微软表示 Azure AI Foundry 会扫描高可见度的 AI 模型是否存在恶意软件、后门和篡改行为

微软已经概述了它如何保护托管在 Azure AI Foundry 上的生成式 AI 模型的安全，并表示高可见度模型在发布并在内部运行之前会经过安全扫描Microsoft 控制的 Azure 边界。该公司的描述重点关注安全团队熟悉的想法：将人工智能模型视为第三方软件，而不是需要完全独立的信任模型的神奇工件。

微软的核心信息很简单。 Azure AI Foundry 上的模型作为 Azure 虚拟机中的软件运行，并继承 Azure 的现有保护，而 Microsoft 在选定的模型到达客户之前会对其进行额外的检查。这些检查包括恶意软件分析、漏洞评估、后门检测和模型完整性审查。

这很重要，因为微软描述的风险并非来自模型本身的“逃逸”。它来自于模型或其周围包可能包含恶意代码、隐藏功能或被篡改组件的可能性，就像任何其他软件供应链风险一样。微软表示 Azure 的零信任方法默认情况下，Azure 内部运行的工作负载并不安全。

这里有一个重要的细微差别。列出这些保护措施的 Microsoft 官方博客于 2025 年 3 月 4 日发布，而不是本周。因此，更好的框架并不是微软今天推出了一个全新的框架，而是随着企业权衡第三方和开放模型的风险，其发布的 Azure AI Foundry 安全模型继续引起关注。

微软还表示，客户数据保留在微软的信任范围内。用它自己的话说，Azure AI Foundry 和Azure OpenAI 服务托管在 Microsoft 服务器上，没有与模型提供者的运行时连接，并且客户数据不用于训练共享模型。微软还表示，客户微调的模型保留在客户的租户中。

对于担心外部模型进入工作流程后提示、日志和输出的去向的公司来说，托管设计很重要。微软的主张是运行时环境保持在 Microsoft 控制之下，而不是在推理期间回调到原始提供者。

该公司以 DeepSeek R1 为例来说明如何处理更严格的审查模型。微软表示，当将 DeepSeek R1 添加到 Azure AI Foundry 时，该模型已经过红队、安全评估、自动行为评估和安全审查。微软安全部门的另一篇文章也提出了类似的观点，称 DeepSeek R1 与该服务中托管的其他模型一样接受了严格的红队和安全评估。

Microsoft 并未声称这些检查可以消除所有风险。事实上，它自己的安全博客表示，没有扫描可以检测到每一个恶意行为，并且它明确告诉客户对模型提供商做出自己的信任决定，就像对任何其他第三方软件库所做的那样。这一警告很重要，因为它将最终的负担放在企业治理、测试和部署控制上，而不是单独放在 Microsoft 扫描上。

这就是 Azure AI Foundry 更广泛的安全工具的用武之地。除了平台端模型检查之外，微软提供人工智能红队功能客户可以在设计、开发、部署前和部署后阶段使用它来探测生成式人工智能系统的安全风险。微软表示，AI Red Teaming Agent 可以自动进行对抗性探测，并帮助团队大规模衡量攻击成功率。

因此，更广泛的结论不仅仅是微软在发布前扫描了某些型号。微软希望企业将模型安全视为一个分层过程：平台隔离、对选定模型的预发布扫描、内置内容安全以及在任何产品投入生产之前的客户方红队和治理。

微软所说的模型安全措施

Microsoft列出的具体检查

• 嵌入式恶意代码的恶意软件分析。
• 针对 AI 模型的已知 CVE 和零日风险的漏洞评估。
• 后门检测以获取供应链篡改、任意代码执行或意外网络调用的证据。
• 模型完整性分析以检测层、组件和张量中的篡改或损坏。
• 针对 DeepSeek R1 等选定模型的红队和安全评估。

企业应该从中吸取什么

• 将第三方人工智能模型视为第三方软件包。
• 不要仅依赖供应商扫描，因为微软自己表示扫描无法捕获所有内容。
• 在生产推出之前检查型号卡和部署详细信息。微软表示，型号目录信息应该有助于客户评估信任度。
• 在部署之前和之后进行安全测试，而不仅仅是在启动时。 Microsoft 的 AI Red Teaming Agent 文档特别建议了设计、开发、部署前和部署后测试。
• 将零信任思维扩展到模型 API、权限和周围工作流程，而不仅仅是模型文件本身。最后一点是从 Microsoft 的零信任描述和部署指南中得出的推论。

FAQ