Risco de cadeia de fornecimento de IA
O que é Risco de cadeia de fornecimento de IA?
Risco de cadeia de fornecimento de IAConjunto de ameaças decorrentes dos datasets, modelos base, bibliotecas, plug-ins e infraestrutura de terceiros que as organizações combinam para construir e implementar sistemas de IA.
A IA moderna raramente é construída do zero. As equipas obtêm modelos base no Hugging Face, datasets de crawls públicos, instalam pacotes Python e Node, integram bases de dados vetoriais e consomem APIs de modelos alojados. Cada elo é um risco: pesos envenenados ou com backdoor, ficheiros pickle maliciosos, typosquatting no PyPI, payloads de injeção de prompt em datasets, dependency confusion, plug-ins comprometidos e infraestrutura de inferência insegura. O OWASP LLM Top 10 destaca explicitamente vulnerabilidades de cadeia de fornecimento; o NIST AI 100-2 e o AI Act europeu impulsionam a rastreabilidade. Controlos incluem AIBOM, artefactos assinados (Sigstore para modelos, Model Signing Spec), rastreabilidade de proveniência, carregamento em sandbox, dependências fixadas e monitorização contínua dos registos a montante.
● Exemplos
- 01
Um modelo no Hugging Face publicado com um payload pickle malicioso que executa código ao carregar.
- 02
Uma biblioteca cliente de base vetorial com typosquatting no PyPI a exfiltrar chaves API durante a instalação.
● Perguntas frequentes
O que é Risco de cadeia de fornecimento de IA?
Conjunto de ameaças decorrentes dos datasets, modelos base, bibliotecas, plug-ins e infraestrutura de terceiros que as organizações combinam para construir e implementar sistemas de IA. Pertence à categoria Segurança de IA e ML da cibersegurança.
O que significa Risco de cadeia de fornecimento de IA?
Conjunto de ameaças decorrentes dos datasets, modelos base, bibliotecas, plug-ins e infraestrutura de terceiros que as organizações combinam para construir e implementar sistemas de IA.
Como se defender contra Risco de cadeia de fornecimento de IA?
As defesas contra Risco de cadeia de fornecimento de IA costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Risco de cadeia de fornecimento de IA?
Nomes alternativos comuns: Risco de cadeia de fornecimento AI/ML, Cadeia de fornecimento de modelos.