2026年,中国因AI系统安全漏洞导致的数据泄露事件同比增长210%。2026年第一季度,国家网信办针对AI应用安全发布了第三批专项检查通知。AI安全已经从"IT部门的事"变成了"董事会层面的事"。如果你是企业AI系统的负责人,这份30项自查清单应该成为你每季度的固定动作。每一项都标记了严重程度,优先处理红色和橙色标记项。
自查频率建议:标记为"关键"的项 — 每月检查;"高" — 每季度检查;"中" — 每半年检查。首次自查建议在一周内完成全部30项。
一、数据安全(7项)
1
训练数据是否包含未经脱敏的个人信息? 关键
检查所有用于模型训练和微调的数据集,确认姓名、身份证号、手机号、银行卡号、地址等PII(个人可识别信息)已做脱敏或匿名化处理。注意:即使是"内部员工数据"也受《个人信息保护法》约束。
检查所有用于模型训练和微调的数据集,确认姓名、身份证号、手机号、银行卡号、地址等PII(个人可识别信息)已做脱敏或匿名化处理。注意:即使是"内部员工数据"也受《个人信息保护法》约束。
2
数据在传输和存储中是否加密? 关键
传输层:所有AI服务的API通信必须使用TLS 1.2+,证书有效且未过期。存储层:数据库和文件系统中的敏感数据必须使用AES-256加密,密钥与数据分离存储。
传输层:所有AI服务的API通信必须使用TLS 1.2+,证书有效且未过期。存储层:数据库和文件系统中的敏感数据必须使用AES-256加密,密钥与数据分离存储。
3
用户输入数据是否会被用于模型训练? 高
如果使用商业API,确认条款中是否明确"用户数据不会被用于模型训练"。如果使用开源模型,确认推理日志的存储和用途有明确策略。建议:所有生产环境的用户输入默认不进入任何训练管道。
如果使用商业API,确认条款中是否明确"用户数据不会被用于模型训练"。如果使用开源模型,确认推理日志的存储和用途有明确策略。建议:所有生产环境的用户输入默认不进入任何训练管道。
4
数据访问权限是否遵循最小权限原则? 高
谁能访问原始训练数据?谁能查看用户的AI对话历史?谁能导出向量数据库内容?逐一审查数据访问权限,撤销所有不必要的高权限账号。数据库访问不应使用root/admin账号。
谁能访问原始训练数据?谁能查看用户的AI对话历史?谁能导出向量数据库内容?逐一审查数据访问权限,撤销所有不必要的高权限账号。数据库访问不应使用root/admin账号。
5
数据保留和删除策略是否合规? 高
用户是否有权要求删除其AI交互历史?删除请求是否能在法定时限内(通常15-30天)完成?数据是否有明确的保留周期,到期后是否自动清理?GDPR和中国《个人信息保护法》在这一点上的要求高度一致。
用户是否有权要求删除其AI交互历史?删除请求是否能在法定时限内(通常15-30天)完成?数据是否有明确的保留周期,到期后是否自动清理?GDPR和中国《个人信息保护法》在这一点上的要求高度一致。
6
是否存在数据跨境传输? 关键
如果使用海外AI服务商的API(如OpenAI、Anthropic),数据在推理过程中流经海外服务器,这在金融、政务、医疗等行业可能构成严重违规。确认数据处理的物理位置,必要时切换到国内部署方案。
如果使用海外AI服务商的API(如OpenAI、Anthropic),数据在推理过程中流经海外服务器,这在金融、政务、医疗等行业可能构成严重违规。确认数据处理的物理位置,必要时切换到国内部署方案。
7
敏感数据是否实现了数据分类分级管理? 中
按照《数据安全法》要求,对企业数据分为一般数据、重要数据、核心数据三级。AI系统应根据数据等级实施不同的安全策略——核心数据可能完全不允许进入AI处理管道。
按照《数据安全法》要求,对企业数据分为一般数据、重要数据、核心数据三级。AI系统应根据数据等级实施不同的安全策略——核心数据可能完全不允许进入AI处理管道。
二、模型安全(6项)
8
模型是否经过对抗攻击(Adversarial Attack)测试? 关键
使用专业的AI安全测试工具(如Garak、PromptFoo的红队模式),对模型进行Prompt注入、越狱、数据提取等攻击测试。记录每种攻击的拦截率和模型的鲁棒性表现。
