2025年9月16日，第22届中国网络安全年会期间，国内首次针对AI大模型的实网众测结果正式发布。这场由中央网信办指导、国家计算机网络应急技术处理协调中心主办的行动，动员了559名“白帽子”黑客，对15款主流大模型及应用产品展开实战化安全检验，共发现281个安全漏洞，其中60%为大模型特有风险。此次测试不仅暴露了AI安全领域的薄弱环节，更通过“众测共治”模式为产业安全发展提供了新思路。

一、测试全景：覆盖全链条，代表性强

本次测试对象涵盖腾讯混元、百度文心一言、阿里通义、智谱清言等10家厂商的15款产品，既包括通用大模型，也涉及医疗、金融等垂域模型，以及智能体、开发平台等衍生应用。从单模态到多模态，从基础架构到上层服务，测试范围几乎覆盖AI大模型全产业链。这种“全链条”设计，确保了结果能真实反映行业整体安全水平。

测试方法上，主办方模拟真实攻击环境，要求白帽子在厂商现有防护体系下挖掘漏洞。这种“带防护测试”更接近实际攻击场景，对模型的安全韧性提出了更高要求。数据显示，559名参与者中既有来自网安企业的专业人员，也有高校师生和社会安全爱好者，形成了“产学研用”协同的测试生态。

二、核心发现：传统与新兴风险交织

1. 头部模型防护领先，但风险分布不均

腾讯、百度、阿里等企业的产品漏洞数量较少，显示出头部企业在安全投入上的优势。例如，混元大模型通过动态加密和访问控制机制，有效降低了信息泄露风险；文心一言则采用对抗训练技术，显著提升了对抗提示注入攻击的能力。然而，部分中小厂商的产品仍存在基础安全配置缺失问题，如未对API接口进行权限校验，导致高危漏洞频发。

2. 新兴漏洞占比超六成，治理难度升级

测试发现的177个大模型特有漏洞中，不当输出类漏洞危害最为严重。攻击者可通过精心设计的输入，诱导模型生成违法、暴力或误导性内容，对用户权益和社会稳定构成威胁。提示注入攻击则成为最普遍的漏洞类型，占比达42%。此类漏洞利用模型对输入的过度信任，通过注入恶意指令实现越权访问或数据窃取。此外，无限制消耗攻击（如通过恶意请求耗尽模型算力）的防护措施普遍薄弱，反映出行业对资源安全重视不足。

3. 传统漏洞“旧疾”未愈

尽管AI安全备受关注，但SQL注入、跨站脚本（XSS）等传统漏洞仍广泛存在。某金融垂域模型因未对用户输入进行过滤，导致攻击者可直接读取数据库敏感信息；另一款开发平台则因未启用HTTPS加密，造成用户数据在传输过程中被截获。这些漏洞表明，部分厂商在追求技术创新的同时，忽视了基础安全防护。

三、共治路径：标准引领，生态协同

面对AI安全挑战，测试主办方提出四大应对方向：

强化技术防护：推动企业采用零信任架构、隐私计算等技术，构建“防御-检测-响应”闭环体系。例如，通过模型水印技术追踪不当输出来源，或利用联邦学习实现数据“可用不可见”。完善标准体系：加快制定AI漏洞分类分级标准，针对不同场景（如医疗、自动驾驶）划分风险等级。参考ISO/IEC 27001框架，建立覆盖数据、算法、算力的全维度安全评估指标。扩大众测参与：借鉴本次经验，建立常态化众测平台，吸引更多社会力量参与安全治理。可探索“漏洞悬赏”机制，对发现高危漏洞的白帽子给予物质奖励和荣誉认证。注重内生安全：将安全理念融入AI系统全生命周期，从数据采集阶段就实施脱敏处理，在模型训练中引入对抗样本增强鲁棒性，并在部署环节部署实时监控系统。

此次众测犹如一面镜子，既照见了AI安全领域的短板，也映射出产业共治的潜力。随着“人工智能+”加速渗透千行百业，安全已不再是单一企业的责任，而是需要政府、企业、技术社区协同构建的“免疫系统”。唯有以高质量安全护航技术创新，才能让AI真正成为推动社会进步的普惠力量。