AI的發展類似于開源軟件早期的“西部蠻荒時代”——各種模型彼此構建，拼湊著來自不同地方的不同元素。

這與開源軟件類似，帶來了可見性和安全性方面的問題：開發者如何知道這些預構建模型的基礎元素是否值得信賴、安全且可靠?

為提供更為詳細的AI模型信息，軟件供應鏈安全公司Endor Labs發布了用于AI模型的Endor Labs評分平臺，該新平臺對當前Hugging Face上超過90萬個開源AI模型進行評分，Hugging Face是全球最受歡迎的AI平臺之一。

“毫無疑問，我們仍處于早期階段，”Endor Labs的創始工程師George Apostolopoulos在接受記者采訪時表示，“當涉及到模型的‘黑箱’問題時，挑戰非常大，從互聯網上下載二進制代碼是有風險的。”

四個關鍵因素評分

Endor Labs的新平臺使用50個預設指標，根據安全性、活動性、質量和受歡迎程度對Hugging Face上的模型進行評分。開發者不需要對特定模型有深入了解，他們可以向平臺提出諸如“哪些模型可以進行情感分類?”、“Meta最受歡迎的模型是什么?”或“流行的語音模型有哪些?”等問題。

平臺隨后會告知開發者模型的受歡迎程度、安全性，以及這些模型的創建和更新日期。

Apostolopoulos稱AI模型中的安全性“復雜且有趣”。模型存在眾多漏洞和風險，容易遭受惡意代碼注入、惡意拼寫攻擊(typosquatting)和用戶憑證泄露的攻擊。

“隨著這些問題變得更加普遍，我們遲早會看到攻擊者無處不在，”Apostolopoulos說道，“攻擊向量太多，難以建立信任。因此，可見性非常重要。”

Endor Labs專注于保障開源依賴項的安全，基于Hugging Face的數據以及已知攻擊的相關文獻，開發了四個評分類別。公司部署了大型語言模型(LLM)，以解析、組織和分析這些數據，并且公司的新平臺會自動且持續地掃描模型的更新或更改情況。

Apostolopoulos表示，隨著Endor Labs收集到更多數據，還會納入其他因素。公司最終也會擴展到除Hugging Face以外的其他平臺，例如包括OpenAI等在內的商業供應商。

“隨著更多人開始部署AI，AI治理將變得越來越重要，我們將對此有更多的討論。”Apostolopoulos說道。

AI的發展路徑與開源開發相似——但復雜得多

Apostolopoulos指出，AI的發展與開源軟件(OSS)的發展有許多相似之處。兩者都提供了大量選擇，同時也存在諸多風險。對于OSS，軟件包可能引入隱藏漏洞的間接依賴。

類似地，Hugging Face上的絕大多數模型都基于Llama或其他開源選項。“這些AI模型實際上也是依賴項。”Apostolopoulos說道。

AI模型通常是基于其他模型構建的，或者本質上是其他模型的擴展，開發人員會根據具體的使用場景對其進行微調，這就形成了他所稱的“復雜依賴關系圖”，這種圖既難以管理，也難以保障安全性。

“在某個底層的某處，五層深的地方，有一個基礎模型，”Apostolopoulos說道。要獲得清晰的透明度很難，現有的數據可能非常混亂且“讓人讀起來十分痛苦”，很難確定模型權重中具體包含了什么，而且目前還沒有可以石版印刷般精確的方法來確保一個模型與其聲稱的一致、如宣傳所示那樣可信，并且不會生成有害內容。

“基礎測試并不是一件輕松或簡單的事，”Apostolopoulos指出，“實際上，相關信息非常少且非常分散。”

盡管下載開源代碼十分方便，但他指出，這也是“極其危險的”，因為惡意攻擊者可以輕易地破壞這些代碼。

例如，常見的模型權重存儲格式可能允許任意代碼執行(即攻擊者可以獲取訪問權限并運行任何他們想要的命令或代碼)。對于基于較舊格式(如PyTorch、TensorFlow和Keras)構建的模型，這尤其危險。此外，部署模型時可能需要下載其他惡意或存在漏洞的代碼(或者這些代碼試圖導入帶有依賴性的內容)，而且，安裝腳本或代碼庫(以及相關鏈接)也可能是惡意的。

除了安全問題之外，還有許多許可障礙：與開源類似，模型也受許可條款的約束，但AI引入了新的復雜性，因為模型是基于擁有自己許可條款的數據集進行訓練的。Apostolopoulos強調，現代組織必須意識到模型中使用的知識產權(IP)及其版權條款。

“一個重要方面是這些大型語言模型(LLM)與傳統的開源依賴項的相似和不同之處，”他說。盡管它們都依賴外部資源，LLM更強大、更龐大，并且由二進制數據組成。

開源依賴項會不斷“更新、再更新、再更新”，而AI模型則“相對靜態”——一旦更新完畢，“你可能就不會再去碰它們了。”Apostolopoulos說道。

“LLM本質上就是一堆數字，”他說，“它們要復雜得多，難以評估。”