使用专业的AI安全测试工具(如Garak、PromptFoo的红队模式),对模型进行Prompt注入、越狱、数据提取等攻击测试。记录每种攻击的拦截率和模型的鲁棒性表现。
9
模型输出是否经过内容安全过滤? 关键
AI的输出是否可能包含暴力、色情、歧视、违法内容?安全过滤应在输出返回给用户之前生效,拦截率目标100%。建议使用多层过滤:规则引擎(关键词黑名单)+ AI审核模型 + 人工抽检。
AI的输出是否可能包含暴力、色情、歧视、违法内容?安全过滤应在输出返回给用户之前生效,拦截率目标100%。建议使用多层过滤:规则引擎(关键词黑名单)+ AI审核模型 + 人工抽检。
10
模型是否存在偏见(Bias)? 高
按性别、年龄、地域等维度交叉测试模型输出是否存在系统性差异。使用统计方法(如卡方检验)验证差异是否显著。金融、招聘、教育等领域的AI应用对偏见问题尤其敏感。
按性别、年龄、地域等维度交叉测试模型输出是否存在系统性差异。使用统计方法(如卡方检验)验证差异是否显著。金融、招聘、教育等领域的AI应用对偏见问题尤其敏感。
11
模型文件本身是否安全? 高
下载的模型文件是否通过哈希校验?模型文件中是否可能嵌入了恶意代码(尤其是PyTorch的pickle文件)?使用安全扫描工具检查模型文件的完整性,只从官方源下载模型。
下载的模型文件是否通过哈希校验?模型文件中是否可能嵌入了恶意代码(尤其是PyTorch的pickle文件)?使用安全扫描工具检查模型文件的完整性,只从官方源下载模型。
12
模型是否可能泄露训练数据? 高
通过成员推断攻击(Membership Inference Attack)测试模型是否会"记住"并可能泄露训练数据中的敏感信息。对可提取训练数据的模型进行差分隐私(Differential Privacy)加固。
通过成员推断攻击(Membership Inference Attack)测试模型是否会"记住"并可能泄露训练数据中的敏感信息。对可提取训练数据的模型进行差分隐私(Differential Privacy)加固。
13
使用第三方模型或插件时是否审查了供应链安全? 中
HuggingFace上的模型、LangChain的第三方插件、各种Agent工具——这些供应链节点都可能是安全漏洞的入口。审查每个第三方组件的安全历史、维护活跃度和社区声誉。
HuggingFace上的模型、LangChain的第三方插件、各种Agent工具——这些供应链节点都可能是安全漏洞的入口。审查每个第三方组件的安全历史、维护活跃度和社区声誉。
三、应用安全(6项)
14
AI应用的认证和授权是否完善? 关键
AI API需要和业务系统同样的认证标准:JWT Token验证、会话超时、多因素认证(MFA)对管理后台强制启用。AI Agent执行操作时,必须校验当前用户是否有该操作的权限。
AI API需要和业务系统同样的认证标准:JWT Token验证、会话超时、多因素认证(MFA)对管理后台强制启用。AI Agent执行操作时,必须校验当前用户是否有该操作的权限。
15
API是否有速率限制(Rate Limiting)? 高
没有速率限制的AI API = 敞开的钱袋子。设置按用户、按IP、按Token的多级限流策略。异常流量应触发自动熔断而非硬限流——避免正常用户被误伤。
没有速率限制的AI API = 敞开的钱袋子。设置按用户、按IP、按Token的多级限流策略。异常流量应触发自动熔断而非硬限流——避免正常用户被误伤。
16
用户输入是否经过安全清洗(Sanitization)? 关键
用户输入可能包含XSS脚本、SQL注入代码、恶意Prompt指令。在输入进入AI处理管道之前进行清洗:去除HTML标签、过滤特殊字符序列、检测和阻断已知的攻击模式。
用户输入可能包含XSS脚本、SQL注入代码、恶意Prompt指令。在输入进入AI处理管道之前进行清洗:去除HTML标签、过滤特殊字符序列、检测和阻断已知的攻击模式。
