研究

总览工作组研究成果研究专家参与调研

分类筛选

全部研究成果

2025.05.13

人工智能（AI）技术，特别是大语言模型（LLM）和由LLM驱动的AI智能体（AI Agent）的出现，引发了进攻性安全（Offensive Security）领域深刻变革，包括漏洞评估、渗透测试和红队演练。这一转变将AI从一个狭窄的应用场景重新定义为一种多功能且强大的通用技术。本文探讨了基于LLM的AI变革潜力，通过研究其与进攻性安全的集成，以解决当前挑战，并展示了AI在五个安全阶段——侦察、扫描、漏洞分析、利用以及报告中的能力。

查看详细

《AI 组织责任：治理、风险管理、合规与文化方面》

2025.05.07

本白皮书综合了专家推荐的治理、风险和合规（GRC）的最佳实践、文化方面以及影子 AI 预防措施，通过这六个关键领域的建议来指导企业负责任且安全的 A开发与部署。

查看详细

《基于大语言模型（LLM）的系统安全：关键授权实践》

2025.04.24

本报告概述了将 LLM作为更广泛系统组件集成的系统设计模式和最佳实践，涵盖了通过提供额外的上下文或让模型进行推理并与其他组件和外部服务交互的高级模式。每个设计模式包括建议、注意事项和常见误区。这些要素有助于系统架构师在设计决策时做出权衡。

查看详细

《2025年SaaS安全现状调查报告》

2025.04.22

随着数字化转型的加速，软件即服务(SaaS)应用已成为现代企业运营的基石。然而，伴随SaaS应用的广泛采用，企业也面临着日益增长的安全挑战，包括可见性差距、影子IT、过度授权访问以及缺乏监控的第三方集成。CSA最新发布的《2025年SaaS安全状况调查报告》深入探讨了这些挑战，揭示了当前SaaS安全态势以及组织应对这些风险的策略。

查看详细

《融合AI的身份威胁》

2025.04.17

《融合AI的身份威胁》聚焦数字化时代身份安全与AI技术的深度关联，指出随着零信任架构普及和非人类身份激增，传统身份安全面临种类复杂、管理困难及云计算环境下的继承管理员、影子访问等挑战，而AI技术既带来算法漏洞、数据滥用、深度伪造等新威胁，也在身份智能治理、欺诈检测、行为分析等领域展现赋能潜力。报告系统梳理AI发展历程与安全挑战，分析其对数字身份行业的影响，探讨国内外监管合规框架，阐述AI在风险情报识别、威胁检测、数字身份工程建设等方面的应用路径，以及数字身份如何反哺AI系统安全，最后展望AI融合身份威胁检测与响应（ITDR）的发展前景并给出技术研发、标准制定等建议，为构建安全高效的数字身份生态提供参考。

查看详细

《AI模型风险管理框架》

2025.04.09

《AI模型风险管理框架》探讨了模型风险管理在AI模型应用任开发、部署和使用方面的重要性，适用于对该主题有兴趣的读者群体，包括直接参与AI开发的从业者以及专注于AI治理的业务和合规监管机构。本报告强调了与AI模型相关的内在风险，如数据偏见、事实性错误或信息不相关（通常被称为“幻觉”或“虚构”）、以及潜在的滥用行为。同时，提出了一个全面的MRM框架的需求，该框架基于四个相互关联的支柱：模型卡片（ModelCards）、数据手册（DataSheets）、风险卡片（RiskCards）和场景规划（ScenarioPlanning），上述支柱协同工作，通过持续的反馈循环来识别和减轻风险，并改进模型开发与风险管理。具体而言，模型卡片和数据手册为风险评估提供信息，风险卡片则指导场景规划，场景规划进一步优化风险管理和模型开发。

查看详细