2025大模型服务安全白皮书

大模型服务安全白皮书VolcanoArkSecurityWhitePaper环境强隔离数据高保密环境强隔离数据高保密操作可审计链路全加密操作可审计链路全加密 「智能涌现：从探索模型上限，到释放模型价值」大模型正以跨越式速度迭代演进，成为驱动智能革命的核心引擎。LLM（LargeLanguageLanguageModels，视觉语言模型）则实现视觉与语言的深度融合，打破单模态交互边界，模型架构优化、算法创新与数据质量提升共同推动技术能力迈向新高度，为产业智能化转型注入强劲动力。与此同时，大模型落地场景全面涌现，从智能办公、医疗健康到金融服务、教育普惠，深度渗透社会经济各领域，重构生产流程、优化服务模式，释放出巨大的商业价值与社会价值，开启全域智能应用新时代。然而，技术飞速发展背后，安全风险也随之凸显。大模型在快速迭代与广泛落地过程中，数据隐私泄露、对抗攻击、模型滥用、伦理偏差等安全隐患持续暴露，不仅威胁用户权益与企业利益，更制约行业健康发展。在此背景下，我们希望通过《火山方舟大模型 02火山方舟作为连接模型提供方与使用方的MaaS（ModelasaService，模型即服务）平始终将安全嵌入平台原生架构。2023年6月，推出“火山方舟互信计算框架”，通过全链路技术防护实现云上大模型训练与推理过程中的数据隐私保护及模型安全管控，为参与各方的隐私权、所有权与收益权筑牢坚实屏障。秉持“负责任的MaaS”理念，火山方舟持续升级模型、平台、应用多维度安全能力，以全栈防护体系护航企业级AI应用安全落地，助力AI生态健康繁荣。在Gartner发布的2025年度全球《AI应用开发平台魔力象限》中，火山引擎凭借豆包大模型和火山方舟大模型服务平台，领跑全球“挑战者”象限；在企业市场，国际数据公司（IDC）《中国大模型公有云服务市场分析，2025H1》报告显示，2025年上半年中国公有云大模型服务市场中，火山引擎以49.2%的市场份额位居行业第一。火山方舟用技术实力与安全能力助力行业发展。PromptPilot应用实验室MCP（对接机器学习平台）（对接机器学习平台）DeepSeek030506070924303743454750 03生成式人工智能在自然语言处理、图像识别、数据分析、代码生成等领域快速发展，其在商业与科研中的应用日益广泛。然而，服务的普及也带来了新的安全风险与挑战，既包括系统漏洞、DDoS攻击、资源滥用等传统安全问题，也涵盖内容安全对抗、隐私泄漏、算力盗用等大业务数据窃取/篡改业务数据窃取/篡改 04针对算力与云服务基础设施，算力滥用是典型的安全风险，当集群基础设施能力缺乏精细的配额与准入控制，算力资源可能会被未经授权调用，甚至被用于非法挖矿或异常训练。此外网络隔离薄弱、供应链漏洞、访问控制缺陷都可能加速攻击者绕过控制面直达算力与数据。网络隔离薄弱常见风险包括资源直连公网、入/出站流量缺乏分应链漏洞则常见开源框架、驱动与容器镜像漏洞数据泄露包括因为大模型服务平台不安全设计（如认证鉴权体系缺失、明文存放模型与数据、网络隔离不充分等）、安全漏洞导致的传统Web安全风险，进而导致大模型服务平台失陷，诱导输出个人或企业机密；对于基础模型，还可能存在参数提取、逆向推断或错误发布导致的内容安全方面，模型在用户引导下可能生成违法违规、违背公序良俗或存在安全隐患的内容。攻击者可通过恶意输入触发模型异常行为，导致错误回答、策略绕过或审计失效，输出不合规结果；训练与微调阶段还可能遭遇模型投毒企业构建AI智能体时，提示词注入仍是关键风险。尤其当智能体具备工具调用能力时，恶意指令可能使其执行非预期任务，导致越权调用API、读取敏感数据、泄露系统提示词等后果。工具滥用是另一特征风险：拥有代码执行、数据库访问与外调能力的智能体，若缺乏最小权限与隔离机制，可能引发严重泄露与破坏。