Claude Code砸的坑,蚂蚁安全在尝试填上
创始人
2026-07-12 20:58:46

鹭羽 发自 凹非寺

量子位 | 公众号 QbitAI

2026年,AI安全终于被推到了台前。

就在前两天,工信部NVDB平台发布风险预警,明确指出Claude Code 存在安全后门隐患,可在用户不知情的情况下收集敏感信息。

时间线拨回更早,年初红遍全网的OpenClaw也屡屡被曝出高危险漏洞。

从横空出世到快速普及,再到漏洞频发、信任受损,这几乎是当前Agent产品共同的发展轨迹。

现在的AI能力是越来越大了,但闯出的祸也跟滚雪球似的。

滥用工具、恶意代码生成、提示注入等诸如此类的行为风险,早已不是一两个补丁就能彻底解决的。

图片由AI生成

面对新的风险形态,一个越来越明显的趋势是,行业开始把注意力从“漏洞修补”转向“安全框架”本身。

最近蚂蚁开源的SingGuard-NSFASingGuard,就是其中比较值得关注的一次尝试。

前者看住智能体的行为,后者看住多模态大模型的感知。

其目的也很明确,就是在AI动手之前,将安全风险扼杀在摇篮之中。

之所以聊到这个项目,也是因为它的背景比较有意思。做这个框架的团队来自蚂蚁,一家在安全领域拥有长期积累的公司。

先是支付安全、风控体系,再到如今的AI安全,安全能力在这家公司内部本身就是一条持续演进的技术路径。

AI安全,正在换一套打法

其实OpenClaw也好,Claude Code也罢,它们的背后都指向同一个事实:风险的源头,已经从内容变成了行为本身。

过去做AI安全,本质还是互联网时代的那套打法,只需要紧盯模型输出完成内容审核即可。

但大模型早就不满足于聊天了,调工具、跑代码,它的手越伸越长,能触及的风险自然也越来越多。

光盯着模型说什么,显然不够,现在真正的问题是还要看模型做了什么

偏偏这一块,是传统内容安全分类体系无法企及的盲区。

在此基础之上,多模态也来横插一脚。现在风险不止于文本,还可能藏在图像细节、图文组合,甚至模型自己的响应中。

更棘手的是,不同业务的安全红线也在持续动态变化,昨天合规,今天换个场景就可能踩线。

已知风险平时靠打打补丁还能勉强应付,所谓兵来将挡水来土掩,那么未知风险和不断变化的规则又如何解决呢?

所以答案很清晰了,单靠打补丁抑制风险是治标不治本,行业缺的不是一个又一个补丁,归根结底是一套能定义安全边界、应对未知风险和规则变动的底层框架

两套框架,一个方向

蚂蚁安全最近开源的两大安全框架,就是冲着这个底层问题来的。

先看面向智能体安全的双模推理护栏框架SingGuard-NSFA,包括0.8B、2B、4B、9B四个尺寸。

它的核心思想是把安全检查前置到智能体执行之前,然后在请求拦截和响应兜底两端同时设卡,共同发力把防线从文本合规推进到行为安全。

支撑起这个判断的,是一套系统性的NSFA风险分类体系多语种评测基准

蚂蚁以经典的CIA三元组,也就是机密性、完整性、可用性为理论底座,再结合三份OWASP大模型与智能体安全指南的实践经验,把智能体可能出现的风险依次拆解排列。

然后借助SFT生成式推理与判别式分类头,两种模式同步进行风险拦截:

  • 生成式模式:逐条输出基于NSFA定义的链式推理分析,让每一步判断都有据可查,适用于离线合规审计;
  • 判别式模式:每次前向传播就直接给出各风险域的置信度,延迟可以压到45~57ms,可用于高吞吐的实时在线拦截。

这里还有个讨巧的设计,由于骨干网络是冻结的,真正下判断的是外挂在上面的轻量分类头,所以以后一旦冒出新风险,只需要补训一个小头就行,轻松实现原生可扩展。

换言之,这套架构还能当插件用,比如给Llama Guard 3额外增加一个分类头,用户请求安全基准的F1值直接提升17.6个百分点。

从整体效果来看,SingGuard-NSFA在3大评测基准(用户请求安全、模型响应安全、跨数据集泛化)上均取得SOTA,最小的0.8B模型就能比肩8B竞品,9B大小更是在泛化上达到91.29% F1,精度与召回更加均衡。

另一个开源框架则是面向多模态大模型的SingGuard,同样包括0.8B、2B、4B、8B四个尺寸。

它最大的特点,是把安全规则做成了运行时输入。不同业务域可以现场下发各自的红线,模型据此逐条判定。

也就是说,它回答的不只是有没有风险,也包括是否违反当前防控规则。

推理侧同样讲究快慢分工,快思考负责低延迟秒判,慢思考负责逐规则深度推理,两者之间还能通过early exit自动切换,在效率和准确性之间寻找平衡。

针对线上多条规则并行审核的效率瓶颈,蚂蚁还提出了RI-Mask,让共享的图文上下文只编码一次,多条规则并行判断,这样多模态推理最高可提速5倍以上。

显然,SingGuard-NSFA和SingGuard这两个框架各自面向的对象有所不同,一个更关注AI行为,另一个更关注AI感知,但它们的底色是一致的,都强调过程可解释新增风险可扩展

