NVIDIA引入模型签名,构建AI信任新基石
AI正迈入一个由智能体定义的全新时代,这些智能体能够进行推理、规划并采取行动。然而,这种与API、工具乃至物理环境的动态交互,极大地扩展了AI的攻击面和潜在风险。单一模型一旦被攻破,可能影响下游决策、访问外部系统、触发连锁故障,甚至造成物理损害。信任模型完整性已不再是默认项,而必须是可验证的。
为应对此挑战,NVIDIA自2025年3月起,已在NGC Catalog上对其发布的模型全面采用OpenSSF Model Signing (OMS)规范进行加密签名,成为首个为托管模型提供此项服务的模型中心。此举使消费者能独立验证模型的来源与完整性,是实现AI栈各层级(云、本地、边缘)从隐式信任向显式信任迁移的基础。模型签名是NVIDIA企业AI工厂和NVIDIA AI Enterprise的关键组成部分,为客户下载的模型提供端到端完整性验证,支撑其在安全的全栈平台上开发、部署和扩展生产级AI应用。
模型签名通过加密验证引入AI工作流,使团队能够确认模型由可信来源发布且未被篡改。签名过程涉及模型发布者使用私钥生成数字签名,并与模型一同发布;消费者则通过公钥验证签名,若匹配则模型被确认真实且未修改。这构建了一个可验证的信任链,使开发者、MLOps团队、安全合规团队能够确保模型来源、执行归属检查并审计其完整性,从而在模型创建与消费之间建立安全桥梁,实现显式、可追溯且内置于生命周期各环节的信任。
NVIDIA将模型签名集成至NGC Catalog所有NVIDIA托管模型的发布流程中,利用OMS标准为模型文件、配置及相关资产创建包含加密哈希的签名包,确保整体一致性。该流程支持多种密钥管理方式,并在发布前完成。签名模型可在任何端点通过NVIDIA公钥和开源工具进行验证,明确了模型生产者、模型中心和模型消费者的责任与能力。NGC Catalog中的签名模型可通过UI的“Signed”徽章或CLI命令识别。
验证NGC签名模型极为简便,可借助OpenSSF Model Signing Project提供的开源工具。通过pip安装模型签名工具,下载模型及其签名文件,获取NVIDIA公钥,然后使用`model_signing verify`命令进行验证。成功验证会显示“Verification succeeded.”,确保从本地到生产环境的各个环节,都能基于开放标准工具验证模型来源与完整性,从而为AI供应链注入安全保障。
Martin Sablotny
网友讨论