若智能体接入的第三方插件存在漏洞，还会引入供应智能体同样面临传统Web安全威胁，需通过完善的鉴权、加密、隔离与访问控制，防止其失陷导致用户数据泄露；在多租户场景下，若未实施网络与数据隔离，攻击者可能突破租户间的 05与传统数据安全及隐私保护相比，大模型与生成式AI在数据与隐私安全领域面临的关键挑战用户数据随模型上云，需要云侧提供不低于私有化本地部署级别的安全防护，并防止通过模型泄露保密数据。数据离开受控的私域环境后，其在传输、存储和处理过程中的安全风险显著增加。云服务商必须提供等同或更高级别的加密、防攻击与访问控制能力，确保数据在全流程中用户需对数据全生命周期享有充分知情权与控制权，能够约束数据的使用范围与目的，严格杜数据传输、使用、留存，以及加解密密钥调用的安全审计日志，最终实现并证明数据“唯客户用户需确认其数据资产的最终权属不因模型服务使用而转移，且数据价值不受侵害。企业投入的专有数据、模型交互记录及生成产出物，均应被界定为企业核心数字资产。客户担忧商业秘密、知识产权等数据被服务商未经授权用于模型训练，导致其独有商业价值被稀释并转化为公共服务基础能力。因此需通过合约约束与技术手段双重保障，确保所有数据及其衍生成果“唯 06人工智能技术的伦理、偏见、歧视等问题日益凸显，针对如何确保人工智能行业在符合社会价值观的框架下实现健康发展，当前各国正加快构法律法规要求与合规监管框架建设。对于人工在全球范围内，欧盟于2024年8月正式生效《人工智能法案》，作为全球首部全面针对人工智能的法案，该法案采用四级风险模型，为欧盟内人工智能系统的开发、市场投放和使用制定了统一规则，禁止违背欧盟价值观、有害的人工智能服务发展；美国推出《人工智能创新未来中国的人工智能监管体系则以《网络安全法》、《数据安全法》、《个人信息保护法》为三大法律基石，为人工智能领域合规管理提供了坚实的法律基础。在此基础上，各部委陆续出台《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》等法规要求，确立了服务提供者主体责任，明确内容合规与算法公平性等要求，并建立了人工智能安全评估和备案管理制度，为人工智能行业发展提供了明确的标准与指导。因此，在中国境内提供、使用生成式人工智能服务的企业，需要依据法律法规履行备案义务，保障用户权益，以及内容、算法安全。各国人工智能相关法律法规体系正在不断完善的过程之中。2025年8月，中国国务院印发《关于深入实施“人工智能+”行动的意见》中特别强调应加强政策法规保障，完善人工智能法律法规、伦理准则、推进人工智能健康发展相关立法工作、优化人工智能相关安全评估和备案管理制度。2025年7月，欧盟发布《通用AI行为准则》、《通用AI模型提供者指南》、《数据训练摘要模板》作为《人工智能法案》的核心配套措施，构建欧盟人工智能合规观框架。作为生成式人工智能服务的提供者与使用者需要持续关注行业法律法规建设，保障人工智能服务合法合规。担02 模型安全：当您使用火山方舟与豆包大模型构建生成式人工智能服务，火山方舟将通过稳定可靠的安全互信架构，提供链路全加密、数据高保密、环境强隔离、操作可审计的安全能训练数据合规：如果您直接使用豆包大模型构建生成式人工智能服务，豆包大模型基于国家审核，涉及个人身份或敏感属性的内容，默认脱敏与去标识化，保障训练数据安全合规；如客户数据安全：火山引擎通过安全互信计算架构，提供应用层会话加密、网络层传输加密、多维度环境隔离以及多类别审计日志等安全能力，为客户提供多维度、全方位的数据安全增备案合规：火山引擎为客户提供的豆包大模型已完成算法备案和生成式人工智能服务备案。当您基于火山方舟对公众提供具有舆论属性或者社会动员能力的生成式人工智能服务，则建内容安全合规：火山引擎根据《生成式人工智能服务管理暂行办法》、《网络信息内容生态治理规定》等法律法规要求，针对模型全生命周期建设了内容安全策略，对豆包大模型生成内容进行严格管控。