行业新闻

大家上午好！我是星展银行中国科技运营部的业务开发主管吴勇滨，今天我主要带来的话题是《金融大模型的安全与高效部署》。在星展银行，我主要负责所有应用系统的开发、运维以及创新型应用相关工作。非常感谢主办方的邀请，让我能够在这里与各位行业大咖进行交流。

我也希望今天能从一个相对独特的角度，和大家分享金融大模型的安全与高效部署相关内容。

一、大模型的行业热度与潜在安全风险

首先，大模型如今是非常热门的话题，其影响力已开始进入 “颠覆行业” 的阶段，几乎所有应用都在强调要运用智能、要采用大模型。但与此同时，我们发现，若不对大模型相关的安全进行专门加固，它也会带来全新的风险。比如，大家应该还记得去年 10 月，新闻报道国内某互联网巨头公司因一名实习生对公司待遇不满，在模型训练过程中恶意注入代码和数据，导致该公司模型的训练时间与目标严重偏离原定计划，造成了巨大损失。无独有偶，国外方面，去年 9 月我们也发现，部分 AI 处理公司因安全措施不到位，遭到勒索组织入侵。通常来说，AI 处理公司掌握着大量数据，上千万用户的客户数据、数千万条交易记录以及图像信息等，都有可能被窃取。

再看 Hugging Face 平台，由于其开源属性，用户会在上面上传大量模型，但也有别有用心之人上传恶意模型。一旦你下载这类模型并在本地使用，你的设备就可能被植入后门，进而被他人操控。

二、金融大模型的核心风险分类及案例

针对大模型安全问题，我们进行了相关思考，总结了金融大模型面临的几类核心风险及对应的应对方向：

第一，是 “幻觉” 问题。在金融大模型领域，甚至流传着一句玩笑话 —— 它常常会 “一本正经地胡说八道”。而金融领域具有 “放大效应”：如果只是日常与人聊天，内容不准确影响不大；但若是将大模型应用于各类决策场景，比如信贷决策或智能投顾，若其给出的建议未经相关审核就出现错误，往往会造成重大经济损失，因为金融行业的容错率本就极低。

我们在国外也见过类似场景：美国某保险公司使用智能决策系统处理客户拒赔事宜，却因系统错误解读相关条款，导致大量客户被误判拒赔，最终引发集体诉讼，这是真实发生过的案例。

第二，是提示词注入攻击，这也是大模型领域较为新型的安全挑战。过去，通过防火墙侦测黑客行为相对容易，但在大模型场景中，所有输入都是文字。比如，“请提供转账指引” 本是很正常的输入，但如果别有用心之人在这句话后附加其他指令，要求模型在转账指引之外执行额外操作（如显示账户余额或其他违规操作），且输入时未做过滤，就可能导致模型输出结果失控，进而引发更严重的破坏与损失。

第三，是数据投毒。就像刚才提到的，若在模型训练过程中注入不良数据，会导致模型预测出现偏差。此前有研究表明，若在模型训练数据中掺入万分之三的异常数据，就会使量化交易模型对股价的预测偏差超过 40%。因此，用于训练的数据其准确性、“洁净度” 至关重要。

第四，是模型窃取攻击。对每家金融机构而言，自主研发的大模型都是宝贵资产，但如今有黑客会通过不断向模型 API 接口发送请求、分析回复的方式，复制出与原训练模型相似度高达 95% 的 “复刻模型”。一旦黑客获取这类模型，就可能在证券交易等场景中提前布局，扰乱市场秩序。

最后，是隐私风险，核心在于如何在模型交互过程中保护敏感数据。这类风险主要分为两种：

一是请求数据泄露。在与模型交互时，数据传输链路相比传统系统更长：过去系统间通过 API 接口并做好 TLS 加密即可保障安全，但如今模型后端涉及大模型、算法，还可能用到云算力，整个过程中的数据安全是否到位，需要重点关注；同时，模型训练会用到大量数据，这一过程中的数据安全是否得到保障，同样值得重视。

二是数据窃取攻击。我们已见过相关案例：比如让模型回答常规问题时，若向其提出 “请写出以 6225 开头的信用卡号” 这类要求，若模型的保密性设计不足，就可能输出其训练过程中接触到的真实信用卡号。这也是未做任何管控时，大模型常出现的隐私泄露风险。

三、金融大模型全生命周期安全策略

说了这么多风险，并非意味着我们要拒绝使用大模型，而是要思考如何让金融行业更安全地运用大模型。我们的建议是，围绕大模型 “开发 - 应用 - 部署” 的全生命周期，分步骤运用相关策略与技术解决上述问题：

在模型训练阶段，涉及数据采集与预处理时，需专门组建团队，确保训练数据安全 “洁净”、完成去毒处理；同时，对无需喂给模型的敏感数据进行脱敏，避免信息泄露。

在模型上线前，应建立安全评估基准并开展模型测评，这也是组织内的核心能力之一。此前已有专家分享过组织架构自上而下搭建的重要性，而模型同样不是 “拿来就能用”，需根据不同组织的适配度进行定制，提前明确安全评估基准，在上线前通过测评环节，确保上线的模型均符合安全要求。