具体触犯了哪条规则、依据是什么,审核和追溯都拿得出理由,不是黑箱操作或简单下结论;新增风险都仅需轻量扩展,不影响已有的检测能力。

如果说很多安全产品解决的是具体问题,那么这一类框架更像是在定义未来智能体运行所依赖的安全基础设施。

再把时间线拉长来看,这次开源其实不是孤立事件。

今年早些时候,在全网关注OpenClaw漏洞的同时,蚂蚁AI安全实验室就曾发现多个高危漏洞并协助官方完成修复。

随后,蚂蚁与清华大学联合开源了ClawAegis,为智能体提供了一套覆盖产品全生命周期的安全方案。

再到最新的安全框架开源,这条脉络其实相当清晰:从漏洞挖掘到场景化解法,再到可复用的底层框架。

显然蚂蚁在AI安全上的布局,是在逐步收束成体系。

前不久,蚂蚁智能体安全产品还通过了信通院泰尔实验室的最高等级评级。这类第三方认证,至少也说明在工程落地上,蚂蚁确实走在了前面。

可以说,靠补丁续命的时代已经过去了,行业需要有人往前一步,去定义风险的边界,去搭建一套大家都能稳稳站上去的底座。

Claude Code、OpenClaw带来的讨论,某种程度上只是开始。随着Agent越来越深入办公、开发和生活场景,AI安全也将进入新的阶段。

相比不断追赶漏洞,如何建立一套能够持续适应风险变化的安全基础设施,或许才是整个行业下一步真正需要解决的问题。

从这个角度再回头看最近的这些开源动作,它们真正值得关注的,不只是性能指标,而是开始尝试回答一个更底层的问题:

AI时代的安全边界,究竟应该如何定义。

相关内容

热门资讯

今年福州中招切线及六区分数段统... 今年福州中招切线及六区分数段统计表公布市区第一、二条投档线分别为755分、729.5分7月12日,福...
中华人民共和国外交部关于有关国... 关于美国、菲律宾、澳大利亚、加拿大、爱沙尼亚、德国、意大利、日本、拉脱维亚、立陶宛、新西兰、罗马尼亚...
渔博会溢出效应持续显现 福州金... 2026渔业周·渔博会上,福州金鱼文创产品成为展馆里的一匹“黑马”,吸引众多市民游客争相购买。渔博会...
发现落巢小鸟怎么办?看这篇就懂... 福州新闻网7月12日讯(记者 石磊磊 文/摄)受台风“巴威”影响,市区公园一些小生灵遇到风雨威胁,福...
海康威视中标:中信银行南阳分行... 证券之星消息,根据天眼查APP-财产线索数据整理,根据中信银行股份有限公司郑州分行7月9日发布的《中...
周知~暴雨天实用防护指南 近期多地迎来持续性强降雨,遇到暴雨如何应对?实用干货请收好!①密切关注气象预警,暴雨红色预警尽量减少...
广东海事局结束防热带气旋应急响... 人民财讯7月12日电,根据《广东海事局防热带气旋应急预案》《广东海事局防汛应急预案》等有关规定,广东...
杭州上城区防台风应急响应调整为... 杭州市上城区人民政府防汛防台抗旱(防低温雨雪冰冻)指挥部7月12日宣布,根据《杭州市上城区防汛防台抗...
济南一八旬老人走失5天,救援队... 济南近日持续高温,一位八旬老人已走失整整五日,寻人启事发布后牵动众多市民心弦。自老人走失后,多方救援...
河水暴涨道路被淹 “巴威”过境... 本文转自【央视新闻客户端】; 浙江温州市洞头区是温州市唯一的海岛区,地处玉环市正南方向。昨日强风给这...
浙江杭州一居民楼受台风影响,窗... 7月12日凌晨4时29分,杭州市滨江区浦沿街道接到一起因台风来袭,一居民楼内一扇窗户被大风吹开,悬在...
两区消防合作联合排水,次渠南地... 7月12日上午,北京通州区地铁次渠南站因强降雨导致站内通道及站外道路出现严重积水,影响市民出行。西城...
青岛市北交管提示:台风暴雨天气... 据气象部门预报,今年第9号台风“巴威”即将影响岛城,预计将给青岛市带来较强风雨,其外围云系从12日白...
应急响应提升、人员转移 河北多... 中新网石家庄7月12日电(记者 陈林)河北省气象台升级发布暴雨红色预警信号,承德、唐山防汛三级应急响...
海南“水上安全知识云课堂”护航... 7月12日,由海南海事局、中共海南省委宣传部、省教育厅联合举办的2026年“水上安全知识云课堂”正式...
最高39℃!河南多地发布高温预... 7月12日,记者从河南省气象台了解到,今天全省偏北风2到3级,逐渐加大到4级左右,北部、中东部、南部...
暴雨天气下如何避险,消防员手把... 当前正值汛期,持续遭遇强降雨天气易引发洪涝、内涝等灾害,群众生命财产安全受到较大威胁。视频中,消防员...