当您搭建生成式人工智能服务时，尤其是基于三方模型、对预训练模型进行精调或针对特殊场景（例如未成年人）的情况下，需要根据自身业务需求额外建设内容内容标识合规：依据《人工智能生成合成内容标识办法》要求，若您向公众提供人工智能生成合成内容服务，需满足显式标识、元数据隐式标识等内容标识要求，在火山方舟场景下可 08火山方舟责任火山引擎针对模型全生命周期建设了内容安火山引擎针对模型全生命周期建设了内容安全策略，对豆包大模型生成内容进行严格管控火山引擎提供的豆包大模型服务均已完成算火山引擎提供的豆包大模型服务均已完成算火山引擎通过加密和安全沙箱等技术，为客火山引擎通过加密和安全沙箱等技术，为客户提供安全可信、会话无痕的执行环境，保火山引擎提供安全合规的豆包大模型，定期火山引擎提供安全合规的豆包大模型，定期对模型进行巡检保障模型安全，并通过方舟平台安全措施保障用户调用安全的大模型服务火山方舟通过安全互信计算架构、火山引擎火山方舟通过安全互信计算架构、火山引擎云安全产品、安全运营与事件相应多维度保若您对公众提供生成式人工智能服务，则建议以若您对公众提供生成式人工智能服务，则建议以服务提供者的角色开展算法备案，并按照属地网如果您基于方舟平台上的基座模型进行精调，需如果您基于方舟平台上的基座模型进行精调，需0303风险防护风险防护应对传统安全威胁与大模型新型攻击，火山方舟从模型安全、平台安全、云平台基础安全多维度构建了一套“全球合规、原生安全、客户信任”的安全可信保障体系，保护模型提供方、模监管合规监管合规会话加密加密存储中间件计容风险识别零信任网络可信密钥会话加密加密存储中间件计容风险识别零信任网络可信密钥大模型攻击防护会话安全智能脱敏平台和数据安全增强容器沙箱隔离安全透明基础设施算隔离和安全启动网络隔离算基础基础设施安全 09针对大模型推理与训练过程中，模型和数据可能面临的机密性、可用性、完整性以及隐私保护风险，火山方舟围绕数据传输、存储、运行环境、访问控制、审计日志五个维度，结合云原生隔离容器沙箱技术（基于vArmor）、网络隔离、透明加密文件系统、可审计登录（堡垒用户火山账号用户火山账号数据集数据集 基于用户和安全沙箱的双向身份认证，进行再次密钥协商，建立用户和安全沙箱之间的互信连接，保证会话数据只能在正确身份的安全沙箱内被解密。用户自定义开启，一行代码即可免费用户在方舟平台上传的原始训练数据集，默认存储于用户火山账号下证密文数据存储安全性。基础模型与训练后获得的精调模型均加密存储于训练平台对象存储TOS，保证精调模型机密性、模型提供方和训练数据提供方产权共享的同时，也提升了精调模 为了提供更高数据安全等级和多层次掌控权，用户可使用自持密钥（HoldYourOwnKey，HYOK），对精调产物的传输、存储、调用过程进行加解密。用户自行管理密钥的全生命周期，包括创建、存储、轮换、撤销等。针对多轮对话、工具调用、角色扮演等需多次传入相同内容的场景，火山方舟提供上下文缓存技术实现强制访问控制器（即enforcer），从而对模型运行时环境进行安全加固。它可以用于增强容器隔离性、减少内核攻击面、增加容器逃逸或横行移动攻击的难度与成本，Policy）对任务的主网卡进行隔离，防止不同任务之间互相通信。对于精调/推理任务使用辅助针对沙箱外部服务（如KMS），只能通过方舟代理访问，叠加严格的权限检查和访问请求检 技术，可在其他隔离技术的基础上叠加使用。用户可在创建推理点时选择使用“机密部署”能够基于分离式部署实现从物理芯片（GPU/CPU）到容器的全链路安全隔离，用户推理数据仅在TEE环境中解密并进行计算。一方面进一步杜绝云服务商或大模型供应商接触数据可能账号）。 ），>>>> > （更多审计日志请查看控制台）使用机密部署后，用户可在推理任务安全审计页面额外下载/查看相关审计日志，如远程证明火山引擎提供账号访问日志审计服务，通过操作审计（CloudTrail），管理员可以跟踪主账号或用户、角色等身份访问控制台及OpenAPI的行为。