù)，禁用root權(quán)限；定期（通過OTA推送系統(tǒng)安全補(bǔ)丁，修復(fù)已知漏洞。8.1.2網(wǎng)絡(luò)安全（通信信道安全、V2X安全）a)通信信道安全車云通信采用TLS1.3協(xié)議，禁用不安全的加密套件；車車通信（V2V）采用專用短程通信（DSRC）+WPA3協(xié)議，數(shù)據(jù)傳輸需進(jìn)行完整性校驗(yàn)；監(jiān)測通信鏈路的異常流量，發(fā)現(xiàn)DDoS攻