Mend.io 正式发布《AI 安全治理:安全与开发团队实用框架》,旨在解决企业 AI 采用速度远超治理能力的行业痛点。该框架强调“无法看见则无法治理”,首要任务是解决“影子 AI”问题,要求对开发工具、第三方 API、开源模型及自主智能体等 AI 资产进行全面盘点。
框架引入了可扩展的风险分级系统,从数据敏感性、决策权限、系统访问、外部暴露和供应链来源五个维度对 AI 资产进行评分,划分为低、中、高三个风险层级,并匹配差异化的审查与监控策略。同时,框架强调对 AI 系统严格执行最小权限原则,要求限定 API 密钥范围,并将 AI 生成的代码视为不受信任输入进行同等安全扫描。
在供应链安全方面,框架提出 AI 物料清单(AI-BOM)概念,详细记录模型来源、训练数据及依赖项,以契合欧盟 AI 法案等合规要求。此外,框架还定义了针对提示注入、模型漂移等 AI 特有威胁的三层监控机制,并提供四阶段 AI 安全成熟度模型,协助企业评估与提升治理水平。