特別鳴謝于文淵羅洪剛

黃澤輝

吳

銘楊杜卿徐

棟

安

琳雷

濤王

碩彭忠泓歐陽欣

楊

斌

李

娜陸一鳴

聶云奕陳宇寧

趙天琦

楊露佳

楊

永牟立煜

徐志遠

馬

昕

穆文靜8

指導(dǎo)委員會編寫組主要成員編寫組組長鄭俊芳阿里云智能集團首席戰(zhàn)略官彭玉軒張澤宇傅宏宇

張榮阿里云智能集團通義安全負(fù)責(zé)人錢磊阿里巴巴集團&云智能集團安全部總裁徐璐妮許曉東彭靖芷黃昱愷阿里云智能集團安全治理中臺負(fù)責(zé)人金宣成廖

偉馬宇詩劉煜堃阿里云智能集團安全保障研發(fā)負(fù)責(zé)人趙

萱

宋月冉聯(lián)系我們responsibleAI@s編寫單位

巳

里巴巴編寫組阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPERTRUSTWORTHY

MaaS9安全可信的MaaSSECURE

&阿里云AI基礎(chǔ)設(shè)施：原生安全

保障1AI基礎(chǔ)設(shè)施及其關(guān)鍵挑戰(zhàn)：兼顧安全、30

能力、效率1.1安全挑戰(zhàn)：系統(tǒng)軟件漏洞、資源濫用、供應(yīng)鏈30

攻擊與隱私合規(guī)風(fēng)險1.2高可用性挑戰(zhàn)：系統(tǒng)穩(wěn)定性壓力增加

311.3高性能瓶頸：算力利用率與異構(gòu)協(xié)同問題凸顯321.4算力經(jīng)濟性失衡：資源碎片化與供需錯位下的33成本與效率挑戰(zhàn)2阿里云的企業(yè)級AI基礎(chǔ)設(shè)施建設(shè)：34

在高效的基礎(chǔ)上更安全2.1云平臺級別的全棧安全保障

352.2面向AI場景的安全防護372.3從高性能到低成本的全面優(yōu)化40通義大模型：全生命周期安全

合規(guī)1風(fēng)險現(xiàn)狀及能力構(gòu)建461.1主要風(fēng)險挑戰(zhàn)

461.2核心能力構(gòu)建462全尺寸、全模態(tài)的模型供給482.1全尺寸覆蓋的彈性架構(gòu)482.2全模態(tài)融合的認(rèn)知能力

483通義大模型全生命周期安全實踐493.1研發(fā)安全：數(shù)據(jù)與算法根基防護，強化內(nèi)生49安全能力3.2部署安全：過程控制，構(gòu)建防御屏障593.3運行安全：上線監(jiān)測，實現(xiàn)動態(tài)防護60大模型發(fā)展趨勢、風(fēng)險挑戰(zhàn)與解決方案1模型商業(yè)落地加速，面臨多樣化的部16

署與應(yīng)用環(huán)境2模型應(yīng)用安全風(fēng)險具有系統(tǒng)性與復(fù)雜17

性，全生命周期的安全保障是模型應(yīng)用落地的關(guān)鍵2.1AI基礎(chǔ)設(shè)施風(fēng)險：供應(yīng)鏈漏洞、DDoS攻擊17

與模型資產(chǎn)威脅2.2大模型風(fēng)險：算法合規(guī)、內(nèi)容安全、對抗攻擊

182.3應(yīng)用服務(wù)安全風(fēng)險：算力消耗、供應(yīng)鏈與18隱私泄露3公共云和MaaS是兼顧性能、效率、20

安全的最佳解決方案10

11阿里云百煉安全解決方案與核

心理念1安全解決方案：安全可信的MaaS

242

MaaS安全核心理念：客戶數(shù)據(jù)主權(quán)、25

負(fù)責(zé)任的AI與云原生安全保障2.1客戶數(shù)據(jù)主權(quán)：平臺可靠、數(shù)據(jù)自主可控、鏈25

路可信、操作可審計2.2負(fù)責(zé)任的AI：安全、合規(guī)、向善、透明262.3云原生安全保障：打造可靠AI基礎(chǔ)設(shè)施

27SECURE

&

目錄阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPERTRUSTWORTHY

MaaS安全可信的MaaS阿里云百煉：安全可信的MaaS1MaaS安全風(fēng)險版圖與治理框架681.1產(chǎn)品形態(tài)變化

681.2MaaS

時代下的新型安全風(fēng)險研判681.3擁抱全球合規(guī)框架，構(gòu)建可信AI基石702阿里云百煉全鏈路安全能力框架722.1安全設(shè)計理念：縱深防御與原生集成722.2核心：貫穿生命周期的數(shù)據(jù)安全與隱私保護732.3擴展：支持客戶彈性、靈活地應(yīng)對外部攻擊783阿里云百煉關(guān)鍵場景安全實踐823.1場景一：發(fā)布并調(diào)用一個線上模型推理服務(wù)823.2場景二：使用私有數(shù)據(jù)微調(diào)一個專屬模型853.3場景三：構(gòu)建并運行一個AIAgent/MCP應(yīng)用884構(gòu)建可驗證的信任：阿里云百煉的90

安全承諾與未來愿景4.1當(dāng)下的承諾：安全可信的五大基石904.2未來的愿景：引領(lǐng)MaaS進入全鏈路機密91計算時代ConfidentialMaaS：可驗證

的數(shù)據(jù)保護1可信環(huán)境-機密計算

971.1安全能力概述

971.2

阿里云機密計算產(chǎn)品

982可信服務(wù)-公開審計1002.1基準(zhǔn)值發(fā)布1002.2開源審計1012.3可重構(gòu)建1013可信架構(gòu)-阿里云百煉落地1023.1數(shù)據(jù)全生命周期加密

1023.2可擴展與高可用設(shè)計1033.3隱私與功能權(quán)衡10512

13CHAPTER附錄：阿里云百煉安全實踐1組織保障機制1082阿里云百煉安全能力清單1093

權(quán)威認(rèn)證

1103.1大模型權(quán)威認(rèn)證1103.2云平臺權(quán)威認(rèn)證114SECURE

&

05阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPERTRUSTWORTHY

MaaS安全可信的MaaSAI基礎(chǔ)設(shè)施作為大模型服務(wù)正常運行的基礎(chǔ)支撐，下述威脅直接影響大模型服務(wù)的穩(wěn)定性、安全性和商業(yè)可持續(xù)性?！馎I

供應(yīng)鏈漏洞風(fēng)險：AI常用的訓(xùn)練與推理框架、平臺軟件中常存在公開的高危漏洞。

若未及時修復(fù)，攻擊者可借此入侵系統(tǒng)，控制訓(xùn)練環(huán)境或業(yè)務(wù)平臺，導(dǎo)致數(shù)據(jù)泄露、

服務(wù)中斷，甚至影響關(guān)鍵社會領(lǐng)域，造成嚴(yán)重后果；●

拒絕服務(wù)風(fēng)險：AI系統(tǒng)易受分布式拒絕服務(wù)（DDoS）攻擊。攻擊者通過海量惡意

流量耗盡計算或網(wǎng)絡(luò)資源，導(dǎo)致系統(tǒng)無法響應(yīng)正常請求，引發(fā)服務(wù)中斷。這不僅帶來

經(jīng)濟損失，還可能損害平臺聲譽與用戶信任；●

模型竊取與篡改風(fēng)險：模型是企業(yè)核心技術(shù)和重要資產(chǎn)，凝聚大量研發(fā)成果與商業(yè)價值。一旦被竊取或篡改，可能導(dǎo)致知識產(chǎn)權(quán)流失、服務(wù)異常，并引發(fā)法律糾紛與

品牌危機。16

17隨著大模型的能力提升，其產(chǎn)業(yè)應(yīng)用滲透加速。模型圍繞用戶場景構(gòu)建應(yīng)用生態(tài)，面臨場景驅(qū)動的多樣化部署需求。阿里云基于通義系列大模型，提供包括API服務(wù)、模

型定制、工具鏈、應(yīng)用構(gòu)建等在內(nèi)的全棧解決方案，

真正將大模型能力嵌入業(yè)務(wù)流程，

提供新質(zhì)生產(chǎn)力，助力企業(yè)實現(xiàn)智能化升級。SECURE

&模型商業(yè)落地加速，面臨多樣化的部署與應(yīng)

