江苏省制造业领域人工智能应用安全防护工作参考指引2026年版

江苏省制造业领域人工智能应用安全防护工作参考指引(2026年版一、单项选择题（每题2分，共20分）1.在江苏省某汽车零部件智能产线中，视觉检测模型被恶意注入“对抗补丁”导致漏检裂纹。依据《2026年江苏省制造业人工智能安全防护基线》，首要应急响应动作是：A.立即断开模型与MES的API链路并启动影子模型B.回滚至上一版本模型并保留现场日志C.通知市场部门暂停对外宣传D.等待总部安全团队到达再处置答案：A解析：对抗样本属于“即时性高危风险”，基线5.3.1要求“30秒内切断攻击面并启用影子模型”，防止污染向下游传递。2.某机床装备厂商在边缘盒子内部署TensorRT引擎，为防止本地权重被物理窃取，下列做法最符合“密钥与模型分离”原则的是：A.把密钥写入/boot分区的只读ext4镜像B.采用TPM2.0密封存储，并将密封策略绑定PCR7值C.将密钥硬编码在.so文件内并加strip符号D.使用U盘随设备发货，现场插入激活答案：B解析：TPM2.0密封+PCR7（安全启动度量值）实现硬件级绑定，即使镜像被整体拷贝也无法解密权重。3.在锂电池隔膜缺陷分割场景中，模型更新周期为7天。依据《指引》对“数据漂移”的量化指标，当KL(P‖Q)>0.42时应触发的动作是：A.继续观察，无需干预B.自动标注新样本并启动增量训练C.冻结模型并通知工艺工程师排查光源D.直接切换到备用供应商模型答案：C解析：基线6.2.4规定KL>0.4即“橙色预警”，需先排除物理域变化（光源、震动），再决定重训。4.下列关于“联邦学习+同态加密”在江苏高端纺织行业的说法，错误的是：A.可防止横向联邦中梯度泄露导致设计图案被还原B.CKKS方案在32位浮点精度下密文膨胀约4×C.各参与方需交换原始图像D.需引入差分隐私进一步防御模型逆向答案：C解析：联邦学习不交换原始数据，只交换加密梯度。5.某晶圆厂在AI质检网关前部署了“白环境”校验模块，下列哪项不是其必须输入的基线数据：A.模型拓扑哈希B.权重文件SM3摘要C.当日操作员人脸照片D.推理引擎版本号答案：C解析：白环境校验聚焦“代码+数据”完整性，不涉人员生物信息。6.当AI视觉系统检测到“从未见过的缺陷类别”时，根据《指引》应首先将其归入：A.已知高风险B.已知低风险C.未知风险D.可接受风险答案：C解析：未知类别按“未知风险”流程走，需人工复核并更新风险库。7.在钢铁热轧辊表面预测性维护模型中，若采用SHAP值进行解释性分析，下列做法最能满足“可解释性可追溯”要求：A.仅保存SHAPsummaryplot截图B.将每根轧辊每次推理的SHAP向量写入时序库并签名C.每周导出一次Excel均值D.只在本地IDE打印日志答案：B解析：签名后的向量具备不可篡改性，满足审计追踪。8.下列关于“安全沙箱”在工业相机SDK中的部署，符合最小权限原则的是：A.沙箱内开放/dev/mem用于DMAB.沙箱拥有CAP_SYS_ADMIN能力C.沙箱禁用ptrace、rawsocket，仅暴露GigEVision端口D.沙箱与宿主机共享/etc/shadow答案：C解析：最小权限要求“仅必要端口”，其余全部隔离。9.某企业使用生成式AI自动编写PLC代码，依据《指引》对AIGC安全要求，代码上线前必须通过：A.一次人工代码走查即可B.静态缺陷扫描+形式化验证+人工复核C.仅单元测试D.仅模糊测试答案：B解析：AIGC产出物需“三保险”，见基线7.1.3。10.在智能物流AGV调度算法遭遇“奖励函数投毒”时，最先异常上升的指标是：A.平均行驶速度B.碰撞率C.电量消耗方差D.路径规划耗时答案：B解析：投毒通常让奖励忽视碰撞，碰撞率上升最直观。二、多项选择题（每题3分，共15分）11.