日新月異的AI技術，猶如達摩克里斯之劍，不僅帶來機遇，更有挑戰和風險。

今年5月，AI詐騙在全國爆發的話題沖上熱搜第一，引發網友熱議。湖北網警巡查執法稱，AI技術正在改變詐騙，某些新騙局詐騙成功率接近100%。

騰訊安全副總裁、玄武實驗室負責人于旸

在金融行業，如何以AI對抗AI，最終在AI時代的攻防對抗中取勝？12月6日，2024首屆騰訊云金融安全峰會上，騰訊安全副總裁、玄武實驗室負責人于旸表示，隨著大模型技術被黑灰產惡意使用，金融行業面臨更“定制化、針對性”的安全威脅。但與此同時，大模型技術也可提升安全人員在漏洞挖掘、滲透分析等方面的效率。

“安全運營不是新的需求，并非依靠AI能實現0到1的提升，在細分領域需要慢慢積累行業性的沉淀，數據的準備、對接、場景的顆粒度細化將實現步步推進，不斷達成進步。”騰訊安全副總經理、科恩實驗室專家聶森告訴澎湃新聞記者，以AI對抗AI是金融行業保障安全的必經之路，攻防雙方只有在同一起跑線，才能達到“勢均力敵”的效果。

硬幣的兩面：AI的機遇和挑戰

說起AI帶來的金融風險，在2024年世界互聯網大會烏鎮峰會上，業內人士曾將AI帶來的安全危機總結為“三化”，即黑箱化、黑產化、武器化。黑產化強調了深度偽造的危害。在AI的加持下，深度偽造越來越貼近真實，無論是公眾還是企業，都很難逃脫深偽詐騙的陷阱。

黑箱化指的是在生成AI大模型的過程中存在黑箱，模糊了攻擊者可能采取的具體破壞手段，從而導致有害內容及錯誤信息的泛濫。

武器化指的是人工智能可以生成惡意軟件、釣魚郵件，也可以快速發現目標系統中的漏洞，大幅降低網絡攻擊門檻，讓不懂代碼、不懂技術的普通人也能成為黑客，使攻擊數量大幅增加。

不過，在業內人士看來，AI帶來的更多是幫助，既能用推理能力應對繁重工作，也能通過其潛力提高決策的智能化。

騰訊安全威脅情報產品規劃負責人高睿告訴記者，在AI+威脅情報的實際應用中，效果最為顯著的是降噪功能。從現實來看，降噪的過程相當于將最基礎、每天需要人工重復處理的任務交給了AI，從而解放了人力資源，這樣安全運營人員就能轉向研究更深入、更具挑戰性的安全問題。

此外，AI在安全運營方面還能起到進一步的幫助。騰訊安全提出以AI輔助安全運營，將端側、流量側的數據匯總到“安全湖”，再利用AI大模型技術對“安全湖”進行綜合研判，將威脅和指標、響應相結合，輸出成為自動的指令，從而實現自動化、閉環的響應和處置流程。

AI如何為金融行業賦能

“在我的觀察中，金融機構正在變得越來越有信心，在真正使用國產軟硬件后，發現不僅‘可用’也是‘好用’的，事情越來越靠譜了。”對于AI產品的具體應用，騰訊金融云副總經理王豐輝談到了自己的感受。

他介紹，騰訊安全已經推出騰訊云數據安全審計（DSAudit），通過大模型來保障金融行業的數據合規和安全。

對于金融機構來說，其擁有的數據大多是敏感數據，包括信息數據（如姓名、身份證等）、金融資產特征信息、股票賬號信息，還包括了微信號、GPS定位、QQ號碼等新型身份特征，以及新能源車輛信息等等。因此，保障數據安全不僅是合規需要，還是對自身業務的有力保障。

騰訊的云數據安全審計基于大數據+AI，構建一個全面的數據安全監控、異常行為分析和細粒度安全審計體系。產品自研了規則引擎、語義引擎、UEBA行為分析引擎這三大安全引擎，預置了700+規則模型，通過對事中數據風險監測和事后異常行為審計能力，切實有效地保護數據的安全，防止數據泄露和濫用。

