《生成式人工智能服务管理暂行办法》即将施行，企业在AI研发过程中如何把控风险

2023-07-25 11:39

以ChatGPT为代表的生成式人工智能正在重塑数字内容的生产方式和消费模式，显著地影响各行各业变革。然而，AI带来的相应危害也层出不穷，网络攻击、数据泄露等风险日益凸显，过度采集、歧视性算法，滥用深度伪造等问题可能严重影响社会经济运行。

为促进生成式人工智能健康发展和规范应用，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。近期，国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布了《生成式人工智能服务管理暂行办法》（以下称《办法》），该《办法》将于2023年8月15日起施行。

《办法》第7条提出：生成式人工智能服务提供应当依法开展预训练、优化训练等训练数据处理活动，遵守以下规定：

使用具有合法来源的数据和基础模型
涉及知识产权的，不得侵害他人依法享有的知识产权
涉及个人信息的，应当取得个人同意或者符合法律、行政法规规定的其他情形

随着数字技术的发展，开源技术被广泛应用于各个行业，AI行业也需要使用大量的第三方组件，在一定程度上保证软件质量，并以更低成本加快项目进度，推动企业AI业务快速占领市场，实现商业目的。

然而，开源技术是一把双刃剑，不当使用开源技术也会带来大量风险，其安全性直接关系到信息系统基础设施的安全。那么企业在发展AI技术的过程中，该如何响应政策监管需求，保障开源组件的安全性呢？

建立SBOM软件资产清单

企业应建立清晰的SBOM清单，详细了解软件的组件成分信息，便于进行资产盘点，在开发阶段检测AI程序被“投喂”的组件，降低其中潜藏的合规风险并加以限制，减轻企业履行合规义务的负担。同时也能帮助AI企业向客户、监管机构和其他利益相关者展示程序的质量和可靠性。

把控知识产权风险

第三方开源组件往往来源复杂，包含较多的许可协议，如GPL、MIT、Apache等，甚至还会遇到多个开源许可协议不兼容的问题。企业需严格把控AI程序开发过程中的第三方组件，防止因版权或商业因素导致的闭源，积累更多高质量的开源数据集、代码集，降低因知识产权问题带来的损失。

管控安全，建立安全卡口

AI程序与普通应用一样，越早发现安全问题，修复成本越低。企业需在AI应用的整个研发过程的关键节点增加安全卡口（如代码仓库、持续集成平台、制品库等），进行合规校验，如果不符合规则，则进行预警，全方位降低企业AI业务的安全管控成本。

开源组件安全及合规管理平台（SCA）

开源组件安全及合规管理平台（SourceCheck）是开源网安自主研发的软件成分分析（SCA）产品，可帮助企业在研发AI应用的过程中进行第三方组件的安全分析与管控，包括企业组件使用管理、组件使用合规审计、新漏洞感知预警、开源代码知识产权审计等，可实现对源码与制品的精准分析，让企业AI业务能平稳地站在“开源”的肩膀上前行。