近日，火山引擎“云上话 AI”系列直播迎来了以“大模型安全”为主题的最新一期内容。

针对企业大模型应用过程中数据安全方面的顾虑，火山引擎智能算法负责人、火山方舟负责人吴迪，就火山引擎全周期安全可信方案的内容进行了分享，详细阐述了火山方舟“会话无痕”解决方案如何为企业提供保障，令数据“唯你可见，唯你所用，唯你所有”。

01.
打造创新安全方案，更好服务公有云大模型客户

火山方舟一直用最严格的安全标准来要求自己，确保实现“会话无痕”，即客户的所有数据，包含提示词、模型返回结果和客户精调模型，均做到“唯你可见，唯你所用，唯你所有”。为此，火山方舟平台集结了业内最优秀的工程师，经过大约一年多时间研发，打造了全周期的安全可信方案。

为什么在生成式 AI 的时代，还需要一套新的安全方案？

过去为了确保数据的安全，很多的企业客户会以“数据不动模型动”方式，将数据保存在私域空间，并将模型从公有云部署至自身私有化空间中，以完成对数据的处理。但是这一套实践在生成式 AI 的时代可能行不通，因为私有化大模型一方面很难追随着公有云上最先进的大模型，与其保持同步升级迭代，另一方面，私有化大模型所消耗的基础算力单位价格也远远高于公有云上的大模型服务，在性价比上可能远不如集中调度的公有云有优势。

因此，客户需要将数据传输至公有云处理，公有云场景中就出现了“模型不动数据动”的情况。如何在模型设施对用户不可见的前提下，充分保障用户的数据安全，取得用户信任，成为安全方面的全新挑战。为此，火山方舟平台提出了创新的安全思路与安全目标。

02.
四大模块协同实现大模型应用全周期安全可信、会话无痕

火山方舟认为，安全是平台的原生必备能力，因此，火山方舟从一开始就把安全植入整个系统和产品的底层设计中，将安全当作最基本的产品功能来实现。在此基础上，火山方舟希望在不显著损耗模型效果和推理效率的前提下，提升平台的安全性。

同时，安全性必须对客户做到透明可信，火山方舟是全托管模式平台，但仍然希望通过审计日志等方式，把跟数据、用户安全有关的底层设施风险，透明地开放给所有企业用户，让方舟平台的安全充分接受用户监督。

基于上述安全思路和目标，充分考虑可行性后火山方舟提出了全周期的安全可信方案，主要包含链路全加密、数据高保密、环境强隔离以及操作可审计等四个安全能力。这些安全能力围绕数据和模型在平台上主要活动的全流程，覆盖数据传输阶段、数据使用阶段以及数据静态存储阶段，为平台提供全周期的安全保障。在大模型应用的推理、精调评估和数据预处理等不同场景，四个安全模块将进行有机组合，保证企业客户的所有数据，无论是用户输入的 prompt 还是模型的 response，或是训练数据、训练后的模型，都只能“为你可见，为你所用，为你所有”。

链路全加密：保证用户到方舟安全计算环境之间的“端到端”加密通信通道

链路全加密模块通过网络层传输加密叠加应用层会话加密的双层加密方案，保证用户连接到正确的推理服务实例，并防止会话数据在链路上被截获，从而解决了用户数据在离开用户公司后，如何安全地传输到方舟安全沙箱的问题。

其中，网络层的传输加密，包括在传输链路上开启 https、在内容的传输上开启 mTLS，以及在方舟的流量转发层到推理实例 GPU 所在的网络之间，通过 private link 建立跨 VPC 的私有连接等措施，可有效减少外网暴露面。

在此基础上，应用层的会话加密方案，为每个部署在方舟安全沙箱的推理实例分配了一个身份证书。用户可以直接用这个身份证书的公钥来做会话信息的加密。这样，只有会话数据传输到正确的安全沙箱，使用对应的身份私钥，才能在沙箱内成功解密会话数据。这套方案，将用户会话的安全域由整个方舟平台缩小到了安全沙箱，极大地降低了用户数据暴露面。

数据高保密：实现对用户数据的机密性保护，保证用户数据非本人不可见

具有模型精调需求，或使用精调模型的用户，往往需要将训练数据或者待精调的模型提前上传到方舟，从而涉及到数据如何安全存储的问题。针对此场景，方舟在系统内部默认提供数据高保密功能。

