主要内容
实时 AI 安全执行对抗学习的能力相较于静态防御机制具有决定性优势。AI 驱动攻击的出现——利用强化学习(RL)和大型语言模型(LLM)能力——创造了一类“氛围黑客”和适应性威胁,其变异速度比人类团队的响应速度更快。这对企业领导者来说是一种治理和运营风险,仅靠政策无法减轻。攻击者现在采用多步推理和自动化代码生成来绕过已建立的防御。因此,该行业正在观察向“自主防御”(即能够在无需人类干预的情况下智能学习、预测和响应的系统)的必要迁移。然而,向这些复杂的防御模型过渡在历史上遇到了一个难以跨越的运营瓶颈:延迟。应用对抗学习,即威胁和防御模型相互持续训练,提供了一种对抗恶意 AI 安全威胁的方法。然而,将必要的基于变压器的架构部署到实时生产环境中会造成瓶颈。微软 NEXT.ai 的首席应用研究经理 Abe Starosta 表示:“对抗学习只有在延迟、吞吐量和准确性同时提高时才能在生产中发挥作用。运行这些密集模型的计算成本此前迫使领导者在高精度检测(速度慢)和高吞吐量启发式(准确性较低)之间做出选择。微软和英伟达之间的工程合作表明,硬件加速和内核级优化如何消除这一障碍,使实时对抗防御在企业规模上可行。为实时流量操作化变压器模型需要工程团队针对基于 CPU 的推理的固有局限性。当负担着复杂的神经网络时,标准处理单元难以处理生产工作负载的数量和速度。在研究团队进行的基准测试中,基于 CPU 的设置产生了 1239.67ms 的端到端延迟,吞吐量仅为 0.81req/s。对于金融机构或全球电子商务平台来说,每个请求延迟一秒在运营上是不可行的。通过过渡到 GPU 加速架构(特别是利用 NVIDIA H100 单元),基线延迟降至 17.8ms。然而,仅硬件升级不足以满足实时 AI 安全的严格要求。通过进一步优化推理引擎和标记化过程,团队实现了最终的端到端延迟为 7.67ms——与 CPU 基线相比性能提高了 160 倍。这样的降低使系统很好地处于内联流量分析的可接受阈值内,能够在对抗学习基准上部署准确率超过 95%的检测模型。在这个项目中确定的一个运营障碍为负责 AI 集成的 CTO 提供了有价值的见解。虽然分类器模型本身计算量大,但数据预处理管道——特别是标记化——成为了第二个瓶颈。标准标记化技术通常依赖于空白分割,是为自然语言处理(如文章和文档)设计的。它们对于由密集打包的请求字符串和缺乏自然中断的机器生成有效载荷组成的网络安全数据来说是不够的。为了解决这个问题,工程团队开发了一个特定领域的标记器。通过整合针对机器数据结构细微差别的安全特定分割点,他们实现了更细粒度的并行性。这种针对安全的定制方法使标记化延迟降低了 3.5 倍,强调了现成的 AI 组件通常需要特定领域的重新工程才能在特定环境中有效运行。