用環(huán)境模型應(yīng)用安全風(fēng)險具有系統(tǒng)性與復(fù)雜性，全

生命周期的安全保障是模型應(yīng)用落地的關(guān)鍵從模型應(yīng)用搭建到部署運行的架構(gòu)視角，大模型服務(wù)所面臨的安全挑戰(zhàn)可分為：AI基礎(chǔ)設(shè)施層面的風(fēng)險、大模型自身安全風(fēng)險、模型應(yīng)用服務(wù)模式中特有的風(fēng)險。2.1AI基礎(chǔ)設(shè)施風(fēng)險：供應(yīng)鏈漏洞、DDoS攻擊與模型資產(chǎn)威脅阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPER21TRUSTWORTHY

MaaS安全可信的MaaSMaaS平臺在提供便捷服務(wù)的同時，也產(chǎn)生了特有的安全隱患。●

數(shù)據(jù)安全與隱私風(fēng)險：攻擊者可通過特定提示誘導(dǎo)模型泄露訓(xùn)練數(shù)據(jù)等商業(yè)秘密。

此外，用戶與模型之間的交互鏈路若未采取充分的安全保護措施，也可能導(dǎo)致數(shù)據(jù)外

泄；●

算力消耗風(fēng)險：攻擊者通過提交大量高復(fù)雜度請求，在不觸發(fā)傳統(tǒng)

DDoS

防護機制

的前提下，耗盡API調(diào)用配額或計算資源，造成服務(wù)中斷與成本激增；●AI供應(yīng)鏈安全風(fēng)險：MaaS的構(gòu)建依賴復(fù)雜的軟件與模型供應(yīng)鏈，任一環(huán)節(jié)（如基

座模型、第三方庫、數(shù)據(jù)集）存在安全隱患，都可能被傳導(dǎo)至下游應(yīng)用，引發(fā)數(shù)據(jù)竊大模型在技術(shù)原理上具有天然的局限性，面臨全生命周期的風(fēng)險挑戰(zhàn)。●

算法合規(guī)風(fēng)險：大模型全生命周期需要遵循明確的法規(guī)和技術(shù)標(biāo)準(zhǔn)要求，包括但不

限于訓(xùn)練數(shù)據(jù)來源、數(shù)據(jù)預(yù)處理、數(shù)據(jù)標(biāo)注、輸出內(nèi)容、內(nèi)容標(biāo)識等方面；●

內(nèi)容安全風(fēng)險：

由于訓(xùn)練數(shù)據(jù)的偏差和污染，以及模型生成機制的不完全可控，可

能生成違法違規(guī)不良價值觀的內(nèi)容；●

對抗攻擊風(fēng)險：攻擊者可通過構(gòu)造對抗樣本或指令注入攻擊，誘導(dǎo)模型生成錯誤的

回答?！?/p>

應(yīng)用安全風(fēng)險：MaaS通常需要與后端系統(tǒng)（如

API接口、數(shù)據(jù)庫）進行交互。攻

擊者可通過提示詞注入手段，將

MaaS應(yīng)用作為跳板，利用其合法身份向內(nèi)部系統(tǒng)發(fā)

起攻擊，從而觸發(fā)SSRF、XSS、命令執(zhí)行等傳統(tǒng)安全漏洞；●身份認(rèn)證與權(quán)限管控：MaaS需管理包括用戶、AI模型、智能體在內(nèi)的多種身份，

如何實現(xiàn)精細化授權(quán)與動態(tài)權(quán)限控制，以規(guī)避越權(quán)使用及濫用風(fēng)險成為了一大難題。18

19SECURE

&2.3應(yīng)用服務(wù)安全風(fēng)險：算力消耗、供應(yīng)鏈與隱私泄露2.2大模型風(fēng)險：算法合規(guī)、內(nèi)容安全、對抗攻擊阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPER取或模型污染等嚴(yán)重后果；TRUSTWORTHY

MaaS安全可信的MaaS公共云成為大模型發(fā)展和應(yīng)用的優(yōu)選路徑。大模型的發(fā)展與應(yīng)用所需要的條件與公共云的優(yōu)勢高度契合。公共云憑借強大的基建能力、高效靈活的資源利用和較低的成本、完備的安全保障體系，既能提供最先進、最安全的模型，也能夠為用戶使用模型提供全面保障，提供極具競爭力的解決方案。此外，AI

出海也正在成為企業(yè)出海新趨勢，依托云服務(wù)廣泛覆蓋全球各節(jié)點的AI全棧能力支撐，“云+AI”供應(yīng)鏈協(xié)同出海使得模型應(yīng)用得以突破地域限制，實現(xiàn)全球范圍內(nèi)的高效部署與優(yōu)化，助力用戶全球業(yè)務(wù)創(chuàng)新。MaaS成為模型服務(wù)的主流模式。MaaS為企業(yè)提供開箱即用的AI能力，大幅降低了使用門檻，提升了部署效率，顯著提升了業(yè)務(wù)敏捷性和創(chuàng)新能力。此外，

MaaS提供了

AI基礎(chǔ)設(shè)施層的算力調(diào)度、存儲管理、網(wǎng)絡(luò)傳輸?shù)群诵闹文芰Γ采w了模型訓(xùn)練、評測、部署、推理等全流程服務(wù)，從而滿足不同行業(yè)對服務(wù)可用性的差異化需求。20

SECURE

&公共云和MaaS

是兼顧性能、效率、安全的

最佳解決方案阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPER213TRUSTWORTHY

MaaS安全可信的MaaS阿里云百煉安全可信的MaaS阿里云百煉以云原生為基礎(chǔ)支撐，以大模型為核心驅(qū)動力，全面構(gòu)建面向未來的MaaS服務(wù)平臺。通過依托阿里云云原生技術(shù)底座與通義大模型能力體系，實現(xiàn)了從

模型訓(xùn)練、模型部署、推理服務(wù)到應(yīng)用集成的全鏈路閉環(huán)，提供安全可信的一站式

MaaS服務(wù)。在技術(shù)層面上，通過云原生的安全防護體系和算法安全能力保障模型全生命周期和服務(wù)鏈路的安全可信；在用戶體驗上，提供標(biāo)準(zhǔn)化的API接口和完備的開發(fā)工具，顯著

提升開發(fā)者和企業(yè)的研發(fā)效率與集成便捷性；在價值創(chuàng)造上，提供全模態(tài)全尺寸全功

能豐富的模型供給，加速實現(xiàn)大模型能力的普惠化應(yīng)用，賦能全社會的數(shù)字化與智能

化轉(zhuǎn)型?！氨Ｕ峡蛻魯?shù)據(jù)安全”被阿里云列為最重要的事項。阿里云百煉提供云原生安全能力，確保云上數(shù)據(jù)可控、鏈路可信、操作可審計。●

客戶數(shù)據(jù)主權(quán)：

阿里云在數(shù)據(jù)安全保障上做出以下承諾，客戶完全擁有自身數(shù)據(jù)控制權(quán)；未經(jīng)授權(quán)，阿里云除執(zhí)行客戶的服務(wù)要求外不會訪問、使用或移動客戶數(shù)據(jù)?！駭?shù)據(jù)安全防護：云上提供各維度行業(yè)領(lǐng)先的安全能力，幫助客戶提升數(shù)據(jù)安全水位。24

25SECURE

&MaaS安全核心理念：客戶數(shù)據(jù)主權(quán)、負(fù)責(zé)

任的

AI與云原生安全保障2.1客戶數(shù)據(jù)主權(quán)：平臺可靠、數(shù)據(jù)自主可控、鏈路可信、操作可審計安全解決方案：安全可信的MaaS阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPER阿里云百煉MaaS安全理念21TRUSTWORTHY

MaaS安全可信的MaaS在負(fù)責(zé)任的

AI發(fā)展框架下，通義大模型緊密圍繞

“合規(guī)遵循、安全可靠、倫理向善、可解釋可溯源”

四大核心，結(jié)合國內(nèi)法規(guī)要求與國際主流AI治理倡議，構(gòu)建覆蓋大

模型全生命周期的服務(wù)治理體系，推動

AI

技術(shù)朝著更加可信、可控、可持續(xù)的方向發(fā)展?！?/p>

合規(guī)遵循：嚴(yán)格遵循法規(guī)和國標(biāo)，對訓(xùn)練數(shù)據(jù)執(zhí)行信息化篩選與過濾，并通過技

術(shù)手段構(gòu)建圍欄防護，防止模型被濫用或生成違法不良信息?！?/p>

安全可靠：全面落實國標(biāo)要求，執(zhí)行體系化安全評測；依托紅藍對抗持續(xù)提升模型魯棒性，確保模型在面對惡意攻擊時大模型能夠保持正常運行并輸出可靠結(jié)果?！?/p>