数据高保密确保方舟上用户数据获得更高保密级别，只有在安全沙箱的内存中才能看到模型或是用户训练数据的明文。同时，待精调模型和训练数据在落盘的一瞬间即会被加密。在精调过程中，密文数据会被挂载到安全沙箱，在安全沙箱的内存解密之后才能进入训练系统。对于精调之后的每一个模型，都会在加密后保存在方舟提供的对象存储 TOS 或者云文件的 Cloud FS 上，以保证数据的安全和可靠，同时借助半托管的文件缓存（SFCS）来保证推理过程模型加载的高速率要求。

环境强隔离：通过领先的多维度强制隔离，杜绝外部风险入侵和内部数据泄露

完成安全启动后，方舟的安全沙箱会针对动态运行时，添加严格的任务级别隔离政策，并且限制租户的程序只能以非特权的模式启动，从而实现环境强隔离。当前任务中的某个实例遭到攻击时，攻击者无法通过当前任务的漏洞横向移动到其他的任务，有效避免了其他租户受到影响。

这一实例级别的隔离策略，包括了容器沙箱技术以及动态网络隔离等技术。其中，容器沙箱技术是针对容器在隔离性不足情况下的一种安全增强，基于字节跳动开源的容器沙箱技术 vArmor 实现，可以针对零日漏洞（发现后立即对被恶意利用的安全漏洞）进行动态威胁阻断。

此外，方舟团队还提出了创新的任务级别的网络隔离，为每一个任务创建独立、动态的网络策略，作用的时间从任务产生开始，到任务的结束终止。此策略作用下，即使不同的任务处于相同 VPC 等网络环境中，任务之间也无法直接通信。与此同时，为保证任务依然可以访问必要的系统服务，如 KMS 密钥管理系统，方舟提供可信数据访问代理，代理安全沙箱内的所有请求，并且通过严格的权限检查和访问检查，防止沙箱内的进程将数据和不必要的代码发送到沙箱外部。

操作可审计：保证影响用户数据资产的操作均有记录，以监控安全策略生效以及潜在风险

方舟平台提供可验证的审计日志，包括且不限于安全沙箱连接日志、安全沙箱登录日志、安全沙箱容器逃逸日志以及 KMS 密钥管理系统访问日志等，向企业客户传递准确、详细、完整的日志信息。

基于云基础安全角度考虑，日志采集行为仅局限于主机层面且存储和传输全程加密，即使方舟基础安全团队也无法看到数据明文。方舟系统提供日志聚合服务，为用户呈现完整的审计日志。基于交叉验证的证明机制，企业客户可通过火山云账号下的资源访问日志，交叉验证方舟平台所提供日志的真实性和准确性。

火山方舟持续提升安全水位

方舟安全团队从诞生第一天起，就把原生安全体系作为基础设施来建设。利用可验证的安全审计，结合加密、隔离等技术，方舟平台实现了“Don't be evil”（不作恶）的安全水位，确保除用户之外的任何一方，包括平台内部人员在内，违反方舟数据安全策略时，都会被用户或方舟安全团队第一时间发现并且进行追责。在不远的未来，火山方舟将基于可验证计算的思路，进一步提升平台的安全水位至“Can't be evil”（不可作恶），对审计日志的进一步升级，提供对平台上计算过程完整性、机密性和可用性的多方位审计能力。

此外，方舟还将结合更先进的硬件可信度量技术和密态计算技术，凭借可信度量技术实现对软硬件计算过程的安全度量，同时邀请第三方机构进行代码的审计和平台渗透测试，保证计算过程对用户透明，帮助用户建立对平台运行了正确代码、开启了所承诺安全保护策略的更大信任。密态计算技术，包括可信启动，内存加密或者联邦加密精调和推理等技术方案，实现计算过程的机密性保护，保护用户数据隐私。

此前，火山大模型团队已基于对安全进行的长期持续投入，在产品技术层面率先推出了多项的创新成果。2023 年 6 月，火山方舟对外发布了安全技术的白皮书，系统阐述了实际应用的安全技术。2024 年 8 月，方舟推出了业内首个将安全可视化和审计日志进行结合的功能，将模型推理和模型精调中的安全风险更全面地展示给用户，为用户提供了更直观的安全体验。

未来，火山方舟还将持续对安全进行投入，与众多用户共同见证火山方舟大模型平台在安全领域的每一步的升级和创新，帮助企业在 AI 时代更快地开展业务，实现业务的快速增长。