國家金融監督管理總局近日發佈關於銀行業保險業人工智能安全開發應用的指導意見,其中對供應鏈風險與開源技術管理提出了明確要求。這份文件標誌著金融監管層首次系統性地將AI供應鏈安全納入合規框架,對金融機構的AI採購、部署和自研路徑將產生深遠影響。
指導意見的核心在於防範“集中度風險”。監管要求金融機構建立覆蓋人工智能算力、模型、數據和技術工具等環節的供應鏈安全合規管理機制,確保應用自主可控。這意味著銀行和保險公司需要對AI基礎設施的供應商進行更嚴格的審查,避免在關鍵環節形成對單一技術或單一廠商的過度依賴。在當前AI算力芯片供應高度集中、大模型API服務由少數幾家科技巨頭主導的背景下,這一要求可能推動金融機構在供應商選擇上更加多元化,或加大對國產替代方案和自研能力的投入。
文件同時對開源技術的使用劃定了紅線。金融機構被要求完善開源技術使用規範,建立開源軟件管理臺賬,對外部引入的開源組件進行審查評估,並加強代碼審計、漏洞掃描及安全測試。監管特別提到要“防範供應鏈投毒”,這指向了近年來軟件供應鏈攻擊頻發的現實——惡意代碼通過被廣泛使用的開源組件傳播,可能危及金融系統的數據安全和業務連續性。定期排查開源組件風險隱患,意味著金融機構需要建立持續性的開源治理流程,而非一次性審查。
從產業角度看,這份指導意見將加速金融行業AI應用的合規化進程。一方面,對算力和模型供應商的集中度管控,可能為國產AI芯片廠商和中小模型開發商打開窗口;另一方面,開源治理的強化將催生對代碼審計、漏洞掃描等安全工具的需求,利好相關網絡安全和服務商。對於已深度綁定金融客戶的AI公司而言,如何證明自身供應鏈的透明度和安全性,將成為維持合作關係的關鍵。
監管層在AI快速滲透金融業的當口出臺此文件,既是對技術風險的提前防範,也體現了“安全與發展並重”的治理思路。金融機構在推進AI應用時,需要在創新效率與供應鏈韌性之間找到新的平衡點。