倫理向善：通過安全訓(xùn)練實現(xiàn)價值觀對齊，并在生成內(nèi)容中主動開展正向引導(dǎo)，

在開放可控的環(huán)境中助力生產(chǎn)力提升與價值創(chuàng)造?！?/p>

可解釋可溯源：采用Thinking模式增強推理過程透明化，提升模型可解釋性，同

時支持內(nèi)容標(biāo)識和溯源，建立明確的責(zé)任追溯機制。阿里云百煉以云原生安全設(shè)計、多層縱深防御為核心理念，構(gòu)建起一套覆蓋AI基礎(chǔ)設(shè)施全安全體系?！?/p>

云平臺級別的全棧安全保障：

阿里云AI基礎(chǔ)設(shè)施的研發(fā)流程中融入DevSecOps與零信任架構(gòu)，實現(xiàn)了產(chǎn)品全生命周期安全管理。結(jié)合高可用架構(gòu)、容災(zāi)備份與紅藍

對抗機制，保障系統(tǒng)在各類攻擊與極端場景下的穩(wěn)定與安全?！衩嫦駻I的安全防護：

阿里云構(gòu)建了AI運行環(huán)境、模型文件保護、與用戶數(shù)據(jù)的安全保障能力，涵蓋安全容器、模型加密、訪問控制及傳輸存儲加密等能力，結(jié)合機密

計算技術(shù)，可支持實現(xiàn)AI系統(tǒng)的安全與隱私保護。26

27阿里云百煉集成云原生安全設(shè)計，實現(xiàn)租戶隔離、數(shù)據(jù)加密存儲及傳輸、細粒度權(quán)限控制等能力，確?？蛻魯?shù)據(jù)在整個生命周期內(nèi)保持機密性和完整性。此外，阿里云百

煉通過建設(shè)CMaaS（ConfidentialMaaS）幫助客戶解決“使用中”的數(shù)據(jù)保護問題，

打造AI隱私保護信任新范式。SECURE

&2.3云原生安全保障：打造可靠AI基礎(chǔ)設(shè)施2.2負(fù)責(zé)任的AI：安全、合規(guī)、向善、透明阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPERTRUSTWORTHY

MaaS安全可信的MaaS戶對平臺的信任與采納意愿。當(dāng)前，云廠商在構(gòu)建AI基礎(chǔ)設(shè)施時應(yīng)重點關(guān)注四類核心安全風(fēng)險：●AI供應(yīng)鏈漏洞風(fēng)險。AI領(lǐng)域廣泛使用的推理框架、訓(xùn)練框架及各類平臺軟件中存在大量公開的高危漏洞。若未能及時修復(fù)，攻擊者可利用這些漏洞發(fā)起未經(jīng)授權(quán)的訪問，進而控制整個AI訓(xùn)練環(huán)境或業(yè)務(wù)系統(tǒng)，導(dǎo)致數(shù)據(jù)泄露、服務(wù)中斷，甚至波及社

會關(guān)鍵領(lǐng)域，造成嚴(yán)重后果。●

拒絕服務(wù)風(fēng)險。AI基礎(chǔ)設(shè)施面臨分布式拒絕服務(wù)（DDoS）攻擊的嚴(yán)重威脅。攻擊者可通過控制大量惡意流量對系統(tǒng)發(fā)起攻擊，迅速耗盡計算或網(wǎng)絡(luò)資源，導(dǎo)致AI系

統(tǒng)無法處理合法用戶的請求，進而引發(fā)服務(wù)中斷和業(yè)務(wù)停滯。此類攻擊不僅帶來直接

的經(jīng)濟損失，還可能損害平臺的服務(wù)聲譽與用戶信任?！?/p>

模型竊取與篡改風(fēng)險。AI模型是企業(yè)核心技術(shù)資產(chǎn)的重要組成部分，承載著大量的研發(fā)投入與商業(yè)價值。模型一旦被非法竊取或篡改，不僅可能導(dǎo)致知識產(chǎn)權(quán)損失，

還可能引發(fā)線上服務(wù)異常，甚至帶來法律與聲譽風(fēng)險?！裼脩魯?shù)據(jù)隱私泄露與合規(guī)性風(fēng)險。大模型在推理過程中通常需要處理大量用戶數(shù)據(jù)，其中往往包含個人信息。如何確保這些數(shù)據(jù)在整個生命周期內(nèi)的安全，

防止泄露、濫

用，成為AI基礎(chǔ)設(shè)施建設(shè)中必須高度重視的安全性課題。人工智能（AI）技術(shù)的快速發(fā)展正深刻重塑各行各業(yè)，包括服務(wù)器、網(wǎng)絡(luò)、存儲及專用集成電路等，更催生了高能耗的

AI基礎(chǔ)設(shè)施。AI基礎(chǔ)設(shè)施依賴于一套復(fù)雜且高度

集成的資源體系與平臺技術(shù)，這一體系不僅涵蓋以GPU為核心的高性能計算架構(gòu)、

大規(guī)模集群的高速互聯(lián)網(wǎng)絡(luò)和海量數(shù)據(jù)并發(fā)處理能力的存儲系統(tǒng)，還包括一站式模型

訓(xùn)練與推理平臺、智能調(diào)度管理系統(tǒng)、GPU容器化支持等關(guān)鍵技術(shù)組件。同時為了讓

部署運行的AI系統(tǒng)能安全穩(wěn)定運行，配套的安全防護能力也不可或缺。這些技術(shù)和平臺共同構(gòu)成了支撐AI系統(tǒng)高效運行的核心基礎(chǔ)設(shè)施。30

31AI基礎(chǔ)設(shè)施及其安全挑戰(zhàn)在AI加速邁向規(guī)?；逃玫倪^程中，基礎(chǔ)設(shè)施層面也暴露出一系列深層次挑戰(zhàn)，正在成為制約AI持續(xù)發(fā)展的關(guān)鍵障礙：SECURE

&國務(wù)院常務(wù)會議于2025年7月31

日審議通過《關(guān)于深入實施“人工智能+”行動的意見》，明確要求“大力推進人工智能規(guī)?；虡I(yè)化應(yīng)用，著力強化算力、算法和數(shù)

據(jù)供給”。在實際應(yīng)用中，各行業(yè)普遍以99.99%

的可用性為目標(biāo)，這對AI基礎(chǔ)設(shè)施AI基礎(chǔ)設(shè)施及其關(guān)鍵挑戰(zhàn)：兼顧安全、能力、

效率1.2高可用性挑戰(zhàn)：系統(tǒng)穩(wěn)定性壓力增加1.1安全挑戰(zhàn)：系統(tǒng)軟件漏洞、資源濫用、供應(yīng)鏈攻擊與隱私合規(guī)風(fēng)險對于云廠商而言，AI基礎(chǔ)設(shè)施的安全建設(shè)不僅關(guān)乎技術(shù)服務(wù)的可靠性，更直接影響客阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPER1TRUSTWORTHY

MaaS安全可信的MaaS全球AI熱潮推動各國對高端GPU

的需求激增，AI基礎(chǔ)設(shè)施正成為下一代計算架構(gòu)的核心支柱。當(dāng)前，訓(xùn)練和部署大模型的基礎(chǔ)設(shè)施成本已構(gòu)成企業(yè)發(fā)展的關(guān)鍵瓶頸。●

資源碎片化與低效利用是算力經(jīng)濟性失衡的核心矛盾。我國數(shù)據(jù)中心服務(wù)器的平均算力利用率僅為5%-10%，異構(gòu)架構(gòu)復(fù)雜性和資源分配僵化導(dǎo)致算力利用率與投資

回報率（ROI）顯著下降?！?/p>

高門檻、重復(fù)投入與供需錯位是中小企業(yè)算力的成本困境。

單個大模型訓(xùn)練成本達百萬美元級，中小企業(yè)難以負(fù)擔(dān)。共享生態(tài)的缺乏導(dǎo)致模型重復(fù)開發(fā)，資源浪費嚴(yán)重。

仍有大量智算中心閑置，“資源閑置”與“算力難求”并存，供需失衡凸顯系統(tǒng)性短板。隨著生成式AI技術(shù)普及，AI基礎(chǔ)設(shè)施進入GPU主導(dǎo)階段，萬億參數(shù)模型訓(xùn)練需數(shù)千張GPU持續(xù)運行數(shù)周，對性能提出更高要求。當(dāng)前面臨兩大核心挑戰(zhàn)：●

算力利用率偏低。大模型推理依賴高算力資源，但

GPU利用率常低于預(yù)期。資源

浪費源于動態(tài)需求與固定資源池不匹配、調(diào)度工具能力有限及分布式訓(xùn)練通信瓶頸。●異構(gòu)協(xié)同與推理性能壓力。CPU、GPU、NPU等異構(gòu)資源缺乏統(tǒng)一調(diào)度標(biāo)準(zhǔn)，這種