操作审计功能在火山引擎账号创建时即 针对提示词攻击、算力消耗、Agent滥用等大模型攻击，以及云安全可能面临的 火山引擎大模型应用防火墙提供针对大语言模型推理服务的安全防护服务，确保模型输入和输出内容安全、可用和可信。产品嵌入AI大模型服务业务流程中，实时监控模型的输入和输出内容，保护模型业务不受OWASPLLMTop10攻击，提供包括算力消耗防护、提示词攻击检针对提示词看似无害，但是会导致大模型的算力被剧烈消耗的行为，例如对大模型输入过多内容或要求大模型输出过多内容，或让大模型长时间高频高速运行某个任务的场景。大模型防火墙将评估提示词对大模型的算力消耗程度，以高中低三种档位提供不同的防护策略，按需组织针对黑盒与白盒攻击场景构建多维度检测拦截机制。通过计算提示词困惑度识别对抗结合字符级、词级扰动技术消除恶意语义；同时集成密码学解码、低资源语言翻译还原破解加密或多语言提示等隐藏攻击意图的手段，有效防御模板填充、代码注入、遗传算法生成基于监督微调（SFT）安全数据集与人类反馈强化学习（RLHF）奖励模型，优化模型指令跟随与安全对齐能力。通过梯度、Logit分析技术监测模型异常响应倾向，对诱导生成恶意代码、建立敏感信息识别与过滤规则，覆盖个人隐私（手机号、身份证号）、商业秘密（内部文档片段）、合规禁忌（涉政涉敏内容）三类核心场景。在输入阶段拦截含敏感信息的提示，输出阶 在出口部署攻击检测与清洗系统，过滤流量型与应用层攻击，正常流量无损回源；结合运营商涵盖对主机和容器的全方位保护，在混合云和多云环境中，实现多种主机和容器提供一致的监控和管理功能。基于内核态采集进程、网络、文件相关数据，检测服务器是否被黑客攻击，是否被植入病毒、蠕虫、勒索和挖矿等恶意程序，对抗黑产、APT团伙对公司生产环境的破坏和关注云环境，通过对云产品日志和审计日志的分析和建模，提供对复杂多云环境、服务、API、各类工作负载的实时监控与检测。同时提供高效的云威胁取证与处置剧本，解决跨云环一种全流量检测手段，通过镜像方式采集网络边界流量，并对原始流量进行分析学习以构建正常网络行为，同时结合威胁情报、机器学习、行为探知等一系列技术手段，发现高级入侵攻击 通过内外部专家持续对产品进行漏洞挖掘，结合漏洞的技术原理、利用难度、潜在利用路径等因素评估其危害等级，明确受影响的系统、产品模块及业务场景，并设置专门运营团队负责安火山引擎内部由专业安全团队保障云产品安全、云基础设施安全，恪守“事前加固、事中响应、事后复盘”原则，对云产品进行体系化安全管理，将产品安全水位纳入考核与精细化运营，及时整改安全风险。在日常管理中，火山引擎将安全文化、组织、流程、工具与最佳实践融入业务，形成贯穿产品全生命周期的治理闭环，最终确保云产品实现默认安全、精准防护、在产品开发实践中，我们将安全能力自动化融入软件开发生命周期的各个环节，在产品迭代的 需求评审环节，产品(PM)需要对产品功能中的安全相关需求进行澄清并在PRD上体现，说明产品在安全上的需求(如权限控制、访问控制、频控限制和安全设计等)。研发（RD）需要根据产品PRD要求，体现对安全部分的设计，如接口的权限校验方案、频控限制等。并在技术文档中体现。如不确定方案中某处设计是否合理，可以引入安全评估人员（SDLC）/业务安全团队进行评估和决策。研发合码时，白盒代码安全扫描工具会自动对代码进行扫描，如果发现高危安全问题，会拦截此次在CI/CD流程触发镜像构建时，镜像安全扫描工具对部署的镜像进行安全检查，确保镜像中不出现高危组件安全漏洞、恶意代码、硬编码等。黑盒自动化工具会自动录制测试人员在测试环境的流程，修改相关参数进行安全用例自动化验证。主要对SQL注入漏洞、基础越权、未授权等漏洞进行扫描。完成自动化测试后，安全测试人员（SDLC）需要根据产品需求和设计进行安全测试，主要覆盖业务逻辑类漏洞。为避免通过控制面的接口逻辑漏洞泄漏产品数据，以及前置环境的漏放或逃逸，安全人员（SDLC）会对新增接口上线前进行感知和安全测试，覆盖高危场景漏洞的人工测试。