在規則引擎中，當監測到的操作或行為與規則相匹配時，引擎會觸發相應的告警動作。在語義引擎中，可以深度解析SQL語句，理解數據操作的真實意圖和目的，從而更準確地識別潛在的安全威脅、不合規操作，減少誤報和漏報。

當前中國已經步入數字經濟時代，銀行99%的業務都可以在線上完成，金融行業的重點也從業務變成服務。近年來，銀行等金融機構正在面臨著新增零售信貸業務風控難與存量零售風控業務風險上升的雙重挑戰。

具體來看，零售信貸業務風控主要圍繞在貸前調查和貸中、后管理。在這期間，隨著深度偽造技術的泛濫，銀行在風控過程中容易面臨借款人主體資格不合規、提供虛假申請資料或還款能力不足等欺詐風險。

面對這一現狀，騰訊安全提出了天御金融風控大模型，這也是業內首個針對金融風控的大模型。

據了解，騰訊云天御金融風控大模型以騰訊安全20多年與黑產對抗經驗以及海量安全數據為基礎，集成了大模型、遷移學習和蒸餾學習等業界先進技術，融合了多模態金融風控數據與知識的強大生成式智能風控模型。

內容+數據，全鏈路保障AI安全

對于金融行業來說，既然擁抱AI技術是一種必然，那么保障AI大模型的安全也是一種必然。

AI安全已成為業內最重要的風險之一，主要包括三個方面：首先是模型訓練階段，高風險、違規數據需要剔除，高質量、連貫的對話需要審校。其次是內容生成階段，包括新風格的違規內容、偽造類內容和版權風險。最后是事后階段，對輿論不適或者內容違規要及時改進和響應。

如果大模型在運轉過程中出錯，無疑將帶來高額的成本。在監管方面，國家也在重拳出擊，重點提升AI安全。4月11日，國家互聯網信息辦公室發布關于《生成式人工智能服務管理辦法（征求意見稿）》公開征求意見的通知，規定AIGC內容不得含有暴恐、低俗、歧視、侵權等違法違規內容，明確提出“利用生成式人工智能生成的內容應當真實準確，采取措施防止生成虛假信息”。

對于金融行業來說，更要兼顧政策合規等宏觀環境的制約，騰訊安全在AI內容安全上的實踐可以作為很好的參考對象。

在內容安全方面，騰訊安全推出了AIGC全鏈路內容安全解決方案，提供包含審校服務、安全專家服務、機器審核服務、版權保護服務四大能力板塊，包含風險場景定義、風險語料庫服務、語料版權檢測、輸出價值觀檢測、業務傳播風險監測等能力，覆蓋生成式AI應用從模型訓練到內容生成到事后運營全過程的內容安全建設。這套方案覆蓋AIGC類應用從模型訓練到內容生成再到事后運營全過程的內容安全建設，并已在多個場景實踐落地。

在數據合規和安全方面，為防范數據安全問題造成的隱私侵犯、經濟損失、法律責任、聲譽損失等系列問題，需要對數據工程師、算法工程師等人員做好身份認證、數據訪問控制以及操作管控，對數據做好防篡改、敏感數據去標識化、以及數據行為審計和異常監測。騰訊安全打造了數據安全治理解決方案，通過對大模型的用戶、實體、模型文件實施分級別的訪問控制，實現權限分離。同時，騰訊云通過數據安全治理中心、數據安全防護網關、機密計算平臺等產品能力，實現大模型業務全流程從數據采集、數據處理、訓練、精調、發布、推理到應用的過程中，海量數據和大模型的完整性和保密性。

目前，騰訊安全已經在AI方面的投入正在逐漸加大，騰訊大模型基礎能力和應用結合整體處在趨于加速的狀態。期望騰訊安全能夠進一步推廣“AI+安全”，幫助金融機構進一步提高安全水位。