碎片化生態(tài)導(dǎo)致任務(wù)分配效率低下，資源利用率難以最大化。生成式AI應(yīng)用進一步

加劇吞吐量與低延遲的雙重壓力。●

硬件與網(wǎng)絡(luò)故障關(guān)聯(lián)性增強。GPU集群規(guī)模不斷擴大，單點故障概率顯著上升，尤其在強狀態(tài)存儲系統(tǒng)中，數(shù)據(jù)一致性與高可用性的保障難度加大，依賴復(fù)雜的數(shù)據(jù)

恢復(fù)機制應(yīng)對故障?！裢话l(fā)流量沖擊則進一步加劇了可用性壓力。在電商大促、AIGC（生成式人工智能）爆發(fā)等場景下，瞬時流量可能超出系統(tǒng)承載能力。部分AI推理服務(wù)雖具備高負(fù)載處理能力，但若缺乏彈性擴容與智能調(diào)度機制，將導(dǎo)致響應(yīng)延遲激增，影響用戶體驗和

業(yè)務(wù)連續(xù)性。32

33SECURE

&1.3高性能瓶頸：算力利用率與異構(gòu)協(xié)同問題凸顯1.4算力經(jīng)濟性失衡：資源碎片化與供需錯位下的成本與效率挑戰(zhàn)提出了嚴(yán)峻挑戰(zhàn)。當(dāng)前，AI系統(tǒng)的高可用性面臨兩方面壓力：阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPERTRUSTWORTHY

MaaS安全可信的MaaSAI基礎(chǔ)設(shè)施的安全是保障上層AI系統(tǒng)穩(wěn)健運行的核心命題。阿里云AI基礎(chǔ)設(shè)施遵循阿里云產(chǎn)品的標(biāo)準(zhǔn)全棧安全建設(shè)?；谠谠品?wù)安全體系多年的技術(shù)積累，以“云原

生防護，全棧多層縱深防御”為核心理念，深度融合產(chǎn)品全流程安全建設(shè)、縱深防御

與零信任架構(gòu)、紅藍對抗反向校驗。2.1.1面向攻擊的安全高可用為保障AI基礎(chǔ)設(shè)施的持續(xù)穩(wěn)定運行，阿里云設(shè)計了完整的高可用架構(gòu)，建立了專業(yè)的穩(wěn)定性團隊與故障應(yīng)急響應(yīng)機制，并將多年實踐經(jīng)驗沉淀為產(chǎn)品能力，助力客戶實

現(xiàn)系統(tǒng)級穩(wěn)定性保障?！?/p>

系統(tǒng)網(wǎng)絡(luò)層：DDoS防護。

阿里云的DDoS

防護能力，可隨業(yè)務(wù)流量峰值、威脅情況不同而彈性伸縮，從而保障了南北向的流量安全。通過

DDoS

高防產(chǎn)品，可以構(gòu)

建業(yè)務(wù)高可用架構(gòu)，過濾攻擊流量，保障業(yè)務(wù)系統(tǒng)持續(xù)平穩(wěn)對外提供服務(wù)。●

完備的容災(zāi)能力建設(shè)。

阿里云在全球布局29個地域、87個可用區(qū)（統(tǒng)計日期截至

2025年8月15

日），支撐超半數(shù)A股上市公司、80%

中國科技創(chuàng)新企業(yè)及國際

客戶。容器服務(wù)ACK在萬卡規(guī)模下采用多AZ部署和拓?fù)涓兄{(diào)度，網(wǎng)絡(luò)吞吐利用率

保持99%，GPU故障預(yù)測準(zhǔn)確率達92%。結(jié)合同城雙活、異地多活策略，能夠保障

極端場景下的快速恢復(fù)。●

全面的可觀測性和監(jiān)控能力。

阿里云建立了覆蓋基礎(chǔ)設(shè)施到應(yīng)用層的監(jiān)控體系，集成日志管理與告警機制，幫助用戶快速定位問題，提升故障排查與調(diào)優(yōu)效率。與此

同時，阿里云還基于拓?fù)湓獢?shù)據(jù)、數(shù)據(jù)備份與固件優(yōu)化，實現(xiàn)故障快速修復(fù)。阿里云的AI基礎(chǔ)設(shè)施提供了AI所需要的高性能GPU集群、高性能網(wǎng)絡(luò)架構(gòu)、高性能存儲系統(tǒng)，還包括一站式模型訓(xùn)練與推理平臺、異構(gòu)計算容器等關(guān)鍵技術(shù)組件。這些

技術(shù)和平臺共同構(gòu)成了阿里云支撐AI高效運行的核心基礎(chǔ)設(shè)施。在

ForresterWave

1

報告中，客戶對阿里云提供的大規(guī)模AI基礎(chǔ)設(shè)施負(fù)載能力以及AI產(chǎn)品和服務(wù)的豐富

程度給予高度評價，F(xiàn)orrester認(rèn)為，AI計算性能最大化、完善的

AI管理系統(tǒng)、與企

業(yè)AI戰(zhàn)略相匹配是客戶在選擇AI基礎(chǔ)設(shè)施時需考慮的三個核心因素。阿里云AI基礎(chǔ)

設(shè)施以其強大的產(chǎn)品能力，成為客戶在中國部署上云首選。阿里云AI基礎(chǔ)設(shè)施構(gòu)建了覆蓋全棧的安全體系，貫穿產(chǎn)品全流程的各個環(huán)節(jié)，深度融合縱深防御與零信任架構(gòu)理念，全面保障用戶數(shù)據(jù)隱私與系統(tǒng)安全，同時實現(xiàn)從高

性能計算到成本優(yōu)化的多維度能力升級。此外，阿里云面向

AI全場景需求，打造了覆蓋全生命周期的安全防護體系，從基礎(chǔ)設(shè)施到模型資產(chǎn)，為

AI系統(tǒng)的數(shù)據(jù)安全與

業(yè)務(wù)連續(xù)性提供全方位保障。34

35阿里云AI基礎(chǔ)設(shè)施安全能力【Forrester

Wave】：Forrester

Wave是Forrester

Research（全球知名技術(shù)與市場研究機構(gòu)）提出的供應(yīng)

商評估框架，通過三大維度（Current

Offering

當(dāng)前產(chǎn)品、Strategy戰(zhàn)略、Market

Response

市場響應(yīng)）對特

定領(lǐng)域的技術(shù)解決方案

/

供應(yīng)商進行量化評分與排名。其報告常被用于指導(dǎo)企業(yè)技術(shù)選型，

具有行業(yè)標(biāo)桿意義。SECURE

&

阿里云的企業(yè)級

AI基礎(chǔ)設(shè)施建設(shè)：在高效的

基礎(chǔ)上更安全2.1云平臺級別的全棧安全保障阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPER2TRUSTWORTHY

MaaS安全可信的MaaS●

產(chǎn)品全生命周期安全。AI系統(tǒng)的復(fù)雜性決定了其安全保障不能依賴單一環(huán)節(jié)的防御，而需貫穿整個

AI

基礎(chǔ)設(shè)施的技術(shù)棧與研發(fā)流程。阿里云秉持“多層防護、全面覆蓋”

的安全理念，深度貫徹了

DevSecOps體系，將豐富的安全工具和管控機制深度集成至產(chǎn)品研發(fā)各階段，在AI基礎(chǔ)設(shè)施相關(guān)產(chǎn)品的立項、設(shè)計、編碼、測試、發(fā)布、運營及監(jiān)控多個環(huán)節(jié)中嵌入自動化安全檢測，通過多環(huán)節(jié)協(xié)同合作，共同負(fù)責(zé)風(fēng)險控制，

確保安全效果不再依賴于任意單一環(huán)節(jié)。●

縱深防御與零信任架構(gòu)。

阿里云深刻認(rèn)識到傳統(tǒng)邊界防御模式已難以應(yīng)對AI系統(tǒng)日益復(fù)雜的安全挑戰(zhàn)。為此，貫徹縱深防御與零信任架構(gòu)相結(jié)合的安全設(shè)計理念，將

身份驗證、訪問控制和運行時防護深度融入

AI基礎(chǔ)設(shè)施的各個層面，確保上層訓(xùn)練、

推理、部署等關(guān)鍵環(huán)節(jié)的安全可控。同時，建立了完善的內(nèi)部度量機制，確保各項安全流程在研發(fā)、運維及服務(wù)交付各團隊中得到有效執(zhí)行。此外，結(jié)合對流程的持續(xù)監(jiān)

控與評估，切實兌現(xiàn)了對客戶的安全承諾，保障每一項安全策略都能落地生效。2.1.3常態(tài)化紅藍對抗反向校驗僅依賴單一視角或內(nèi)部團隊的安全設(shè)計，容易因認(rèn)知盲區(qū)而在真實攻擊中失效。因此，阿里云在AI基礎(chǔ)設(shè)施建設(shè)中，采用“內(nèi)部紅藍對抗+