17
是否实现了完整的审计日志? 高
每条AI交互记录必须包含:时间戳、用户ID、会话ID、输入摘要(非明文)、输出摘要、使用的模型版本、检索到的文档来源、是否有安全告警。日志保留至少180天,且不可被修改或删除。
每条AI交互记录必须包含:时间戳、用户ID、会话ID、输入摘要(非明文)、输出摘要、使用的模型版本、检索到的文档来源、是否有安全告警。日志保留至少180天,且不可被修改或删除。
18
错误信息是否泄露了系统内部信息? 高
生产环境的AI API返回的错误信息不应包含堆栈跟踪、数据库表名、服务器路径、模型内部参数等敏感信息。面向用户的错误提示应该是"服务暂时不可用,请稍后重试"而非"Database connection timeout at 10.0.1.53:3306"。
生产环境的AI API返回的错误信息不应包含堆栈跟踪、数据库表名、服务器路径、模型内部参数等敏感信息。面向用户的错误提示应该是"服务暂时不可用,请稍后重试"而非"Database connection timeout at 10.0.1.53:3306"。
19
前端是否安全地渲染AI返回的富文本? 高
AI可能生成包含恶意脚本的Markdown或HTML。前端渲染时必须使用DOMPurify等工具进行清洗,禁止直接使用innerHTML或dangerouslySetInnerHTML渲染AI输出。
AI可能生成包含恶意脚本的Markdown或HTML。前端渲染时必须使用DOMPurify等工具进行清洗,禁止直接使用innerHTML或dangerouslySetInnerHTML渲染AI输出。
四、基础设施安全(6项)
20
AI服务器是否在独立的安全域中? 高
承载AI模型的服务器的安全级别应高于普通应用服务器。建议使用VPC隔离、安全组白名单、堡垒机跳转。AI服务器不应直接暴露在公网上。
承载AI模型的服务器的安全级别应高于普通应用服务器。建议使用VPC隔离、安全组白名单、堡垒机跳转。AI服务器不应直接暴露在公网上。
21
容器和镜像是否经过安全扫描? 高
AI服务常用的Docker镜像(特别是包含CUDA、PyTorch的镜像)体积巨大,依赖复杂,可能存在已知漏洞。每次构建时自动扫描镜像漏洞,高危漏洞阻断部署。
AI服务常用的Docker镜像(特别是包含CUDA、PyTorch的镜像)体积巨大,依赖复杂,可能存在已知漏洞。每次构建时自动扫描镜像漏洞,高危漏洞阻断部署。
22
密钥和凭证管理是否规范? 关键
API Key、数据库密码、TLS证书——这些绝对不能硬编码在代码或配置文件中。使用专业的密钥管理服务(如HashiCorp Vault、云厂商KMS),实现密钥的自动轮换和访问审计。
API Key、数据库密码、TLS证书——这些绝对不能硬编码在代码或配置文件中。使用专业的密钥管理服务(如HashiCorp Vault、云厂商KMS),实现密钥的自动轮换和访问审计。
23
DDoS防护是否到位? 中
AI API的每次调用都消耗大量计算资源,是DDoS攻击的高价值目标。使用WAF、CDN、流量清洗等多层DDoS防护。AI服务自身也应具备异常流量检测和自动限流能力。
AI API的每次调用都消耗大量计算资源,是DDoS攻击的高价值目标。使用WAF、CDN、流量清洗等多层DDoS防护。AI服务自身也应具备异常流量检测和自动限流能力。
24
备份和灾备策略是否覆盖AI系统? 高
模型文件、向量数据库、Prompt模板、Agent配置——这些都需要纳入常规备份计划。主备切换演练至少每季度一次,确认切换后AI服务质量不受影响。
模型文件、向量数据库、Prompt模板、Agent配置——这些都需要纳入常规备份计划。主备切换演练至少每季度一次,确认切换后AI服务质量不受影响。
25
依赖库和运行时是否有漏洞管理流程? 高
Python/PyTorch/CUDA/LangChain等AI依赖的版本更新频繁。建立自动化依赖扫描流水线(如Dependabot、Snyk),对已知漏洞设置修复SLA:高危7天、严重24小时。
