国家金融监督管理总局近日发布关于银行业保险业人工智能安全开发应用的指导意见,其中对供应链风险与开源技术管理提出了明确要求。这份文件标志着金融监管层首次系统性地将AI供应链安全纳入合规框架,对金融机构的AI采购、部署和自研路径将产生深远影响。
指导意见的核心在于防范“集中度风险”。监管要求金融机构建立覆盖人工智能算力、模型、数据和技术工具等环节的供应链安全合规管理机制,确保应用自主可控。这意味着银行和保险公司需要对AI基础设施的供应商进行更严格的审查,避免在关键环节形成对单一技术或单一厂商的过度依赖。在当前AI算力芯片供应高度集中、大模型API服务由少数几家科技巨头主导的背景下,这一要求可能推动金融机构在供应商选择上更加多元化,或加大对国产替代方案和自研能力的投入。
文件同时对开源技术的使用划定了红线。金融机构被要求完善开源技术使用规范,建立开源软件管理台账,对外部引入的开源组件进行审查评估,并加强代码审计、漏洞扫描及安全测试。监管特别提到要“防范供应链投毒”,这指向了近年来软件供应链攻击频发的现实——恶意代码通过被广泛使用的开源组件传播,可能危及金融系统的数据安全和业务连续性。定期排查开源组件风险隐患,意味着金融机构需要建立持续性的开源治理流程,而非一次性审查。
从产业角度看,这份指导意见将加速金融行业AI应用的合规化进程。一方面,对算力和模型供应商的集中度管控,可能为国产AI芯片厂商和中小模型开发商打开窗口;另一方面,开源治理的强化将催生对代码审计、漏洞扫描等安全工具的需求,利好相关网络安全和服务商。对于已深度绑定金融客户的AI公司而言,如何证明自身供应链的透明度和安全性,将成为维持合作关系的关键。
监管层在AI快速渗透金融业的当口出台此文件,既是对技术风险的提前防范,也体现了“安全与发展并重”的治理思路。金融机构在推进AI应用时,需要在创新效率与供应链韧性之间找到新的平衡点。