江苏某光伏组件厂在EL（电致发光）图像缺陷检测中，为达到“可验证安全”，下列哪些措施必须同时满足：A.模型权重使用国密SM4加密存储B.推理日志写入区块链（Fabric联盟链）C.提供可验证延迟函数(VDF)防止回滚攻击D.采用差分隐私ε≤1.0E.现场部署光闸实现物理隔离答案：ABC解析：基线4.2.2要求“加密+不可篡改日志+防回滚”，D、E为推荐非强制。12.关于“数字孪生+AI”在大型锻压机床的健康管理，下列哪些数据需纳入“安全监测白名单”：A.油温传感器采样值B.控制室视频监控流C.数字孪生体API调用序列D.工程师VPN登录日志E.机床CAD原始图纸答案：AC解析：白名单聚焦“工业数据域”，B、D、D属IT域或管理域。13.在AI供应链安全评估中，对第三方模型仓库必须审查：A.是否提供SBOM（软件物料清单）B.是否通过ISO/IEC27040C.是否具备《江苏省AI模型来源合规声明》D.是否使用GPL3.0许可证E.是否提供模型水印摘要答案：ACE解析：B为存储安全标准，与仓库无关；D为开源许可，不直接关联安全。14.当发生“模型窃取攻击”时，可采用的溯源技术包括：A.权重指纹（WeightFingerprinting）B.查询日志聚类分析C.模型输出置信度分布D.边缘设备功耗侧信道E.对抗样本鲁棒性测试答案：ABC解析：D、E与溯源无关。15.以下哪些做法能有效降低“数据投毒”在江苏食品包装缺陷检测中的成功率：A.训练前对样本进行k-NN密度过滤B.使用多视图一致性校验C.标注员与审核员双人双岗D.采用随机平滑（RandomizedSmoothing）E.将损失函数从交叉熵改为FocalLoss答案：ABC解析：D、E提升鲁棒性，但对投毒预防效果有限。三、判断题（每题1分，共10分）16.在江苏省智能制造示范工厂内，AI模型推理时若出现“浮点溢出”可视为安全事件。（√）17.联邦学习中，参与方上传的梯度经过同态加密后可完全杜绝成员推理攻击。（×）18.对于“零日缺陷样本”，允许先上线后补标注。（×）19.采用国密SM2签名可保证模型OTA升级包的完整性。（√）20.在AI安全防护体系中，物理安全与网络安全可独立设计、互不干扰。（×）21.若模型输出可解释性满足LIME，则无需再提供SHAP报告。（×）22.江苏省鼓励企业采用“AI安全红蓝对抗”机制，每年至少开展一次。（√）23.对于外包标注团队，必须签署《数据隐私与安全承诺书》。（√）24.使用生成式AI产生的PLC代码无需再考虑功能安全SIL等级。（×）25.在边缘侧部署容器时，禁用--privileged参数是基线要求。（√）四、填空题（每空2分，共20分）26.在钢铁表面缺陷检测中，若输入图像分辨率4096×2048，批量大小=4，模型采用FP32，则单张推理所需显存约等于______MB（仅考虑输入张量，1MB=1024×1024Byte）。答案：64解析：4096×2048×3×4Byte=100663296Byte≈96MB，但题目问“单张”，96/4=24MB，FP32无需乘4，故24MB，取最接近整数24，但标准答案给64，重新核算：题目已说明“批量大小=4”，但问“单张”，因此单张输入张量仍为4096×2048×3×4Byte=96MB，96取整为64属印刷错误，正式阅卷以96给分。27.依据《指引》，AI安全事件应在______小时内向江苏省工信厅“智造安全平台”完成初报。答案：228.当使用CKKS同态加密方案时，密文-明文膨胀比理论下限约______倍。答案：429.对于“模型水印”鲁棒性测试，需在Top-1准确率下降不超过______%条件下仍能检出水印。答案：330.在光伏EL图像数据集中，若每类缺陷最少样本低于______张，则触发“小样本风险”预警。答案：5031.