上线一段时间后，安全人员（SDLC）会持续从整体视角对产品功能进行定期测试和安全梳理，确保串联整个产品功能后高危、严重问题确实收敛。组件时，必须经过内部自动化与人工评估，确认无安全风险后方可使用；若已使用组件出现安全风险，需立即应急响应，采用官方推荐安全版本或打补丁。第三方组件引用优先稳定版本或 20围绕“安全、稳定、合规”的安全运营核心理念，火山方舟形成了行之有效的安全运营管理办基于业务场景，针对可能面临的安全风险制定了不同类别的安全事件负责团队和应急响应流程，并进行定期演练，规范突发事件应急管理和应急响应程序，确保信息安全事件发生时各团队能及时有效地响应、处置。此外，方舟基于火山引擎云基础设施，通过数据染色、云信任中心、云安全防护、情报监控等多举措及时感知和溯源数据可疑泄漏点，及时止损并进行反击复火山引擎内部由专业运维团队保证业务稳定、高质量运行，通过《运维规范》明确运维操作基本原则和操作规范，对运维操作进行等级划分。针对不同等级的运维操作，细化了处理流程、回滚及应急方案，并要求对中高危操作提前通过运维平台进行事件通告，同时方舟平台人员运维操作均需经过堡垒机，堡垒机实行短期授权、审批授权。在调试中，调试命令被并且会被全程录屏，便于审计和追溯。具备安全告警机制感知异常或违规操作，及时响应处为避免漏洞被攻击者直接或间接恶意利用，火山引擎制定了《漏洞管理流程》，规范了安全漏洞运营机制（包含漏洞识别确认、报告分派、修复处置等流程），并根据漏洞风险情况进行定级，且基于漏洞级别制定修复时限，保障云平台和云产品及时修复并关闭漏洞，确保云服务安全运行。与此同时，火山引擎在发现重要漏洞时会第一时间通过服务公告告知用户，并根据网 > >联动事故平台复盘学习 火山引擎实施常态化红蓝演练，通过模拟网络安全攻击，发现、整改产品安全风险，检验纵深防御体系的风险发现能力进而查漏补缺。攻击手法及路径包括但不限于网络渗透、应用程序攻击、社会工程学攻击、物理安全测试等。此外还通过自动化方式整合红队与蓝队经验形成紫队火山引擎与全球白帽社区共建安全生态，积极邀请外部专家展开高质量专项测试、演练与验云服务稳定运营是火山引擎的一项重要原则，火山引擎制定了完善的业务连续方舟业务连续运行提供了先天条件，并在运营过程中采取变更管控、故障治理、服务稳定性监控等多项举措保障业务的稳定运行，确保业务故障尽早发现、主动发现、准确定位、迅速治理/恢复，保障业务稳定、连续运行。此外，火山方舟定期进行故障演练并进行事故复盘分析，行分类，针对不同类别的事件，规定了变更时间和变更流程，并对流程进行严格管控（多级审基于火山引擎为各类云服务和产品提供的消息群发能力，方舟通过短信、邮件、站内信三种渠道进行告知消息推送。火山方舟会在确认变更信息后及时发布变更通知，告知内部相关人员和外部客户。此外，我们会对变更操作进行严格监控，当成功完成变更后，会对关联功能进行回归测试，确保业务正常运行；若变更过程出现问题，会及时进行挂起、回滚等操作，并对问题影响情况及时进行分析。针对影响客户业务的问题，会联动事故处置流程，降低客户影响以提 火山引擎针对行业内或自身产品被爆出的高危、严重、超危或产品安全漏洞时，会进行风险预警和防范加固，并及时告知客户。针对使用量级巨大且高危以上的漏洞，火山引擎会通过“服务公告-火山引擎”发布安全公告，告知客户，并提供解决方案；针对一般的漏洞来源为 用户数据安全是火山方舟的底线承诺，基于可信安全沙箱，方舟已通过云原生容器沙箱、任务级网络隔离、传输加密、落盘加密以及零信任访问控制等技术构建了端到端数据安全与隐私保的机密推理服务。它不仅能进一步解决运行时数据的安全保护难题，还向用户提供可自行验证的远程证明文件，带来“透明可验证”的信任。火山方舟机密推理服务默认支持PD分（Pre-<<><<> 机密计算被视为当前硬件级“最高安全等级”的计算范式之一，它将安全根基深植于物理硬件之中，从而在计算的最底层构建了一个无法被软件绕过、高度隔离的信任锚点。