AI資產 - Security Center

自動探索並盤點雲上AI資產，集中治理其在開發、部署、運行等全生命週期中面臨的漏洞、公網暴露、配置缺陷及敏感資訊泄露等安全風險。

功能概述

支援的AI資產清單

伺服器內AI組件識別
- 訓練與推理引擎：Ollama、vLLM、Lm Studio、Xinference、LLaMA Factory等。
- AI服務應用：AI介面（open-webui）、對話服務（NextChat等）、AI工作流程（如Dify）、映像產生（如ComfyUI、Stable Diffusion WebUI）等。
- 基礎設施：向量資料庫（Milvus、Qdrant）等。
多雲環境AI產品識別：快照/鏡像、Serverless類、AI雲產品（靈駿、視覺智能平台等），覆蓋阿里雲、騰訊雲、AWS、Azure等跨雲環境下的AI產品。

資產分類

AI工作負載：包含ECS執行個體、靈駿執行個體、Serverless等。
AI鏡像製品：包含ECS鏡像、ECS快照、容器鏡像等。
開發與訓練：常見平台如下：
- 阿里雲：PAI
- 華為云：ModelArts
- 騰訊云：TI-ONE
- AWS：SageMaker
- Azure：AzureAiService
- Azure：AzureMachineLearning
AI服務：廠商包含DashScope、DeepSeek等。
AI工具與組件：包含Ollama、LlamaIndex等。

支援的AI資產風險檢測

檢測能力與規則庫
- AI組件漏洞：多種漏洞檢測規則。
- AI配置合規：多種配置檢查項，覆蓋AI產品最佳安全實踐。
- AI金鑰儲存區：檢測是否明文儲存。
- AI組件暴露分析：從多維角度進行暴露面分析。
核心風險檢測維度
- 漏洞風險：關鍵組件的未授權訪問漏洞（如Stable Diffusion WebUI、Ollama、ComfyUI等）。
- 密鑰明文儲存：AI服務密鑰（如OpenAI API Key）和使用者憑證（如HuggingFace Token）的明文儲存檢測。
- 身份與許可權風險：存取控制白名單配置、成員許可權配置等安全檢查。
- 配置風險：雲產品網路存取原則（如專用網路訪問）、服務作業保護、自訂服務配置VPC內訪問等檢查。
- 暴露風險：識別伺服器中在互連網上暴露的AI資產。

售賣支援說明

AI 資產功能無需單獨購買，其依賴於Security Center相關安全防護功能的授權和開通。具體說明如下：

訂用帳戶

服務/版本	AI能力說明	關聯功能
企業版或旗艦版服務	識別伺服器中的AI組件資產。	資產 > 主機資產 > AI組件資產 > 雲產品說明僅支援在ECS中快照及鏡像頁面展示AI組件，包括AI組件名稱、版本、軟體包路徑及最新掃描時間。
	識別AI組件中相關漏洞。	風險治理 > 漏洞管理 > 應用漏洞
	識別暴露在互連網上的AI應用組件。	風險治理 > 资产暴露分析或風險治理 > 攻擊面管理
镜像安全扫描增值服務	基礎安全掃描：檢測鏡像中的AI漏洞、惡意樣本、敏感檔案，並進行安全基準檢查。 AI特定風險掃描：識別鏡像中存在的AI密鑰明文儲存的風險，包括但不限於OpenAI密鑰、阿里雲PAI-EAS服務Token等。	防護配置 > 容器防護 > 镜像安全扫描
雲安全態勢管理增值服務	整合阿里雲、Azure、AWS、騰訊雲、華為雲等主流雲廠商的AI安全最佳實務，提供AI資產配置風險的自動化檢測。	風險治理 > 雲安全態勢管理

隨用隨付

服務	AI能力說明	關聯功能菜單
主機及容器安全重要伺服器綁定的防護等級需為主機全面防護或主機及容器全面防護。	識別伺服器中的AI組件資產。	資產 > 主機資產 > AI組件資產 > 雲產品說明僅支援在ECS中快照及鏡像頁面展示AI組件，包括AI組件名稱、版本、軟體包路徑及最新掃描時間。
	識別AI組件中相關漏洞。	風險治理 > 漏洞管理 > 應用漏洞
	識別暴露在互連網上的AI應用組件。	風險治理 > 资产暴露分析或風險治理 > 攻擊面管理
無代理檢測	提供無代理主機檢測能力，無需安裝用戶端即可全面掃描部署AI組件的Elastic Compute Service。檢測範圍如下：常規風險：漏洞風險、基準檢查、惡意樣本 AI特定風險：敏感檔案檢測AI服務憑證（如OpenAI密鑰、阿里雲PAI-EAS服務Token等）。	防護配置 > 主機防護 > 無代理檢測
雲安全態勢管理付費服務	雲安全態勢管理整合阿里雲、Azure、AWS、騰訊雲、華為雲等主流雲廠商的AI安全最佳實務，提供AI資產配置風險的自動化檢測，全面覆蓋人工智慧平台（PAI）、各類AI服務及機器學習組件的關鍵安全配置項。	風險治理 > 雲安全態勢管理
Serverless安全付費服務	Serverless安全支援對Serverless AI資產的進行常見的威脅警示檢測、漏洞掃描、基準風險檢查。	資產 > Serverless 資產