采用“可验证延迟函数”VDF时，延迟参数T应满足T≥______秒，以防止回滚攻击。答案：1032.对于AI模型OTA升级，差分包必须使用______算法生成摘要，长度不低于256位。答案：SM333.在边缘侧启用SELinux后，策略模块的布尔值httpd_can_network_connect应设为______，以禁止推理服务主动外联。答案：off34.当使用随机平滑的噪声标准差σ=0.25时，若期望获得ℓ₂认证半径R=1.0，则所需平均投票次数N≥______（已知Φ⁻¹(0.99)=2.33）。答案：54解析：N35.在钢铁物流调度强化学习场景中，若奖励函数被恶意乘以系数k，导致平均奖励上升15%，则k≈______。答案：1.15五、简答题（每题10分，共20分）36.结合江苏省某化纤企业实际案例，说明“数据漂移-物理域联动检测”机制的部署要点与成效。答案：1)部署要点a.在120台高速相机边缘盒中嵌入“双轨”特征提取：一是传统CNNembedding，二是基于物理的光度立体法，得到表面法向图。b.建立KL散度+Wasserstein双指标，每30分钟计算一次；同时采集机台震动、温湿度、LED光源电流值。c.一旦KL>0.4且震动RMS增幅>8%，立即触发“物理域优先”策略：先检查光源衰减、镜头偏移，再决定是否重标注。d.采用“影子模型”热切换，重训过程在GPU集群完成，通过Kubernetes灰度发布，滚动替换。2)成效a.2025年Q4试运行期间，成功拦截3起由LED灯条老化导致的“假阴性”漂移，避免约240万米瑕疵丝流入下游。b.重训周期从7天缩短至38小时，KL值下降平均62%。c.现场工程师人工复判工时降低45%。37.阐述“模型权重国密密封+TPM远程证明”在江苏某晶圆厂AI缺陷检测中的完整流程，并给出威胁模型分析。答案：1)流程a.训练服务器在可信执行环境(TEE)内完成权重计算，使用SM4加密权重，密钥密封至TPM2.0NVRAM，绑定PCR7（安全启动度量）。b.边缘盒子启动时，TPM生成Quote（含PCR值+随机数），通过国密SM2签名，发送给远程证明服务(RAS)。c.RAS验证签名及PCR预期值，若匹配则释放解封密钥，边缘盒解密权重到内存，推理过程在SGXEnclave内完成。d.推理日志实时写入Fabric联盟链，哈希值用SM3计算。2)威胁模型a.物理窃取：攻击者拆机取出eMMC，因权重被SM4加密且密钥密封，无法解密。b.回滚攻击：TPM计数器及VDF防止旧版本Quote重放。c.侧信道：Enclave内禁用cache分配，防止Prime+Probe。d.供应链：SBOM+《合规声明》确保第三方.so无后门。e.拒绝服务：RAS采用anycast+备份节点，SLA99.9%。六、综合案例分析题（15分）38.背景：江苏某动力电池龙头企业的AI极片缺陷检测系统于2026年3月上线，系统架构如下：200台12K线扫相机→FPGA边缘推理盒（JetsonOrin）→5G专网→中心GPU池→MES。模型更新采用联邦学习，每7天聚合一次。3月15日10:20，现场发现“极片褶皱”漏检率由0.3%飙升至5.7%，同时中心GPU池出现大量对外UDP8888流量。问题：(1)请给出事件定级与应急响应路线图（5分）(2)请分析攻击路径，并指出可能的入侵点（5分）(3)请给出事后加固方案，含技术与管理各两条（5分）答案：(1)依据《江苏省制造业AI安全事件分级标准》，漏检率>5%且伴随异常外联，定为“重大（Ⅱ级）”。路线图：a.10:21切断所有边缘盒对外TCP/UDP，启用本地影子模型；b.10:25向省平台初报；c.10:30镜像FPGA文件系统，保存5G核心网NetFlow；d.11:00红队入场，开始取证；e.24小时内提交详细报告。(2)攻击路径：a.入侵点：5GCPE未关闭