蚂蚁开源SingGuard双框架,AI安全从行为到感知筑牢边界

2026年,AI安全领域的重要性被推到了台前。近期工信部相关平台发布风险预警,明确指出Claude Code存在安全后门隐患,可在用户不知情的情况下收集敏感信息;更早前走红全网的OpenClaw,也被曝出多起高危险漏洞事件。
从横空出世到快速普及,再到漏洞频发、信任受损,这几乎是当前智能体产品共同的发展轨迹。如今的AI能力越来越强,但伴随而来的风险也像滚雪球般不断扩大,滥用工具、恶意代码生成、提示注入等行为风险,早已不是一两个零散补丁就能彻底解决的问题。
面对全新的风险形态,行业正出现一个清晰的转变趋势:从被动的“漏洞修补”转向主动搭建系统性的安全框架。其中,近期蚂蚁安全团队开源的SingGuard-NSFA和SingGuard两个安全框架,就成为了值得关注的前沿尝试。前者专注管控智能体的执行行为,后者则聚焦多模态大模型的感知安全,核心目标都是在AI行动落地之前,将安全风险扼杀在萌芽阶段。
这两个框架的研发团队来自有着长期安全技术积累的机构,其内部的安全能力本身就是一条持续演进的路径:从最初的支付安全、风控体系,到如今的AI安全防护,技术脉络清晰且不断深化。
无论是OpenClaw还是Claude Code的安全事件,背后都指向一个核心事实:AI安全的风险源头,已经从单纯的模型输出内容,转向了智能体的实际行为本身。
过去的AI安全防护,本质上还是延续了互联网时代的内容审核思路,只需要紧盯模型的输出文本完成合规检查即可。但如今的大模型早已不满足于单纯的对话交互,它们可以调用工具、运行代码,可触及的业务边界越来越广,对应的安全风险也随之大幅提升。仅仅关注模型“说了什么”已经远远不够,现在真正需要关注的,是模型“做了什么”——而这恰恰是传统内容安全分类体系无法覆盖的盲区。
随着多模态技术的发展,安全风险的形态进一步复杂化:风险不再局限于文本内容,还可能隐藏在图像细节、图文组合,甚至模型自身的响应逻辑中。更棘手的是,不同业务场景的安全红线处于持续动态变化中,昨天还符合合规要求的内容,换一个场景就可能触碰安全底线。已知的漏洞或许可以通过打补丁暂时应对,但面对未知风险和不断变动的规则,被动修补显然治标不治本。
行业真正缺少的,从来不是一个又一个临时补丁,而是一套能够明确定义安全边界、应对未知风险和规则变动的底层安全框架。蚂蚁安全近期开源的两大安全框架,正是针对这个核心问题给出的解决方案。
先来看面向智能体安全的双模推理护栏框架SingGuard-NSFA,该框架提供了0.8B、2B、4B、9B四个不同尺寸的版本。它的核心设计思路是将安全检查前置到智能体执行操作之前,同时在请求拦截和响应兜底两个环节设置防护,将安全防线从单纯的文本合规,推进到全行为安全管控的层面。
这套框架的技术支撑,来自一套系统性的NSFA风险分类体系和多语种评测基准。研发团队以经典的CIA三元组——机密性、完整性、可用性作为理论底座,结合三份OWASP发布的大模型与智能体安全指南的实践经验,将智能体可能面临的各类风险进行了系统化拆解和梳理。
框架同时支持两种风险拦截模式,通过SFT生成式推理与判别式分类头同步发力:
- 生成式模式:会逐条输出基于NSFA定义的链式推理分析,让每一步安全判断都有据可查,适用于离线合规审计场景;
- 判别式模式:每次前向传播即可直接给出各风险域的置信度,延迟可控制在45~57ms之间,能够满足高吞吐的实时在线拦截需求。
该框架还有一个轻量化扩展的设计亮点:其骨干网络处于冻结状态,真正负责风险判断的是外挂在骨干网络上的轻量分类头。当出现新的安全风险时,只需要针对这个轻量分类头进行补训即可,能够轻松实现原生可扩展。甚至可以将这套架构作为插件使用,比如为Llama Guard 3额外增加一个分类头后,用户请求安全基准的F1值可以直接提升17.6个百分点。
从实测效果来看,SingGuard-NSFA在用户请求安全、模型响应安全、跨数据集泛化这三大评测基准上均取得了SOTA表现。其中最小的0.8B模型就能比肩8B量级的竞品,9B尺寸的版本在泛化能力上更是达到了91.29%的F1值,精度与召回的平衡表现出色。
另一个开源框架SingGuard则面向多模态大模型安全,同样提供了0.8B、2B、4B、8B四个尺寸的版本。它最大的特点是将安全规则设置为运行时输入,不同业务场景可以根据自身需求现场下发专属的安全红线,模型会据此逐条进行安全判定。这意味着该框架不仅能够判断内容是否存在风险,还能验证其是否违反当前业务的特定防控规则。
在推理层面,SingGuard同样采用了快慢分工的设计思路:快思考模块负责低延迟的快速判定,慢思考模块则针对每条规则进行深度推理,两者之间可以通过early exit机制自动切换,在检测效率和准确性之间找到最优平衡。针对线上多条规则并行审核的效率瓶颈,研发团队还提出了RI-Mask技术,让共享的图文上下文只需要编码一次,即可支持多条规则并行判断,最多可将多模态推理速度提升5倍以上。
SingGuard-NSFA和SingGuard两个框架虽然面向的防护对象不同,一个聚焦AI行为管控,一个侧重AI感知安全,但二者的核心设计理念高度一致:都强调安全检测的过程可解释性,以及新增风险的轻量可扩展性。具体来说,无论是判定用户触犯了哪条安全规则,还是给出判定依据,整个审核过程都可以被清晰追溯,绝非黑箱式的简单结论;而当出现新的安全风险时,只需要进行轻量扩展即可,不会影响已有的安全检测能力。
如果说多数安全产品解决的是单点的具体问题,那么这类系统性的安全框架,则更像是在定义未来智能体运行所依赖的通用安全基础设施。
如果拉长时间线来看,这一次的开源并非孤立事件。今年早些时候,在全网关注OpenClaw漏洞的同时,蚂蚁AI安全实验室就曾发现多个高危漏洞并协助官方完成修复;随后,该团队与清华大学联合开源了ClawAegis,为智能体提供了覆盖产品全生命周期的安全解决方案;再到此次的两大安全框架开源,整个技术布局脉络清晰可见:从最初的漏洞挖掘,到场景化的安全方案,再到可复用的底层安全框架,整体布局正在逐步收束成完整的体系。
前不久,蚂蚁的智能体安全产品还通过了第三方权威实验室的最高等级评级,这一认证也从侧面证明,其在安全技术的工程落地方面已经走在了行业前列。
可以说,依靠零散补丁修补风险的时代已经过去,整个行业需要有团队迈出关键一步,去明确定义AI时代的安全边界,搭建一套所有从业者都可以依托的通用安全底座。
Claude Code、OpenClaw引发的安全讨论,或许只是AI安全新阶段的开端。随着智能体越来越深入办公、开发和日常生活场景,AI安全也将进入全新的发展阶段。相比不断追赶已出现的漏洞,如何建立一套能够持续适应风险变化的安全基础设施,或许才是整个行业下一步需要真正解决的核心问题。
从这个角度回头审视近期的这些开源动作,它们真正值得关注的,早已不只是冰冷的性能指标,而是开始尝试回答一个更底层的行业命题:AI时代的安全边界,究竟应该如何定义。