Python/PyTorch/CUDA/LangChain等AI依赖的版本更新频繁。建立自动化依赖扫描流水线(如Dependabot、Snyk),对已知漏洞设置修复SLA:高危7天、严重24小时。
五、合规与治理(5项)
26
是否完成了算法备案? 关键
根据《互联网信息服务算法推荐管理规定》,具有舆论属性或社会动员能力的AI算法服务需要向网信办进行算法备案。确认你的AI应用是否需要备案以及是否已完成。
根据《互联网信息服务算法推荐管理规定》,具有舆论属性或社会动员能力的AI算法服务需要向网信办进行算法备案。确认你的AI应用是否需要备案以及是否已完成。
27
AI生成的内容是否进行了标识? 高
根据《生成式人工智能服务管理暂行办法》,AI生成的内容应当进行标识。面向用户的AI输出应明确标注"此内容由AI生成"或等效提示。隐藏AI身份可能导致合规风险。
根据《生成式人工智能服务管理暂行办法》,AI生成的内容应当进行标识。面向用户的AI输出应明确标注"此内容由AI生成"或等效提示。隐藏AI身份可能导致合规风险。
28
是否建立了AI伦理审查机制? 中
建议设立AI伦理委员会(可以是虚拟组织),对AI应用进行伦理影响评估。重点审查:是否可能加剧社会不平等?是否可能侵犯人的自主决策权?是否可能被用于不道德的目的?
建议设立AI伦理委员会(可以是虚拟组织),对AI应用进行伦理影响评估。重点审查:是否可能加剧社会不平等?是否可能侵犯人的自主决策权?是否可能被用于不道德的目的?
29
是否有AI安全事件的应急响应预案? 关键
当AI系统出现安全事故时(数据泄露、有害内容大规模传播、模型被恶意操控),谁负责决策?上报路径是什么?止损措施是什么?对外沟通策略是什么?这份预案必须事先制定并演练,不能临时抱佛脚。
当AI系统出现安全事故时(数据泄露、有害内容大规模传播、模型被恶意操控),谁负责决策?上报路径是什么?止损措施是什么?对外沟通策略是什么?这份预案必须事先制定并演练,不能临时抱佛脚。
30
是否购买了AI相关的网络安全保险? 中
传统网络安全保险可能不覆盖AI特有的风险(如模型被投毒导致的业务损失、AI生成内容引发的名誉损害)。与保险经纪人确认保障范围,必要时购买专门的AI责任险。
传统网络安全保险可能不覆盖AI特有的风险(如模型被投毒导致的业务损失、AI生成内容引发的名誉损害)。与保险经纪人确认保障范围,必要时购买专门的AI责任险。
六、自查持续改进与闭环管理
安全自查不是一次性的"填表运动"。真正的价值在于建立"检查→发现→修复→验证→再检查"的持续改进闭环。以下是三个关键原则:
6.1 问题追踪至闭环
每次自查发现的问题必须录入追踪系统(可以是Jira、飞书多维表格或任何任务管理工具),每项指定责任人、修复方案、截止日期。自查报告中"已通过"的项目数量没有意义——有意义的是"上次未通过的项目中,有多少已经修复并通过了"。关闭率(已修复数/已发现问题数)是衡量安全治理能力的关键指标。
6.2 基准持续提升
安全基线不是一成不变的。随着AI能力增强和攻击手段演进,今天的"高"优先级明天可能变成"关键"。建议每季度进行一次安全基线审查会议,评估是否需要调整检查项或阈值。同时密切关注OWASP Top 10 for LLM Applications的更新——这是全球AI安全社区最权威的风险排序。
6.3 第三方独立审计
内部自查有其天然的盲区——自查者往往对自己搭建的系统有"敝帚自珍"的倾向。建议每年邀请第三方安全公司进行一次独立的AI安全渗透测试和合规审计。独立的视角往往能发现内部团队视而不见的问题。审计报告应直接报送董事会或风险管理委员会。
自查评分:统计以上30项中"已通过"的数量。
25项以上(≥83%)为安全基线达标。关键项(标记"关键"的8项)必须100%通过,任何一项未通过都应立即暂停AI系统的新功能上线,直至修复完成。
25项以上(≥83%)为安全基线达标。关键项(标记"关键"的8项)必须100%通过,任何一项未通过都应立即暂停AI系统的新功能上线,直至修复完成。