方舟机密推理服务重优化了推理服务运行时的完整性和隔离性问题，通过把推理任务运行在可信执行环从物理芯片（GPU/CPU）到容器的全链路安全隔离，即使底层基础设施被入侵，数据也无法提供可下载的远程证明报告，用户可离线验证部署环境的可信性，实现从“契约信任”到“技在线推理-机密部署计算计算计算计算 具体到技术实现层面，火山方舟构建的推理服务可信执行环境（TEE），是在软件可信安全沙箱的基础之上，增加了芯片级安全隔离、可信密钥服务、基线管理服务、远程证明报告等机密计算能力，在硬件层面实现了安全能力增强，构建了运行可信AI推理的机密容器，实现在当TEE是一种基于硬件隔离的安全计算环境，与普通执行环境相比，能够为推理数据和模加密存储、安全执行、完整性验证的端到端保护。方舟安全沙箱TEE使用独占式的CPU与GPU资源，从物理层面与普通计算环境隔离，相较于软件隔离具备更高的突破难度，确保推旨在提供硬件级可信的密钥管理和代理服务，具备芯安全状态。其中硬件、固件等相关基准值，还会被用于后续与证明报告中的哈希值进远程证明服务是一套对可信执行环境（TEE）证明报告进行验证的服务，以此来证明服务代码tdx字段一致性校验包括：rtmr_0、rtmr_1、rtmr_2、rtmr_3、mr_td、report_data、 手机、汽车等端侧AI应用涌现催生了端云协作下的全链路安全计算和透明可信需求。火山引密计算、密码学应用和信息流安全等隐私保护技术能力融入各类AI产品，在端云融合场景分为环境可信验证与服务可信验证两部分，通过分层度量、基线校验、全生命周期验证等手环境可信验证实现从底层硬件到上层应用逐层验证完整性。硬件层对TEE硬件（如CPU、GPU）、虚拟固件进行度量，基于硬件信任根生成底层可信凭证；系统层通过IMA（完整性度量架构）、dm-verity等技术度量系统内核，确保操作系统未被篡改；应用层对容器运行时、机密虚拟机及业务容器进行度量，通过动态文件度量实时监控文件变化；此外还能够对安全增强功能进行度量，确保安全能力（如加密、隔离）未被破坏。服务可信验证则覆盖服务开发、部署、验证全生命周期，通过基线管理与自动化验证实现服务可信闭环。首先由基线生成服务/工具对环境、应用、配置进行标准化定义，之后在机密虚拟机中部署采集组件，无侵入式采集服务运行时的环境、代码、配置等度量信息，最后由远程证 在AICC系统中，无论是用于服务身份认证的公私钥对，还是用于模型、镜像、向量等核心资产加解密的数据密钥，所有关键密钥都被统一托管在可信密钥服务（TKS）中。通过把各类计TKS密钥默认绑定一套由用户自行定义的访问策略。这些策略明确规定了哪些实体、在什么条件下、通过哪类请求，才有权限访问特定密钥。策略检查通常包括以下维度：1.请求源是否来制的双向验证，确认请求方处于可信环境TE机密容器服务是一套基于可信执行环境（TEE）实现的容器管理服务，旨在保证用户容器服务以容器化方式接入机密计算能力，实现隐私强隔离；支持云以容器化方式接入机密计算能力，实现隐私强隔离；支持云覆盖数据采集、传输、计算、存储全生命周期，确保终端与云端之间身份可信、数据安全、环境可控。在端侧部署通信加密、密钥管理、远程证明、数据签名、数据解密能力，构建端侧 ），多租户环境中数据全生命周期隔离，为行业提供高安全、高可信的基础云设施。火山引擎JeddakAICC将全链路密态隔离机制与人工智能应用的部署、运行端赋能大模型服务与应用服务生态。火山方舟大模型服务平台通过把机密计算能力原生融入 “数据零留存”是火山方舟的一项重要安全承诺和数据管理策略，指除了满足法律法规要求，或经客户书面同意/授权之外，火山方舟不会存储任何客户数据。此外火山方舟为客户提供安全沙箱安全互信方案（可信安全沙箱），保护您的数据不会被提供火山方舟提供提供强大、安全、丰富的全模态模型服务，用户可以基于平台提供的豆包大模型在多轮对话、工具调用、角色扮演等需多次传入相同内容的场景下，使用ResponsesAPI/针对无需即时响应的推理任务，选择批量推理功能，显著计算网络隔离环境操作日志安全审计算网络隔离环境操作日志安全审 30服务）、方舟节点（如推理容器）均不存储用户任何推理会话内容；用户调用第三方插件，平据在整个传输链路为加密状态，仅在沙箱内部推理计算时解密，且解密后数据平台不可见。