《大模型安全能力成熟度模型(LLMS-CMM)》正式发布 构建大模型安全治理与建设框架

随着生成式人工智能全面进入产业规模化落地的关键阶段，大模型安全风险已从单一技术议题，升级为影响AI产业高质量发展的核心制约因素。为破解大模型安全治理难题，填补全流程标准化安全建设的行业空白，《大模型安全能力成熟度模型(LLMS-CMM)》框架白皮书正式发布。

《大模型安全能力成熟度模型(LLMS-CMM)》由Aiii人工智能创研院牵头发起，联合中国下一代网络安全联盟、奇点智源(深圳)科技有限公司、深圳市蓝典信安科技有限公司等多家机构共同起草编制，为全行业提供了一套覆盖大模型全生命周期的系统化、可量化安全能力评估与建设框架。

据悉，本次发布的《大模型安全能力成熟度模型(LLMS-CMM)》由网络安全专家叶绍琛担任主要起草人，王程、陈天宇、蔡国兆等十余位深耕人工智能安全、网络空间安全领域的资深专家参与起草编制。结合全球大模型技术发展趋势、国内外监管合规要求与国内产业落地实践，历经多轮行业调研、企业论证与专家评审，最终形成了这套兼具前瞻性、专业性与落地性的框架体系。

· 五大能力域闭环 覆盖大模型全生命周期安全

大模型安全能力成熟度模型(LLMS-CMM)彻底突破了传统单点防护的思维局限，以大模型从数据准备、模型开发、系统部署到运维退役的完整生命周期为核心轴线，将安全治理贯穿大模型从诞生到退役的全流程，定义了五大核心安全能力域，完整勾勒出大模型安全治理的全景蓝图。

在数据安全域，模型以保障训练与微调数据全生命周期的安全性、隐私性和完整性为核心目标，明确了数据投毒检测与防护、数据水印与溯源等关键实践，从源头筑牢大模型安全的第一道防线。

针对决定模型底层安全的模型开发安全域，模型覆盖架构设计、预训练、微调、价值观对齐全流程，提出安全原语风险分析、对齐机制安全验证等核心实践，从技术底层构建大模型的内生安全能力。

在系统部署安全域，模型聚焦大模型推理服务落地全场景，针对推理服务、云原生基础设施、可信执行环境三大核心场景，明确了推理过程全链路监控与审计、容器安全等关键要求，保障大模型上线后的稳定安全运行。

面向AI智能体技术带来的新型安全挑战，模型专门设置智能体与运维安全域，对智能体安全架构设计与权限边界管控、外部工具调用链全流程风险防控等做出系统性规范，提前布局应对AI自主决策带来的未知安全风险。

同时，模型补齐了行业长期忽视的供应链与退役安全域，要求组织建立完整的软件物料清单 (SBOM) 管理机制，实施第三方模型与数据供应商全周期风险评估，严格验证开源模型来源与完整性，并对模型退役环节的彻底删除、副本清理与安全遗忘制定了明确规范，真正实现了大模型全生命周期的安全治理闭环。

· 五级成熟度阶梯 打造可量化的安全能力提升路径

为适配不同发展阶段、不同规模组织的安全建设需求，大模型安全能力成熟度模型(LLMS-CMM)借鉴国际通用的CMMI成熟度方法论，深度融合大模型产业特性，搭建了从初始级（L1）到优化级（L5）的五级成熟度评价体系，从组织建设、制度流程、技术工具、人员能力四个核心维度，为各类组织提供了阶梯式、可量化的安全能力提升路径。

L1初始级的核心特征是被动应急，安全活动呈临时、点状分布，完全依赖个人能力，无稳定的安全管控流程与专职人员，安全问题仅在发生后被动处置。

L2可重复级实现了项目级的流程固化，已在单个项目中建立基础安全流程与检查清单，安全动作可重复执行，但仍缺少组织级的统一标准与体系化规划。

L3已定义级完成了组织级的标准化建设，建立起覆盖全组织的大模型安全管理制度与 SDL-AI 安全开发流程，风险治理实现常态化，专职安全团队就位，企业安全文化初步形成。

L4已管理级迈入数据驱动的量化管控阶段，建立了以 MTTD（平均检测时间）、MTTR（平均修复时间）为核心的安全量化度量体系，基于数据开展安全决策，安全能力进入可预测、可管控的成熟阶段。

L5优化级为成熟度最高等级，实现了安全能力的持续迭代与创新引领，安全体系从成本中心转变为业务创新的赋能器，能够主动预判行业新兴安全威胁，形成可复制的最佳实践并向全行业输出，安全能力成为企业核心竞争优势。

针对模型落地实施，大模型安全能力成熟度模型(LLMS-CMM)同步提供了从准备、评估、分析到改进、复评的全流程五步实施指南，并明确了高层战略支持、全员跨部门参与、持续资源投入、安全文化引领四大落地成功关键因素，同时针对行业普遍面临的资源投入平衡、技术快速迭代、专业人才短缺等共性挑战给出了应对指引，为不同类型、不同发展阶段的组织提供了可直接落地的操作手册。

业内人士表示，当前生成式人工智能正处于从技术突破向产业深度融合的关键节点，安全治理能力已成为决定产业发展上限的核心基石。《大模型安全能力成熟度模型(LLMS-CMM)》的发布，不仅为国内各类组织提供了一套体系化、标准化、可量化的大模型安全治理框架体系，帮助企业精准定位安全短板、构建全流程安全防控体系，更将推动国内大模型安全治理行业的标准化、规范化发展，为我国生成式人工智能产业的健康、可持续发展筑牢安全屏障。

转载自：中华网 科技频道 https://tech.china.com/articles/20260422/202604221852847.html