外部多方校驗”的雙重機制，

確保安全能力在實戰(zhàn)中持續(xù)有效?！?/p>

內(nèi)部紅藍對抗。

阿里云建立了常態(tài)化的紅藍對抗機制，其中藍軍團隊持續(xù)研究前在人工智能技術(shù)快速落地的今天，數(shù)據(jù)安全與隱私保護已成為客戶的核心關(guān)切，更是企業(yè)構(gòu)建可信AI應(yīng)用的基石。阿里云面向

AI

的場景需求，打造了覆蓋全生命周期的安全防護體系，從基礎(chǔ)設(shè)施到模型資產(chǎn)，為

AI系統(tǒng)的數(shù)據(jù)安全與業(yè)務(wù)連續(xù)性提供全

方位保障。2.2.1安全的AI運行環(huán)境推理任務(wù)運行于基于GPU的計算環(huán)境之上，如何確保多租戶之間資源嚴(yán)格隔離，是保障推理鏈路安全的第一道屏障。阿里云通過軟硬協(xié)同的深度加固機制，構(gòu)建高隔離、

強可控的AI運行環(huán)境?！?/p>

安全容器：

阿里云AI基礎(chǔ)設(shè)施基于自研芯片級虛擬化技術(shù)，通過GPU容器服務(wù)提供具備高強度計算隔離的安全容器能力，實現(xiàn)從物理主機到虛擬機的多層隔離架構(gòu)，

嚴(yán)格限制虛擬機資源邊界，使應(yīng)用能夠在擁有獨立內(nèi)核的輕量虛擬機沙箱環(huán)境中運行，36

37●外部多方校驗。與此同時，阿里云還構(gòu)建了完善的“白帽生態(tài)”和“漏洞懸賞機制”，定期邀請高水平的外部安全團隊和獨立研究人員，從外部視角對AI基礎(chǔ)設(shè)施進行滲透測試與漏洞挖掘，有效補充了內(nèi)部測試的盲區(qū)，進一步筑牢AI基礎(chǔ)設(shè)施整體的安全防線。SECURE

&沿攻防技術(shù)，以接近真實APT組織的攻擊強度，對包括模型訓(xùn)練推理平臺、GPU容器等在內(nèi)的各類

AI

基礎(chǔ)設(shè)施產(chǎn)品發(fā)起模擬滲透測試。通過高強度、高頻次的實戰(zhàn)演練，

發(fā)現(xiàn)潛在漏洞并推動快速修復(fù)，不斷提升系統(tǒng)的抗攻擊能力?！?/p>

快速故障恢復(fù)?；谕?fù)湓獢?shù)據(jù)、數(shù)據(jù)備份與固件優(yōu)化，實現(xiàn)故障快速修復(fù)。結(jié)合容量管理能力，合理分配資源，在保障日常效率的同時支持緊急擴容。2.2面向AI場景的安全防護阿里云百煉安全白皮書2.1.2全流程產(chǎn)品安全保障建設(shè)ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPERTRUSTWORTHY

MaaS安全可信的MaaS2.2.3嚴(yán)密的用戶數(shù)據(jù)保護推理鏈路的本質(zhì)是用戶數(shù)據(jù)流經(jīng)模型進行計算的過程。這一過程涉及數(shù)據(jù)輸入、網(wǎng)絡(luò)傳輸、內(nèi)存處理、結(jié)果輸出等多個環(huán)節(jié)，任何一處疏漏都可能導(dǎo)致隱私泄露。阿里云

的用戶數(shù)據(jù)隱私保護，始終貫穿了推理全鏈路。●

推理私網(wǎng)接入：通過PrivateLink私網(wǎng)通道與HTTPS加密協(xié)議，阿里云專屬推理網(wǎng)關(guān)為AI系統(tǒng)構(gòu)建最小必要訪問路徑。支持多

VPC綁定與自定義域名證書配置，有效

隔離公網(wǎng)暴露風(fēng)險，確?？缬驍?shù)據(jù)傳輸?shù)臋C密性與業(yè)務(wù)連續(xù)性。該能力已集成于阿里

云一站式模型訓(xùn)練推理平臺，滿足金融、醫(yī)療等高合規(guī)行業(yè)需求。●

傳輸加密：

阿里云具備全面的傳輸加密機制，確保數(shù)據(jù)在整個鏈路中的完整性與機密性。所有

AI

基礎(chǔ)設(shè)施產(chǎn)品均提供基于

HTTPS

協(xié)議的API

接口，支持TLS傳輸加

密。以對象存儲

OSS

為例，其支持強制啟用傳輸加密策略，并可通過

Bucket

Policy

或

RAM

策略限定允許使用的加密協(xié)議版本和加密套件，防止低安全性協(xié)議被誤用，

從而進一步提升整體鏈路的安全等級。●

存儲加密：

阿里云為各類云上產(chǎn)品提供落盤數(shù)據(jù)加密能力，確保靜態(tài)數(shù)據(jù)（如RAG知識庫文檔、模型微調(diào)數(shù)據(jù)集等）在存儲層面的安全性。核心存儲類產(chǎn)品（如云

盤EBS、關(guān)系型數(shù)據(jù)庫

RDS、對象存儲

OSS）均支持一鍵開啟加密功能，無需額外配

置即可滿足大規(guī)模數(shù)據(jù)的加密存儲需求。此外，部分產(chǎn)品也支持

BYOK（自帶密鑰）

模式，客戶可將自行生成的密鑰導(dǎo)入至阿里云

KMS

中，由

KMS托管密鑰并用于數(shù)據(jù)

加密操作，進一步增強數(shù)據(jù)主權(quán)控制?！?/p>

機密計算：

阿里云AI基礎(chǔ)設(shè)施支持機密計算（Confidential

Computing），通過基于硬件的技術(shù)實現(xiàn)了數(shù)據(jù)在計算過程中始終處于加密狀態(tài)，有效防止敏感數(shù)據(jù)被竊

取或篡改。在保持容器便捷、輕量化優(yōu)勢的同時，徹底阻斷租戶間非法數(shù)據(jù)訪問路徑，為多租戶場景下的AI計算提供可靠的數(shù)據(jù)主權(quán)保護和安全隔離能力?！?/p>

供應(yīng)鏈安全防護：

阿里云的容器鏡像服務(wù)提供自動化漏洞安全掃描與數(shù)字簽名能力，可識別鏡像中的CVE漏洞、惡意代碼及敏感信息泄露風(fēng)險，

并通過簽名校驗確保

鏡像來源可信。同時結(jié)合阿里云安全中心的應(yīng)用運行時威脅檢測，實現(xiàn)從鏡像構(gòu)建到

容器運行時的全生命周期防護，抵御供應(yīng)鏈攻擊?！裢獠咳津炞C

:

阿里云通過構(gòu)建多維度安全驗證體系，持續(xù)引入經(jīng)過國際認(rèn)證的第三方安全專家團隊，采用動態(tài)滲透測試、漏洞挖掘等專業(yè)手段對阿里云

AI

基礎(chǔ)設(shè)施

進行安全評估。2.2.2可靠的模型文件保護模型作為AI系統(tǒng)的核心資產(chǎn)，其安全性直接影響推理結(jié)果的可靠性。阿里云圍繞模型存儲、傳輸與加載全過程，建立了保護機制?！?/p>

靜態(tài)的模型文件加密：

阿里云一站式模型訓(xùn)練推理平臺支持加密模型文件，并依托KMS實現(xiàn)模型加密密鑰托管。模型部署時，系統(tǒng)僅在安全容器中解密加載，解密

后的明文數(shù)據(jù)不落盤、不共享，杜絕模型在存儲與傳輸階段的泄露風(fēng)險。●

模型文件訪問控制與操作審計：

阿里云內(nèi)部通過RAM細粒度權(quán)限策略、獨立權(quán)限管理模塊，實現(xiàn)模型文件的最小必要權(quán)限管理。結(jié)合阿里云的操作審計服務(wù)

（ActionTrail），可審計的模型文件操作行為，聯(lián)動阿里云內(nèi)部的風(fēng)險控制，實時告

警潛在風(fēng)險。38

39SECURE

&阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPERTRUSTWORTHY

MaaS安全可信的MaaS面對AI技術(shù)日益增長的復(fù)雜性與規(guī)?；魬?zhàn)，構(gòu)建一個穩(wěn)定、高效且經(jīng)濟的

AI基礎(chǔ)設(shè)施，

已成為企業(yè)釋放智能潛力的關(guān)鍵所在。如何在保障系統(tǒng)高可用性的前提下突破

性能瓶頸，并實現(xiàn)從算力到模型的全鏈路成本優(yōu)化，正在成為行業(yè)關(guān)注的焦點。阿里云基于多年技術(shù)積累與大規(guī)模實踐，打造了一套從高性能到低成本的全棧優(yōu)化體系，

