你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

人工智能 (AI) 共担责任模型

在考虑和评估启用 AI 的集成时，必须了解共担责任模型、由 AI 平台或应用程序提供商处理的任务，以及由你处理的任务。 工作负荷责任因各种因素而异，具体取决于 AI 集成是基于软件即服务 (SaaS) 上、平台即服务 (PaaS) 上，还是基础结构即服务 (IaaS) 上。

责任划分

与云服务一样，在为组织实施 AI 功能时，您也有多种选择。 根据你选择的选项，你将负责安全使用 AI 所需的必要操作和政策的不同部分。

下图说明了你和 Microsoft 之间的责任区域，具体取决于部署类型。

AI 层概述

启用 AI 的应用程序由三个功能层组成，这些层将任务组合在一起，由你或 AI 提供程序执行。 安全责任一般由执行任务的人承担，但人工智能提供商可能会选择将安全或其他控制作为配置选项，酌情提供给你。 这三个层包括：

所有平台

AI 平台层为应用程序提供 AI 功能。 在平台层，需要构建和保护运行人工智能模型的基础设施、训练数据以及改变模型行为的特定配置，如权重和偏差。 此层通过 API 提供对功能的访问权限，这些 API 将称为 Metaprompt 的文本传递给 AI 模型进行处理，然后返回生成的结果，这种结果称为提示-响应。

AI 平台安全注意事项 - 为了保护 AI 平台免受恶意输入的影响，必须构建安全系统来筛除掉发送到 AI 模型的潜在有害指令（输入）。 由于 AI 模型为生成式，因此也有可能生成一些有害内容并返回给用户（输出）。 任何安全系统都必须首先防止潜在的有害输入和输出，包括仇恨、越狱等多种分类。 随着时间的推移，这些分类可能会根据模型知识、区域设置和行业而发生变化。

Microsoft 为 PaaS 和 SaaS 产品/服务提供内置安全系统：

• PaaS - Azure OpenAI 服务
• SaaS - Microsoft Security Copilot

AI 应用程序

AI 应用程序访问 AI 功能，并提供用户使用的服务或界面。 此层中的组件各可能有相对简单的，也有高度复杂的，具体取决于应用程序。 最简单的独立 AI 应用程序充当一组 API 的接口，这些 API 采用基于文本的用户提示并将该数据传递给模型以获取响应。 较为复杂的 AI 应用程序包括为用户提示提供额外上下文的能力，包括持久层、语义索引，或通过插件允许访问更多数据源。 高级 AI 应用程序还可以与现有应用程序和系统进行交互。 现有应用程序和系统可以跨文本、音频和图像来生成各种类型的内容。

AI 应用程序安全注意事项 - 必须构建应用程序安全系统，以保护 AI 应用程序免受恶意活动的影响。 安全系统对发送给 AI 模型的 Metaprompt 中使用的内容进行深度检查。 安全系统还会检查与任何插件、数据连接器和其他 AI 应用程序的交互（称为 AI 业务流程）。 在自己的基于 IaaS/PaaS 的 AI 应用程序中整合此功能的一种方法是，使用 Azure AI 内容安全服务。 还可根据您的需求提供其他功能。

AI 使用

AI 使用层描述 AI 功能最终的使用和消费方式。 生成式 AI 提供了一种新型的用户/计算机界面，与其他计算机界面（如 API、命令提示符和图形用户界面 (GUI)）有着本质区别。 生成式 AI 接口既是交互式的，也是动态的，使计算机功能能够适应用户及其意图。 生成式 AI 接口与以前的接口形成鲜明对比，以前的接口主要强制用户了解系统设计和功能并对其进行调整。 这种交互性使用户输入（而不是应用程序设计者）能够对系统的输出产生很大的影响，从而使防护措施成为保护人员、数据和业务资产的关键。

AI 使用情况安全注意事项 - 保护 AI 的使用与任何计算机系统类似，因为它依赖于身份验证和访问控制、设备保护和监视、数据保护和治理、管理控制和其他控件的安全保证。

由于用户对系统输出的影响越来越大，因此需要更加重视用户行为和责任。 关键是要更新可接受的使用政策，并让用户了解标准 IT 应用程序与启用了 AI 的应用程序之间的区别。 其中应包括与安全、隐私和道德相关的 AI 具体注意事项。 此外，还应让用户了解基于 AI 的攻击，这些攻击可以利用令人信服的虚假文本、声音、视频等来欺骗用户。

AI 的具体攻击类型在以下文件中定义：

• 微软安全响应中心 (MSRC) 针对 AI 系统的漏洞严重性分类
• MITRE 人工智能系统 (ATLAS) 的对抗性威胁态势
• 大型语言模型 (LLM) 应用程序的 OWASP 前十名
• OWASP 机器学习 (ML) 安全性前十名
• NIST AI 风险管理框架

安全生命周期

与其他类型的功能的安全性一样，规划一个完整的方法至关重要。 完整的方法包括贯穿整个安全生命周期的人员、流程和技术：识别、保护、检测、响应、恢复和治理。 在这一生命周期中，任何缺口或薄弱环节都可能对你造成影响：

• 无法保护重要资产
• 遭受容易预防的攻击
• 无法处理攻击
• 无法快速恢复业务关键服务
• 不一致地应用控制措施

若要进一步了解 AI 威胁测试的独特性，请阅读 Microsoft AI 红队如何打造更安全的人工智能未来。

先配置后自定义

Microsoft 建议组织从基于 SaaS 的方法（如 Copilot 模型）开始，以便他们最初采用 AI 以及所有后续 AI 工作负载。 这将最大限度地减少组织为设计、运行和保护这些高度复杂的能力而必须提供的责任和专业知识水平。

如果当前的“现成”功能不符合工作负荷的特定需求，则可以使用 AI 服务（如 Azure OpenAI 服务）采用 PaaS 模型来满足这些特定要求。

只有在数据科学以及 AI 的安全、隐私和道德方面具有深厚专业知识的组织，才能采用定制模型构建。

为了帮助将 AI 推向世界，Microsoft 正在针对每个主要生产力解决方案（从必应和 Windows 到 GitHub 和 Office 365）开发 Copilot 解决方案。 Microsoft 正在为所有类型的生产力场景开发全栈解决方案。 这些解决方案以 SaaS 解决方案的形式提供。 这些功能内置于产品的用户界面，可帮助用户完成特定任务，从而提高工作效率。

微软确保每个 Copilot 解决方案的设计都遵循我们在 AI 治理方面的严格原则。

后续步骤

在 Microsoft 负责任的 AI 标准中详细了解 Microsoft 针对负责任的 AI 的产品开发要求。

了解云计算的共担责任。