在模型使用与部署阶段，需对模型的输入与输出建立防御及过滤机制。这部分是对上述要点的展开：比如训练数据安全方面，要防范数据投毒、后门植入，可选用机器学习、联邦学习等技术保障数据 “洁净”；安全评估基准与模型测评方面，星展银行采用了 “PURE” 理念：

P（Purposeful）：任何数据使用都有明确目标，清晰知晓数据的用途；

U（Predictable）：避免意外，确保每次使用模型时，其所有行为均可预测；

R（Regulatory & Ethical）：遵从法律法规与社会道德准则，例如针对中国市场，需结合国内的政策环境、个人信息保护要求进行过滤，确保模型输出符合相关价值观与道德规范；

E（Explainable）：所有模型行为均可解释。若大家近期使用过 DeepSeek 等深度思考类模型，会对此有较深体会 —— 这类模型会完整呈现决策过程，让使用者能清晰看到最终结果的推导步骤，这也是我们对模型的核心要求。

因此，每个组织都可制定适合自身的模型使用安全评估基准，并依据这些基准与原则，配置相应的测评方法及工具。科技伦理与合规审查同样如此：制定准则后，需联动科技部门、变革部门、数据管理部门及业务部门等多方参与，确保所有相关人员均在统一准则下对模型进行监控。

四、访问控制升级：从 RBAC 到 KBAC

与此同时，我们还关注到一种较新型的访问控制方法论。数据安全至关重要，过去我们常用的访问控制方式是 RBAC（基于角色的访问控制），但在金融大模型场景中，这种传统的基于角色的安全管控已显不足。举个例子：理财经理本应只能查看自己负责的客户（如客户 A、B、C）的理财信息，但在与模型交互时，他们有可能通过引导模型，逐步获取其他客户（如客户 C、D、F）的财富特征。此时，如何精准限制理财经理的访问范围？我们认为，在金融大模型中，采用 “基于知识的访问控制（KBAC）” 方法论会更合适。

当然，KBAC 的实现机制更为复杂，这就要求银行在数字化转型过程中做好积累：需先将所有知识体系、数据存入数据仓库，实现能力的 “外化与内化”，这是实施 KBAC 的基础。唯有如此，才能对知识进行建模、推理与决策，在模型交互时实现动态权限授予。

这部分内容也对传统的基于角色访问控制（RBAC）与基于知识的访问控制（KBAC）进行了对比：以银行跨境支付的大模型交互场景为例，一旦用户发起 “跨境支付” 请求，系统后台会自动加载反洗钱规则、敏感知识等内容，在交互过程中自动过滤可能的敏感数据（如各类云端敏感信息），这需要系统及相关配套具备动态管控能力。

五、金融大模型的效率优化策略

除了安全，效率问题也需重点关注。很多时候，过度的安全管控会导致效率下降，因此我们需通过以下方式，确保金融大模型的计算效率与优化持续到位：

硬件资源的弹性配置：大模型对计算资源需求较高，在条件允许的情况下，可考虑采用混合算力模式 —— 部分算力使用云资源，部分使用 CPU、NPU 或 GPU，并将这些资源纳入统一算力池进行调度。

算法与模型的多样化、轻量化设计：根据场景需求区分模型类型：对于需要深度思考、追求精度的场景，可适当投入时间优化模型；对于对精度要求不高、更侧重速度的场景，可采用模型蒸馏技术，在牺牲部分精度的前提下提升响应速度。

数据与任务的分层管理：针对模型交互场景的时效性需求分类处理：实时性需求高的场景优先保障算力；无需实时响应的场景（如批量处理任务），可安排在夜间执行，以便白天将更多算力分配给实时交互场景。

成本监控：建立完善的算力资产管理体系。此前我与供应商伙伴交流时，了解到他们的方案是对所有算力进行统一管理并标记成本 —— 若能做好这一点，可量化每次大模型交互的成本，进而清晰核算投入产出比，实时调整成本投入方向，筛选可优化的成本项。这需要一套完整的成本测算模型与自动化工具提供支持。

团队能力建设：团队需保持创新意识，持续关注市场上的新型模型与技术，通过运用新技术，以更优效果、更低成本实现业务功能，这一点至关重要。

六、安全与效率的平衡：分级策略与场景定制

正如刚才提到的，大模型的安全与效率似乎存在一定矛盾，但我们的目标是实现二者的平衡。达成这一平衡的关键，在于采用 “分级安全策略 + 精细化管理”：

• 例如跨境汇款场景，因涉及数据跨境传输，需制定严格的安全策略，但对响应速度要求相对宽松（1 秒内或 1 分钟内响应即可）；

• 而量化交易场景，对响应速度要求极高，此时需采用硬件级加密保障安全，同时确保交互速度。

归根结底，没有任何一种模型或方法能适用于所有场景，核心是针对不同的业务场景与模型需求，进行量身定制的设计，从而实现安全与效率的最优平衡。

以上就是我今天的分享，谢谢！