為AI

的大規(guī)模落地提供堅實底座。2.3.1全棧優(yōu)化的極致高性能●

突破AI算力瓶頸的全棧優(yōu)化。

阿里云自研磐久AI服務(wù)器支持單機16卡、共享顯存超

1.5TB，AI算法預(yù)測GPU故障準(zhǔn)確率達92%。HPN7.0高性能網(wǎng)絡(luò)架構(gòu)通

過Solar

RDMA

網(wǎng)

絡(luò)（3.2Tb/s帶

寬）

和

HPCC流

控

算

法，

實

現(xiàn)端

到端

性

能

優(yōu)

化

超

10%，支持

10萬卡級的線性擴展能力。阿里云

CPFS產(chǎn)品的并行文件系統(tǒng)集群級吞

吐達20TB/s，滿足AI算力指數(shù)級擴展需求。●

平臺層優(yōu)化實現(xiàn)算力資源的極致利用。

阿里云大模型平臺能夠?qū)崿F(xiàn)萬卡級彈性調(diào)度，AI算力有效利用率超96%，可穩(wěn)定運行千卡任務(wù)

5周以上。DeepGPU增強工具

包在LLM微調(diào)場景實現(xiàn)80%性能躍升，視覺生成任務(wù)推理效率提高

60%。通過全棧

優(yōu)化，阿里云AI基礎(chǔ)設(shè)施的模型算力利用率提升20%

以上，在

MLPerf基準(zhǔn)測試中

取得顯存優(yōu)化領(lǐng)先成績。2.3.2技術(shù)創(chuàng)新的彈性低成本●

技術(shù)創(chuàng)新顯著降低單位算力成本。

阿里云通過Nvlink互聯(lián)優(yōu)化降低通信開銷，CIPU2.0

的50GB/s存儲吞吐與97%能效比超鈦金電源設(shè)計，使單位算力能耗成本顯著下降。阿里云大模型平臺的彈性調(diào)度系統(tǒng)實現(xiàn)訓(xùn)練推理資源復(fù)用，與

ECS

GPU實例的深度優(yōu)化形成“云+AI”一體化降本閉環(huán)，模型訓(xùn)練綜合成本降幅最高達85%?！?/p>

商業(yè)模式創(chuàng)新加速AI技術(shù)普惠化。通義千問模型價格持續(xù)下降，配合多款開源模型構(gòu)建開放生態(tài)。阿里云百煉平臺集成上百款大模型

API，支持

serverless

化計費模式，

實現(xiàn)一鍵開通、按需分配。這套體系已支撐電商、自動駕駛等場景實現(xiàn)萬億參數(shù)模型

的高效部署，使中小企業(yè)能夠以更低門檻獲取頂尖AI能力。40

41SECURE

&2.3從高性能到低成本的全面優(yōu)化阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPER阿里云的企業(yè)級AI基礎(chǔ)設(shè)施TRUSTWORTHY

MaaS安全可信的MaaS阿里云AI基礎(chǔ)設(shè)施以“云原生防護，全棧多層縱深防御”為核心理念，構(gòu)建了一套覆蓋高可用、高性能、低成本與全棧安全的完整體系。面對AI規(guī)?；l(fā)展帶來的高可用性壓力、安全風(fēng)險、算力瓶頸與成本挑戰(zhàn)，阿里云依托全球領(lǐng)先的云計算技術(shù)，提供包括高性能

GPU集群、智能調(diào)度平臺、彈性計算資源與全方位安全保障在內(nèi)的關(guān)鍵技術(shù)能力。并且做到了安全體系深度融合縱深防御與零信任架構(gòu)，通過DevSecOps實現(xiàn)研發(fā)全流程自動化安全檢測，通過常態(tài)化紅藍對抗演練及外部漏洞懸賞機制，持續(xù)驗證防御有效性；在AI運行環(huán)境層面，提供安全容器、租戶隔離及供應(yīng)鏈安全掃描，保障多租戶數(shù)據(jù)主權(quán)；模型文件支持靜態(tài)加密、訪問控制與操作審計，杜絕泄露風(fēng)險；數(shù)據(jù)傳輸與存儲采用

HTTPS/TLS加密、OSS強制加密策略，并通過機密計算技術(shù)保護計算過程安全。通過全棧的安全建設(shè)，阿里云構(gòu)建了支撐上層AI業(yè)務(wù)安全的完善AI基礎(chǔ)設(shè)施，打造了可信賴的AI發(fā)展底座。42

SECURE

&阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPER43TRUSTWORTHY

MaaS安全可信的MaaS作為人工智能領(lǐng)域的前沿探索者與實踐引領(lǐng)者，通義大模型不斷拓展在技術(shù)架構(gòu)、認(rèn)知能力和治理體系等方面的全方位優(yōu)勢。在技術(shù)架構(gòu)維度，通義打造了“全尺寸”

覆蓋、“快思慢想”兼容的大模型，完美適配輕量級移動終端到超大規(guī)模云服務(wù)的全

場景部署的多樣化場景需求；在認(rèn)知能力建設(shè)方面，通過融合文本、圖像、語音、視頻、代碼等多模態(tài)能力，實現(xiàn)跨模態(tài)深度語義對齊，顯著提升模型在復(fù)雜任務(wù)中的表現(xiàn)力和泛化能力；在安全治理方面,通義構(gòu)建了模型全生命周期安全保障體系，涵蓋

訓(xùn)練數(shù)據(jù)采集、模型訓(xùn)練、模型安全評測、服務(wù)部署與運行，

全面保障模型的“安全、

可靠、可信賴、可用”。46

47大模型在多模態(tài)理解、邏輯推理、多模態(tài)生成等方面的能力持續(xù)增強，推動其在千行百業(yè)中得到廣泛而深入的應(yīng)用。然而，隨著大模型能力的提升，

內(nèi)容合規(guī)性、準(zhǔn)確性

和算法魯棒性等安全性風(fēng)險挑戰(zhàn)也逐漸顯現(xiàn)，影響其在應(yīng)用場景下的可信度與可控性。

在效率層面，大模型參數(shù)規(guī)模越來越大，導(dǎo)致其對計算資源的需求顯著上升。這不僅

增加了訓(xùn)練與推理的成本，也限制了其在邊緣設(shè)備等場景中的部署可行性。SECURE

&構(gòu)建能力與安全兼?zhèn)涞拇竽Ｐ停蔀榱税l(fā)展新質(zhì)生產(chǎn)力的關(guān)鍵所在?！白吭降哪Ｐ汀睉?yīng)當(dāng)具備三大核心特質(zhì)：首先是尺寸的普適性，能夠靈活適配云

/端的全場景部署需求；其次是認(rèn)知的完備性，實現(xiàn)跨模態(tài)、跨領(lǐng)域的深度理解與內(nèi)容創(chuàng)造；最后是安全可靠，確保從研發(fā)到應(yīng)用的全流程安全可控。1.1主要風(fēng)險挑戰(zhàn)1.2核心能力構(gòu)建風(fēng)險現(xiàn)狀及能力構(gòu)建阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPER1TRUSTWORTHY

MaaS安全可信的MaaS模型核心能力構(gòu)建通義多模態(tài)模型具備業(yè)界頂尖能力。視覺語言模型Qwen-VL

在權(quán)威評測中表現(xiàn)出色，能夠精準(zhǔn)識別復(fù)雜場景中的物體，并返回坐標(biāo)信息。視覺生成大模型通義萬相（Wan），

功能覆蓋文生圖、文生視頻、圖生視頻、首尾幀、視頻重繪、視頻編輯等一系列創(chuàng)意

生成。其中，

Wan2.1在權(quán)威評測VBench榜單登頂，超越Sora、Luma等國際競品；

在保持與Wan

2.1相同參數(shù)規(guī)模的前提下，采用

MoE架構(gòu)的Wan

2.2將計算資源消

耗降低了約50%，并在復(fù)雜運動生成、人物交互和美學(xué)表達等方面取得了顯著提升。此外，Qwen2.5-Omni-3B是多模態(tài)全能模型，專為消費級GPU部署設(shè)計，參數(shù)規(guī)模縮減至

30億，可以在計算資源有限的環(huán)境中同時處理文本、圖像、音頻和視頻等模

態(tài)的輸入，并實時生成文本和自然語音，顯著降低了硬件門檻和資源消耗。通義千問（Qwen）構(gòu)建了業(yè)界最完整的全尺寸大模型矩陣。Qwen全面覆蓋從端側(cè)輕量化部署到超大規(guī)模云端推理的多樣化需求。0.6B-14B小尺寸模型通過先進的量

