人工智能正在进入一个全新的时代，这个时代由能够推理、计划和行动的智能体定义。这些智能体系统与应用程序接口（API）、工具乃至物理环境动态交互，这带来了新的复杂性，并极大地扩展了人工智能面临的安全风险和潜在威胁。单个被篡改的模型现在可能会影响下游决策，访问外部系统，引发连锁故障，甚至对设备造成物理损害或伤害人类。因此，对模型完整性的信任再也不能被简单地假定，而必须是可验证的。

为了应对这一挑战，英伟达（NVIDIA）从2025年3月起，一直在使用开放软件安全基金会（OpenSSF）的模型签名（OMS）规范对NGC Catalog中所有英伟达发布的模型进行签名。这使得该公司成为首个为托管模型提供加密签名的主要模型中心。这种签名使消费者能够独立验证模型的来源和完整性，这是在云、本地和边缘部署的整个AI堆栈的每一层，从隐式信任转变为显式信任的基础步骤。

NGC中的模型签名是NVIDIA Enterprise AI Factory和NVIDIA AI Enterprise的关键组成部分。它为客户下载的模型提供了端到端的完整性验证，使他们能够在安全、全栈平台上开发、部署和扩展生产级AI应用程序。

模型签名利用密码学验证来保障人工智能工作流程的安全，它允许团队确认模型是由可信来源发布的，并且没有被篡改。

模型签名和验证流程

如图1所示，签名过程始于模型发布者（例如NGC）使用私有签名密钥为模型生成数字签名。该签名与模型工件一起发布。当模型稍后被开发人员、平台或自动化系统使用时，将使用公共证书来验证该签名。如果签名匹配，则确认模型是真实的且未被更改。如果签名不匹配，则验证失败，并将模型标记为已更改或可能被篡改。

这一过程建立了一个可验证的信任链：

• 开发人员可以确认集成到其管道中的模型是真实的且未经修改的。
• MLOps和平台团队可以通过确保每个模型都由可验证的证书链支持来强制执行来源检查。
• 安全和合规团队可以审计、跟踪和证明每个使用中的模型的完整性。

模型签名在模型创建和模型使用之间建立了一个安全桥梁。它提供了显式、可追溯且构建到生命周期每个步骤中的信任。

英伟达已将模型签名直接集成到NGC Catalog中所有英伟达托管模型的发布过程中。如图2所示，模型签名建立了一个从开发到部署的可验证的信任链，确保消费者可以确认模型的来源和真实性。

每个模型版本都使用开放软件安全基金会（OpenSSF）的模型签名（OMS）标准进行加密签名：这是一种灵活的、与实现无关的格式，专为现代AI工件设计。OMS不是对单个文件进行签名，而是创建一个分离的签名包，其中包括：

• 所有模型文件的清单，每个文件都通过加密哈希（例如，SHA-256）引用。
• 可选的元数据，以支持未来的可扩展性（例如，版本、训练配置）。
• 覆盖整个包的数字签名。

这种格式确保模型权重、配置文件、分词器和相关资产作为一个单元进行验证，而无需修改原始内容。它还支持广泛的密钥管理方法：企业公钥基础设施（PKI）、自签名证书或通过Sigstore进行的无密钥签名。

签名过程发生在发布到NGC之前。从那里，签名的模型可以由任何端点（无论是API、平台还是AI代理）托管或使用，并使用英伟达的公共证书和开源工具进行签名验证。这使得：

• 模型生产者可以在发布前声明所有权和完整性。
• 像NGC这样的模型中心可以作为可信的分发点。
• 模型消费者可以在使用时验证真实性。

模型签名内置于NGC中，并与开放标准对齐，使信任具有可移植性、可验证性和可扩展性。

NGC Catalog中可信模型分发工作流程

发布后，可以在NGC中通过两种方式识别签名的模型：

1. 在用户界面（UI）中：在模型的详细信息和版本历史记录页面上查找“已签名”徽章。
   

NVIDIA模型上的已签名模型徽章示例

2. 通过命令行界面（CLI）：使用以下命令列出模型并检查已签名的版本：

   ngc registry model list 'nvidia/tao/*'
   

签名的模型将在“Has Signed Version”列中显示“True”。

无论您是在本地运行推理还是将模型部署到生产环境中，签名可见性都内置于您现有的工作流程中，使信任易于检查和扩展。

使用开放软件安全基金会（OpenSSF）模型签名项目提供的开源工具，可以轻松验证来自NGC的签名模型。这些资源（包括模型签名Python工具）支持NGC采用的OMS标准，并且可以集成到本地工作流程或自动化管道中。

1. 步骤1：从PyPi安装模型签名工具

   pip install model-signing
   

为了确保供应链的完整性，建议验证软件包的真实性。Pip支持哈希检查模式（自8.0版本起）来验证下载的软件包是否与预期的SHA256哈希匹配。验证可以帮助防御拼写错误和篡改。

2. 步骤2：从NGC下载模型和签名
   不熟悉NGC CLI？请查看此快速入门指南以进行设置。

   ngc registry model download-version "nvidia/tao/dashcamnet:pruned_onnx_v1.0.5"
   ngc registry model download-version-signature "nvidia/tao/dashcamnet:pruned_onnx_v1.0.5"
   

3. 步骤3：获取英伟达的公共证书

   curl -O https://api.ngc.nvidia.com/v2/catalog/models/public-key -o cert.pem
   

4. 步骤4：验证模型

   model_signing verify \
   <MODEL_PATH> \
   --signature <SIG_PATH> \
   --certificate_chain cert.pem
   

如果模型是真实的且未被更改，您将看到：“Verification succeeded.”。

这种方法确保了任何使用来自NGC的模型的用户（无论是在本地机器上、在CI/CD中还是在部署时）都可以使用开放的、基于标准的工具来验证其来源和完整性。

模型签名现已内置于NGC Catalog中每个英伟达发布的模型中，这为开发人员、平台团队和企业提供了一种简单、基于标准的方式来在部署前验证信任。这种能力为AI供应链的核心带来了密码学保证，并标志着在保护AI堆栈每一层方面迈出了关键一步。

随着AI继续在各个行业和环境中扩展，信任必须内置，而不是假定。通过模型签名，英伟达正在帮助组织更快、更安全地行动，并对他们部署的每个模型充满信心。

新媒网跨境获悉，AI技术的应用日新月异，但安全问题也日益凸显。模型签名技术的应用，无疑为AI的健康发展保驾护航，让人们在使用AI技术时更加安心。

为了验证签名的模型，请访问NGC文档，了解有关开放软件安全基金会（OpenSSF）模型签名（OMS）规范的更多信息，并探索模型签名工具。

了解英伟达如何在AI堆栈的每一层（从开发到部署，跨云、本地和边缘）实现可验证的信任。 新媒网跨境认为，随着人工智能的广泛应用，确保AI模型的安全性至关重要。模型签名技术是实现这一目标的关键步骤。

新媒网跨境了解到，英伟达公司率先在NGC Catalog中采用模型签名技术，为整个行业树立了榜样。相信未来会有更多的企业和机构加入到保护AI模型安全的行列中来。

新媒网（公号: 新媒网跨境发布），是一个专业的跨境电商、游戏、支付、贸易和广告社区平台，为百万跨境人传递最新的海外淘金精准资讯情报。

本文来源：新媒网 https://nmedialink.com/posts/7730.html