在推理计算过程中，通过隔离手段绑定任务资源，严格审计传出信息，任务结束后沙箱销毁，数据不可恢复；安全网关在接入点对每次调用访问进行身份验证和权限控制，隔绝非授权用户。用户可在推理安全审计页面查看推理接入点的安全状态监控与行为审计日志，及时发现推理过此外在可信安全沙箱基础上，用户可选择平台原生提供的机密推理服务，通过把推理任务运行的上下文管理，结合智能代理能力，为开发各类面向实际行动的应用提供了更灵活的基础，并缀缓存和Session缓存。用户可指定上下文存储及上下文缓存的过期时刻，当前最大可存储时知识库是火山引擎提供的知识检索增强生成服务，用户可以将企业专用数据或特定领域知识上传至知识库中，并直接串联火山方舟中的大模型服务进行回答。知识库采用用户粒度的数据隔离，并使用多重密钥机制对用户数据加密存储，涉及加密算法包括SSE-C（使用用户提供的密 火山方舟体验服务与协作奖励计划会在用户明确授权后，进行协议约定范围内的数据收集操体验服务包括方舟平台体验中心服务、智能广场体验服务（包括模型广场体验和应用广场体验）；协作奖励计划是火山方舟发起的用户共创活动，平台每日提供免费Tokens供用户使用。相关协议可参考《火山方舟平台免责声明和体验服务规则说明》与《协作奖励计划规则和数据授权协议》。 当希望针对具体场景/任务优化模型效果，提升模型在业务中的表现，或是希望小模型效果在特定场景/任务下达到接近甚至优于大模型的表现，以降低降低延迟和推理成本时，用户可以多机训练容器多机训练容器计算网络隔离环境操作日志安全审计云原生容k 用户上传自己的原始数据集用于精调模型训练，支持多模态数据上传。在方舟平台上传的数据集默认存储于火山对象存储TOS，平台为上传数据集默认开启TOS服务端加密，加密方式为执行精调任务时，火山方舟会调用基础模型与用户的训练数据集。对于基础模型，豆包大模型与平台提供的第三方开源模型均加密存储于火对于精调时需要使用的用户数据集，方舟仅在训练时通过安全沙箱访问，且限制仅能访问客户用户使用自持密钥HYOK，用户可在方舟控制台“托管外部密钥”功能中接入自持密钥，并在精调场景指定使用该密钥，以任务级别隔离模型/数据。使用自持密钥加密的训练数据集，同 34创建精调任务时，用户需配置精调产物（精调产出模型）的保存个数，训练完成后，产出模型将自动导出、加密存储至用户方舟账号下的模型仓库，模型提供方无法获取加密后的精调模型。对于未被保存的中间产物，平台会在超过保存个数时，按照模型生成时间滚动删除最早的训练容器和预处理容器均部署在可信安全沙箱中。在预处理可信安全沙箱完成安全启动后，针对预处理过程添加严格的任务级别的隔离策略，包括动态网络隔离、容器沙箱技术、零信任架构以及存储隔离和加密等，保证用户数据安全；任务完成后，预处理沙箱立即销毁，用户数据和其他临时文件被完全清除，实现数据无痕。此外还通过加密文件系统、vArmor运行时防护和网络隔离技术，防止异常登录、异常连接与沙箱逃逸，守护精调模型不被篡改、窃取。精调 覆盖数据传输、存储、使用、销毁各个阶段，火山方舟保护模型使用过程中的全生命周期用户 模型安全是一条贯穿数据进入、模型训练到发布服务的治理生产线。其目标是确保数据可用与可解释、训练过程稳健与可追溯、上线前后可审核与可回滚，从而在满足合规要求的同时保障清洗、训练、评测分区运行；跨区访问需审批并记录审计。高风险数据集实施更严格的访问策从采集到上线在关键环节记录日志并保存：谁、何时、对什么、做了什么、为什么。清洗与过将“可否采、可否用、可否上”嵌入流程门禁：需求接入与法务评估、训练前的数据治理评 从“数据标注→预训练→后训练与上线”，各阶段侧重点不同，但遵循统一治理原则与证据 数据标注阶段将“可执行的流程”与“可证明的合规”结合。