化壓縮和架構(gòu)優(yōu)化技術(shù)，可在移動終端實現(xiàn)高效推理；32B

中尺寸模型采用MoE（混合專家）架構(gòu)，在保持優(yōu)異性能的同時顯著降低推理成本；235B大尺寸模型則通過創(chuàng)新的動態(tài)路由機制和稀疏計算技術(shù)，提供強大的認(rèn)知計算能力。在

7月底最新發(fā)布

的ChatbotArena大模型評測榜上，

Qwen3

MoE模型總分超越Grok4、Claude4、

GPT4.1等頂尖模型，在數(shù)學(xué)、代碼、復(fù)雜提示、長文本檢索和指令遵循等關(guān)鍵能力子

項中摘得全球第一，實現(xiàn)了性能與效率的極致平衡。48

49通義大模型嚴(yán)格遵循GB/T45652《生成式人工智能預(yù)訓(xùn)練和優(yōu)化訓(xùn)練數(shù)據(jù)安全規(guī)范》、GB/T45674《生成式人工智能數(shù)據(jù)標(biāo)注安全規(guī)范》和

GB/T45654《生成式人工智能

服務(wù)安全基本要求》等國家技術(shù)標(biāo)準(zhǔn)要求，創(chuàng)新式構(gòu)建三層防護體系，覆蓋模型研發(fā)

訓(xùn)練、部署應(yīng)用、運行上線全流程，通過內(nèi)置算法安全設(shè)計、模型安全訓(xùn)練、內(nèi)容安

全引擎和推理在線防護，確保大模型技術(shù)可控、內(nèi)容合規(guī)、服務(wù)可靠。通義大模型踐行“以數(shù)據(jù)安全為前提、算法安全為核心、安全訓(xùn)練為支撐、評測閉環(huán)為保障”的理念，構(gòu)建了覆蓋模型研發(fā)全流程的安全治理體系，系統(tǒng)性推進模型內(nèi)生安全能力建設(shè)。在此基礎(chǔ)上，深入開展算法機制機理審核、科技倫理審查等算法安全

實踐，為大模型技術(shù)的高質(zhì)量發(fā)展提供堅實保障。SECURE

&3.1研發(fā)安全：數(shù)據(jù)與算法根基防護，強化內(nèi)生安全能力2.1全尺寸覆蓋的彈性架構(gòu)2.2全模態(tài)融合的認(rèn)知能力通義大模型全生命周期安全實踐全尺寸、全模態(tài)的模型供給阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPER23TRUSTWORTHY

MaaS安全可信的MaaS構(gòu)建合規(guī)的高質(zhì)量訓(xùn)練語料通過嚴(yán)格篩選數(shù)據(jù)源、多層過濾內(nèi)容及規(guī)范標(biāo)注管理，構(gòu)建安全可控的預(yù)訓(xùn)練語料體系。預(yù)訓(xùn)練階段是大模型獲取世界知識的關(guān)鍵環(huán)節(jié)，訓(xùn)練數(shù)據(jù)的質(zhì)量與安全性很大程

度上決定了模型的基礎(chǔ)能力和安全水位。通義大模型嚴(yán)格執(zhí)行語料來源管控、數(shù)據(jù)清

洗和標(biāo)注管理，落實預(yù)訓(xùn)練語料安全管理。

（1）數(shù)據(jù)源篩選：

嚴(yán)格落實GB/T45652對訓(xùn)練數(shù)據(jù)來源審核、來源配比、公網(wǎng)數(shù)據(jù)采集要求、合作數(shù)據(jù)審核開展對照執(zhí)行。一是來源審核，優(yōu)選具備明確開源許可的

數(shù)據(jù)集，不采集已明確不允許采集的數(shù)據(jù)。商業(yè)采購時要求有完備的法律文件支持，比如交易合同及協(xié)議等；二是合理搭配多源數(shù)據(jù)組合，以保障數(shù)據(jù)多樣性；三是建立

有害數(shù)據(jù)源篩選過濾機制，及時動態(tài)增補潛在有害站點。安全設(shè)計內(nèi)嵌于模型研發(fā)流程3.1.1算法安全設(shè)計通過構(gòu)建“算法機制機理審核+科技倫理審查”雙輪驅(qū)動體系，確保算法安全設(shè)計內(nèi)嵌到模型研發(fā)設(shè)計。一是在機制機理審核方面，覆蓋立項、設(shè)計開發(fā)、測試上線、運

行監(jiān)控及運維變更五大階段，審查算法目標(biāo)合規(guī)性、數(shù)據(jù)質(zhì)量、邏輯合理性及變更可

追溯性。二是遵循科技倫理準(zhǔn)則，建立和完善科技倫理審查機制。通過建立跨部門科

技倫理審查委員會，構(gòu)建評估框架，

審查價值觀對齊、數(shù)據(jù)偏見消除、決策透明度等關(guān)鍵維度，將“以人為本、普惠正直、安全可靠、隱私保護、可信可控、開放共治”的好科技六項治理原則嵌入模型研發(fā)設(shè)計。50

51SECURE

&3.1.2模型訓(xùn)練

（一）預(yù)訓(xùn)練（Pre-Training）：阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPERTRUSTWORTHY

MaaS安全可信的MaaS

（2）訓(xùn)練數(shù)據(jù)過濾：嚴(yán)格落實GB/T45652關(guān)于數(shù)據(jù)預(yù)處理的要求，借助規(guī)則過濾、模型過濾和人工采樣過濾等方式，對采集后的訓(xùn)練數(shù)據(jù)開展清洗，剔除涉及違法違規(guī)、

暴力、色情、仇恨言論、虛假信息及不良價值觀等內(nèi)容，去除侵權(quán)數(shù)據(jù)和個人隱私數(shù)

據(jù)等。同時，對數(shù)據(jù)預(yù)處理活動進行安全評價，確保預(yù)處理結(jié)果符合標(biāo)準(zhǔn)要求。

（3）數(shù)據(jù)標(biāo)注安全管理：遵守GB/T45652標(biāo)準(zhǔn)要求，區(qū)分功能性標(biāo)注及安全性標(biāo)注，對于標(biāo)注數(shù)據(jù)的安全管理，嚴(yán)格落實標(biāo)注規(guī)則、人員管理、標(biāo)注核驗和安全評價機制。

一是針對標(biāo)注數(shù)據(jù)制定詳細的標(biāo)注規(guī)則，完善分類標(biāo)準(zhǔn)；二是加強培訓(xùn)，增強標(biāo)注人

員對各領(lǐng)域?qū)I(yè)知識的理解，從而提升數(shù)據(jù)標(biāo)注的質(zhì)量；三是進行驗證和修正，檢查

標(biāo)注結(jié)果的準(zhǔn)確性和一致性，修正錯誤或遺漏，防止有害內(nèi)容混入訓(xùn)練數(shù)據(jù)，為訓(xùn)練

安全合規(guī)的大模型奠定堅實的基礎(chǔ)。

（二）后訓(xùn)練（Post-Training）：大模型后訓(xùn)練是指預(yù)訓(xùn)練完成之后的所有訓(xùn)練策略，主要目標(biāo)之一是對齊人類價值觀，這是增強模型安全性的最佳時機。后訓(xùn)練一般包含SFT（Supervised

FineTuning，

有監(jiān)督微調(diào)）、DPO（DirectPreferenceOptimization，直接偏好優(yōu)化）或者GRPO（Group

Relative

Policy

Optimization，組相關(guān)策略優(yōu)化）等階段

，需要針對評測中發(fā)現(xiàn)的風(fēng)

險進行分析，根據(jù)其特點實施定向安全加固。

（1）SFT安全訓(xùn)練：目的是通過有監(jiān)督訓(xùn)練，讓模型學(xué)習(xí)對風(fēng)險指令的識別并作出安全得體的回復(fù)。內(nèi)容安全涉及很多風(fēng)險知識點，這些知識點是先驗的，往往無法根

據(jù)原則、理念推導(dǎo)獲得，模型需要掌握其概念和具體事實后再建立價值判斷。SFT安

全語料格式為<風(fēng)險指令，安全回復(fù)>，其制作流程如下：●構(gòu)建全面的“風(fēng)險指令”1）構(gòu)建全類型指令：按照GB/T45654《生成式人工智能服務(wù)安全基本要求》中定義的31類安全風(fēng)險，構(gòu)建與之相對應(yīng)的風(fēng)險指令。2）構(gòu)建全攻擊指令：在各類型風(fēng)險指令基礎(chǔ)上擴展多樣化的攻擊手段，比如：角色扮演、指令注入、越獄攻擊、任務(wù)轉(zhuǎn)換攻擊、systemprompt攻擊等?！裰谱魍晟频摹鞍踩貜?fù)”1）內(nèi)容合規(guī)：基本要求是遵守法律法規(guī)和強制性技術(shù)標(biāo)準(zhǔn)。2）負(fù)責(zé)任的價值觀導(dǎo)向：