安裝用戶端

AI組件發現、AI應用漏洞掃描、識別AI資產暴露風險，镜像安全扫描，在未開通無代理檢測情況下，需要安裝Security Center用戶端，才能實現AI資產發現和風險檢測。安裝方法如下：

說明

無代理檢測無需安全用戶端，即可擷取到部分AI組件和應用檢測能力，具體可見無代理檢測掃描風險。

通用安裝方法：具體操作，請參見安裝用戶端。
ECS購買安裝：在購買阿里雲Elastic Compute Service時，預設勾選免費安全強化即可自動安裝。

同步AI資產

自動同步

開通並執行資產指紋調查、主機基準檢查、無代理檢測、容器鏡像安全掃描、CSPM配置檢查、掃描漏洞、Serverless資產掃描等操作時，系統將會自動同步記錄AI資產和對應的風險資訊。

說明

僅企業版及以上使用者，支援每天定時自動同步。

手動同步

訪問Security Center控制台-Agent資訊安全中心-AI資產在頁面左側頂部，選擇需防護資產所在的地區：中國內地或非中國內地。
在資產列表頁簽，單擊同步最新资产。
說明
同步操作需要一定的時間，請耐心等待。

資產和風險總覽

Agent 資訊安全中心 > AI 資產的概述頁簽可查看各模組涉及的AI資產和主要風險資訊，包括以下內容：

風險AI資產：展示當前該帳號下有風險的AI資產總數，並給出對應的風險變化趨勢。
風險AI總產分布：展示當前AI資產分類及數量環比昨日的變化。
Top5 AI風險配置：展示AI-SPM相關檢查項的Top 5風險數，單擊對應的檢查項名稱可跳轉至CSPM頁面查看詳情。
Top5 AI漏洞：展示漏洞管理中的Top 5 AI組件漏洞資料，單擊對應的漏洞名稱可跳轉至漏洞詳情頁面。
AI資產公網暴露：展示資產暴露分析資料，支援查看最近7天、最近30天或自訂時間周期內的暴露趨勢。
TOP5 明文存儲的密鑰：展示無代理檢測發現的Top 5 AI密鑰明文儲存風險。

查看AI資產列表和風險

進入Agent 資訊安全中心 > AI 資產的資產列表頁簽。
查看資產列表的風險資產數/總資產數，若風險資產數大於0，單擊操作列的查看。
可在資產詳情頁，單擊目標資產操作的查看查看資產以及資產風險。常見資產風險及處理說明如下：
說明
具體請以控制台顯示為準。
- 漏洞資訊：查看和處理當前資產檢測出的AI應用漏洞，同時可顯示其關聯的應急漏洞、Linux軟體漏洞/Windows系統漏洞。
  警告
  - AI應用漏洞需要手動修複，不支援控制台一鍵修複。
  - 修複操作可能影響業務，建議在操作前建立伺服器快照或鏡像備份。更多資訊，請參見查看和處理漏洞。
- 安全警示：查看和處理當前AI資產檢測出的警示。更多操作，請參見評估及處理安全警示。
- 無代理檢測：查看和處理由無代理檢測掃描出的漏洞風險、基準檢查風險、惡意樣本、敏感檔案資訊。更多操作，請參見無代理檢測。
- 雲安全態勢管理：查看和處理由配置檢查出的風險資訊，更多操作，請參見設定並執行檢查策略、查看並處理未通過檢查項。
- 密鑰：查看無代理檢測、容器鏡像掃描、檢測出的AI相關API密鑰明文儲存等風險。

計費說明

AI資產發現：Security Center自動探索並標記AI資產，此過程不產生額外費用。
風險檢測計費：相關風險的檢測與治理費用，歸屬於其依賴的Security Center功能模組，遵循相應模組的計費規則。計費詳情，請參見計費說明。
- 應用漏洞：計入主機安全防護的授權數。
- AI配置風險檢查：根據云安全態勢管理（CSPM）的授權數計費。
- 鏡像安全掃描：根據鏡像掃描的授權數或次數計費。
- 無代理檢測：根據無代理檢測的掃描的容量（GB）計費。