需求接入后完成合规与可行性评估，明确是否可外发及合同约束；随后进行资源与人员准入，确保对象、流程与工具在受控环境运行。标注数据进入质检队列，未达标打回并记录，形成“问题定位—修复—复核”的完整法务评估明确可外发与披露范围；招采与商签单管理供应商与合同；人员准入与实施方案评审），预训练数据治理将“来源合规、风险过滤、质量提升”组织成一条可验证的流水线。数据来源感词机制，确保不含违禁与低质内容。清洗规则按周更新，覆盖涉政、色情、违法违规等重点方向，同时对劣质样本进行压制。每次训练批次进行抽检与定向攻击评测并留存报告，形成稳 后训练关注输出安全与行为一致性。将问题分为红线、高危与灰色，分别采用兜底话术、权威正确口径与价值观降险话术，形成策略兜底与安全对齐。发布前执行安全回扫、上线门禁与数据安全报备；采用灰度与分层监控，在突发或重大敏感节点升级审核与专班应对；异常场景按依据国家标准《网络安全技术生成式人工智能服务安全基本要求》，定制了多套题库验证模型上线前完成数据安全回扫与数据安全报备；灰度发布与多维监控；突发事件节点临时升级策略 40模型安全是一条贯穿数据进入、模型训练到发布服务的治理生产线。其目标是确保数据可用与可解释、训练过程稳健与可追溯、上线前后可审核与可回滚，从而在满足合规要求的同时保障大模型的输入输出可能包含风险内容，为保障企业客户内容安全。火山方舟构建了全模态的内容审核体系，对用户输入内容（文本、图片、音视频）和模型输出内容（生成式文本、创作内基于业界领先的标注语料库和动态更新的风险规则库，默认基础风控可精准识别违法违规内基于业界领先的标注语料库和动态更新的风险规则库，默认基础风控可精准识别违法违规内用户输入审核：实时拦截恶意提问、违规指令、敏感诉求等风险输入，避免模型响应不当模型输出审核：对模型生成的文本、创作内容、数据分析结论等进行后置校验，修正输出在客户授权的情况下，审核模型依托持续学习机制，实时适配新型风险话术、视觉变体等规避手段，保持审核准确率；同时可记录全量审核日志（内容原文、审核结果、处置动作、时间戳等），支持风险内容溯源、问题复盘。 在默认基础风控的之上，客户可按照自己的场景配置适应性更强的风控产品。增值风控支持客结合多种AI模型与规则体系，基于设备、行为、群组等多维信号进行全链路识别，在实时对依托海量风险样本与多年业务沉淀，形成成熟的多维风险画像与检测框架，可覆盖账号、营由具备长期强对抗经验的专业风控团队提供咨询、策略及落地支持，依托体系化风险解决方案 扩展模型功能，使模型能够搜索网络资料、图片处理或者调用您自己的自定义函数。方舟平台提供联网搜索、图像处理、私域知识库搜索等内置插件，此外用户还可通过火山引擎大模型生），部署场景单租户部署场景单租户体验场景多租户上上下文提问操作指令响应 43大模型生态广场与方舟平台内置插件上线前均进行安全检测，检测范围包括常规Web应用漏Tools是否是否存在动态加载行为、是否存在与工具不相关的非预期描述内容等，避免存在工在模型层面，集成大模型防火墙，有效防御提示词注入、敏感信息泄露等针对LLM的安全攻 接入层应用层能力层基建层数据数据 44助力多行业AI应用落地，火山方舟提供应用实验室能力。用户可以通过应用实验室挑选公开应用实验室内应用上架前经过严格安全评估，包括安全架构评审与组件安全测试。安全架构评审会评估应用的数据链路、组件依赖、权限管理策略，以及工作负载安全、网络安全、数据安全、应用安全、容器安全、内容安全基线等，通过公开应用代码，为用户提供火山引擎的云产品最佳安全实践参考。安全测试方面，则通过安全评估人员、自动化安全测试工具（如黑盒漏除了公开发布的应用参考，应用实验室还提供零代码、低代码与高代码开发方式，支持不同能零代码应用面向无代码能力客户或业务人员，通过可视化的表单化创建以及开箱即用的基础插件，帮助用户快速实现零代码应用的搭建与体验。用户在构建