還需要考慮倫理道德和正向引導(dǎo)，比如對于危險指令拒絕

執(zhí)行，然后勸導(dǎo)用戶采取正向的行為，對于用戶的情感求助提供安撫等。52

53SECURE

&阿里云百煉安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPERTRUSTWORTHY

MaaS安全可信的MaaSSFT安全訓(xùn)練對于視覺理解大模型、視覺生成大模型，由于輸入輸出模態(tài)不一樣，需要提供不同形式的安全語料。以視覺理解大模型為例，輸入可以是文本、圖片的多種組合，風(fēng)險指令可能出現(xiàn)在文本、圖片的任意位置。所以安全語料要考慮各種風(fēng)險的組合輸入，比

如<風(fēng)險指令，風(fēng)險圖片>、<風(fēng)險指令，正常圖片>、<正常指令，風(fēng)險圖片>等；

還需要考慮圖像變換，圖像拼接、風(fēng)險指令嵌入圖片等各種對抗場景。

（2）DPO安全訓(xùn)練：相比SFT，DPO安全訓(xùn)練并不僅僅是學(xué)習(xí)安全回復(fù)中的知識點，還學(xué)習(xí)了安全回復(fù)和不安全回復(fù)之間的區(qū)別，一定程度上避免模型僅對齊到了token

而非概念層面的“淺對齊”現(xiàn)象，有效地提升了泛化性?！馜PO

訓(xùn)練原理：數(shù)據(jù)通常采用三元組結(jié)構(gòu)，即

<

風(fēng)險指令、安全回復(fù)、不安全回復(fù)

>。通過梯度優(yōu)化的訓(xùn)練策略，最大化模型輸出“安全回復(fù)”的概率，最小化輸出“不安

全回復(fù)”的概率，從而使得模型在相同輸入下更傾向于生成“安全回復(fù)”?！?/p>

DPO安全訓(xùn)練數(shù)據(jù)制作：相比較SFT安全數(shù)據(jù)，需要增加“不安全回復(fù)”。為了讓模型真正學(xué)會“安全回復(fù)”、“不安全回復(fù)”在語義上的差異，而不是根據(jù)文本長度、結(jié)構(gòu)、語言風(fēng)格等表面特征去猜測，通義大模型保證二者在長度、結(jié)構(gòu)、行文風(fēng)格上都是接近的，只是在關(guān)鍵的信息上有差異。對于視覺生成大模型，其

DPO安全

語料則為<風(fēng)險指令、安全圖片、不安全圖片>?！?/p>

GRPO訓(xùn)練原理：GRPO是基于組內(nèi)回復(fù)比較的強化學(xué)習(xí)算法，核心思想是讓模型對用戶指令生成一組回復(fù)。獎勵模型（Reward

Model,

RM）基于離線收集的人類偏

好數(shù)據(jù)訓(xùn)練而成，用于對每個回復(fù)的質(zhì)量進行打分并計算每個得分相比平均分的優(yōu)勢

值。通過獎勵模型，

GRPO讓模型聚焦于質(zhì)量得分更好的回復(fù)，從而學(xué)會此類指令的

最優(yōu)回復(fù)。GRPO通過提高最優(yōu)解的采樣概率，提升了模型準(zhǔn)確性和魯棒性。需要指54

SECURE

&DPO安全訓(xùn)練

（3）GRPO安全訓(xùn)練：相比較DPO訓(xùn)練，GRPO

因其在人類偏好對齊上具備高效性與穩(wěn)定性，目前得到了更廣泛的采用。阿里云百煉安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPER55TRUSTWORTHY

MaaS安全可信的MaaS

（4）更多安全實踐：

通義大模型還探索并落地了更多維度的安全增強策略，進一步提升模型在復(fù)雜場景下的安全性?！裢评砟Ｐ桶踩裕和评砟Ｐ停≧easoningModel）通過引入“思考過程”來增強模型在邏輯推理問題上的準(zhǔn)確性和可解釋性，

已被廣泛應(yīng)用于各類大模型中。然而，

由

于思考過程具有發(fā)散性和探索性，在回答風(fēng)險提問時可能產(chǎn)生不安全內(nèi)容。應(yīng)對這一

挑戰(zhàn)的方式是構(gòu)建帶思考過程的安全語料庫

：思考過程本身避免不安全的假設(shè)和推演，并在面對惡意指令時，主動思考問題的意圖并制定安全的回復(fù)策略。該方法有效

保證了推理模型的安全性，抵御了思考過程被惡意濫用的風(fēng)險?！?/p>

小語種安全性：

隨著大模型的小語種能力不斷提升，安全語料生產(chǎn)從中英文拓展至多語言。具體做法包括：一是制作所有語言通用價值觀的安全語料；二是結(jié)合目標(biāo)

語言國家的文化背景、宗教信仰、社會習(xí)俗等要素，制作符合本地價值觀的安全語料。

通過這種方式，確保模型在面對不同語言用戶時，能夠兼顧文化敏感性與內(nèi)容安全性，

避免因語義偏差或文化誤解引發(fā)安全事件。出的是，如果模型缺乏特定風(fēng)險點的知識，仍然需要通過SFT/DPO

的方式來補充先驗知識。●GRPO安全訓(xùn)練策略

:首先改進GRPO

中的獎勵模型，不僅對模型回復(fù)的有用性、相關(guān)性、簡潔性進行打分，還對回復(fù)是否安全、是否包含正向引導(dǎo)進行評估，避免模

型因追求高有用性得分而產(chǎn)生有害內(nèi)容。同時，在

GRPO

的訓(xùn)練數(shù)據(jù)中還需要增加各

種風(fēng)險類型、各種對抗攻擊指令。56

57SECURE

&阿里云百煉

安全白皮書ALIBABA

CLOUD

MODEL

STUDIO

SECURITY

WHITE

PAPERTRUSTWORTHY

MaaS安全可信的MaaSGRPO安全訓(xùn)練分發(fā)現(xiàn)風(fēng)險隱患，指導(dǎo)模型優(yōu)化?！?/p>

上線評測：大模型上線前從多維度進行安全評測，

比如國家技術(shù)標(biāo)準(zhǔn)定義的各種風(fēng)險類型、各種攻擊手段、各種語言。安全評測結(jié)果作為模型是否具備上線條件的核

心判斷條件?！?/p>

持續(xù)迭代：及時跟進大模型技術(shù)演進趨勢、法規(guī)和技術(shù)標(biāo)準(zhǔn)、新型安全威脅，不

斷更新評測題庫、增加新的攻擊指令?！?/p>

評測閉環(huán)：對于發(fā)現(xiàn)的薄弱點與風(fēng)險隱患，輸出詳細的安全分析報告，并聯(lián)合模

型團隊制定有針對性的優(yōu)化方案，完成從問題發(fā)現(xiàn)、方案制定、效果驗證到安全能力

（一）標(biāo)準(zhǔn)問答庫針對必須回答且不能答錯的提問，為避免模型回答不準(zhǔn)確、幻覺等風(fēng)險，公司建立了標(biāo)準(zhǔn)問答庫。當(dāng)用戶提問內(nèi)容匹配到標(biāo)準(zhǔn)問答庫中的問題，就直接給予標(biāo)準(zhǔn)回答，保

障正確性。

（二）全模態(tài)風(fēng)險識別能力內(nèi)容安全引擎覆蓋全模態(tài)和全風(fēng)險類型，對模型輸入輸出，支持流式

/非流式輸出模式下的防控。識別能力方面，文本模態(tài)包括文本分類算法、文本相似算法和關(guān)鍵詞匹

配等技術(shù)；圖片和視頻模態(tài)包括圖像分類識別、圖像文字識別技術(shù)、圖像比對識別、阿里云構(gòu)建了多層次的防護體系，實現(xiàn)對違法不良信息、網(wǎng)絡(luò)攻擊等風(fēng)險的主動防控，以及按照法規(guī)對生成內(nèi)容添加標(biāo)識，確保模型服務(wù)安全、可控、可追溯。3.2.1

內(nèi)容安全護欄大模型內(nèi)容安全防護是貫穿“輸入—推理—輸出”全鏈路的系統(tǒng)性工程。通義大模型內(nèi)容安全引擎基于GB/T45654風(fēng)險標(biāo)簽體系，覆蓋全鏈路、全模態(tài)和全風(fēng)險類型。58

59SECURE

&模型安全評測通義大模型嚴(yán)格執(zhí)行國家技術(shù)標(biāo)準(zhǔn)GB/T45654相關(guān)要求，開展體系化安全評測，充此外，通義實驗室開源了“C