cosai-oasis/secure-ai-tooling

# **Coalition for Secure AI (CoSAI) 工具集** 本仓库用于 **Coalition for Secure AI (CoSAI)** 的工作。CoSAI 是一个 [OASIS Open Project](https://www.oasis-open.org/open-projects/)，由行业领先组织的 AI 与安全专家组成的开放生态系统。我们致力于分享安全 AI 部署的最佳实践，并共同开展 AI 安全研究与工具开发。 如需了解更多关于 CoSAI 的信息，请访问 [CoSAI 网站](https://www.oasis-open.org/projects/cosai/) 和 [Open Project 仓库](https://github.com/cosai-oasis/oasis-open-project)，其中包含我们的治理信息与项目章程。 ## **项目** 本仓库包含 CoSAI 社区开发的工具、框架与资源。 ### Coalition for Secure AI Risk Map (CoSAI-RM) **CoSAI 风险图谱** 是一个用于识别、分析并缓解人工智能系统安全风险的框架。由于传统软件安全实践并不总是适用于 AI，该项目提供了一套共享的理解与通用语言，以应对 AI 开发生命周期中独特的安全挑战。 其目标是提供一个结构化的 AI 安全景观图谱，帮助从业者理解各组件如何连接以及风险可能出现的节点。它解决了若干基础性的行业挑战： * **通用语言**：建立一套 AI 风险的共享词汇表，以减少混淆并实现对威胁的一致跟踪与缓解。 * **全局视角**：提供一个 holistic 框架，识别整个系统中的风险——包括数据管道、基础设施与部署，而不仅限于孤立模型。 * **超越模型**：通过跨整个 AI 生态系统映射风险，避免对模型中心化威胁的过度强调。 #### **它如何工作** 风险图谱将 AI 开发生命周期组织为四个主要类别：**数据、基础设施、模型与应用**。框架本身进一步划分为四个关键领域： * **组件**：AI 系统的基础构建块。 * **风险**：潜在安全威胁的目录，例如数据投毒或模型逃避。 * **控制措施**：可用于缓解这些风险的安全措施。 * **角色**：涉及的关键角色，即模型创建者与模型消费者。 该框架以人类可读的 .yaml 文件与机器可读的 .schema.json 文件形式提供，你可用于学习、评估自身项目，并根据组织需求进行扩展。 #### **框架映射** CoSAI 风险图谱包含与已建立安全框架的映射，支持交叉引用： * **MITRE ATLAS** — 人工智能系统的对抗威胁景观 * **NIST AI RMF** — NIST 人工智能风险管理框架 * **STRIDE** — 微软威胁建模框架 * **OWASP Top 10 for LLM** — 大型语言模型应用的主要安全风险 这些映射允许组织将 CoSAI 风险与控制措施与现有安全标准和合规要求对齐。框架引用会自动验证，以确保风险图谱的一致性。 [在此探索完整的 CoSAI 风险图谱项目...](./risk-map/)

标签：AI安全, AI开发, Chat Copilot, Coalition for Secure AI, CoSAI-RM, Homebrew安装, OASIS Open Project, 人工智能安全, 共享语言, 合规, 合规性, 威胁建模, 安全治理, 密钥泄露防护, 数据管道安全, 最佳实践, 机器学习安全, 生命周期安全, 行业标准, 逆向工具, 部署安全, 风险地图