← 返回信息流
AI 资讯Hacker News·1 小时前

美新行政令将影响政府安全软件交付

原标题:What the New Executive Order Means for Secure Software Delivery in Government

速览

该行政命令要求联邦政府机构采用更严格的软件供应链安全标准,包括使用SLSA框架和软件物料清单。此举旨在防范软件供应链攻击,提升政府系统安全性。对软件供应商而言,需适应新合规要求。

AI 深度解读

背景

2026年6月2日,白宫发布了一项新的行政令《促进先进人工智能创新与安全》(Promoting Advanced Artificial Intelligence Innovation and Security)。该行政令全文仅1174词,篇幅简短但指向明确,旨在通过政府与私营部门的自愿协作,在推动AI创新的同时确保其安全部署。行政令发布时正值联邦政府加速采用AI技术的窗口期,尤其是将AI应用于持续交付和持续授权(Continuous Delivery & Continuous Authorization)原则,以实现任务负载的安全交付。

核心内容

行政令第1节确立了三个核心方向:

  • 鼓励AI创新;
  • 确保AI能力的安全性;
  • 推动政府与私营部门之间的自愿协作,共同强化系统以支持前两项目标的实现。

为实现上述方向,第2节指示各联邦机构采取以下行动:

  • 加快并优先推进联邦机构的网络防御;
  • 建立或扩大联邦计划及网络安全服务,以增强AI驱动的防御工具能力;
  • 促进网络安全工具和服务的获取,包括在适当情况下向机构提供受覆盖的前沿模型(covered frontier models);
  • 将联邦拨款资金导向AI倡议与网络安全岗位招聘。

行政令还涉及安全部署AI的三个关键方面,每个方面对应不同的责任主体:

  1. 保护AI模型:行政令明确,保护AI模型的主要责任落在开发这些模型的企业身上。对于前沿模型,相关企业包括Anthropic、OpenAI、Google以及少数研究实验室。这一区分至关重要——目前联邦语境下有关AI使用的许多讨论误判了这一点:如果你不直接为这些企业工作或与它们合作,你很可能并不参与保护前沿AI模型。

  2. 利用AI保护联邦系统:超越模型本身的行业创新,主要来源于安全使用这些AI系统来保护联邦系统。仅仅在GovCloud上运行Amazon Bedrock模型来处理数据是不够的。安全实施必须贯穿从基础设施到容器层面的整个链条,才能妥善防范与AI使用相关的各种攻击向量。

  3. 提供模型访问:合规的模型访问是政府与行业共同努力的方向——双方需合作实现安全且合规的模型使用授权。从实践者角度看,行政令的一个期望是加速对前沿模型的访问,例如Anthropic的Claude Opus 4.8、OpenAI的ChatGPT GPT-5.3-Codex等,使其能够在IL4(Impact Level 4)和IL5(Impact Level 5)环境下使用。目前,Amazon Bedrock仅在GovCloud上支持Claude Sonnet。如果能实现与Google Gemini更紧密的功能集成(其FedRAMP包已明确授权用于IL4和IL5),对行业将是重大利好。

第3节指示建立针对受覆盖前沿模型的分类基准测试流程,促成行业与政府之间的自愿早期访问协作,并建立值得信赖的合作伙伴关系以推动早期采用。

简而言之,当前已经存在使用AI处理CUI(受控非机密信息)和ITAR(国际武器贸易条例)数据的开发路径。要改善这些路径,需要更高的优先级、更强的安全防护以及更紧密的合作,以满足该行政令的要求。

关键要点

  • 行政令全文仅1174词,篇幅精炼,核心聚焦于AI创新与安全的平衡。
  • 保护前沿AI模型的责任主要由开发企业承担(Anthropic、OpenAI、Google等),而非联邦机构自身。
  • 行业创新的关键不仅在于模型本身,更在于安全地将AI系统用于保护联邦系统——从基础设施到容器层都需要安全实施。
  • 模型获取是政府与行业的共同责任,目标是加速前沿模型在IL4和IL5环境中的合规授权。目前Amazon Bedrock仅支持Claude Sonnet on GovCloud,期待更广泛的模型整合(如Google Gemini的FedRAMP授权)。
  • 第3节要求建立分类基准测试、自愿早期访问机制和信任伙伴关系,以促进前沿模型在政府中的早期采纳。
  • 行政令要求联邦拨款资金优先支持AI项目和网络安全招聘,体现资金与政策的一致性。
  • 现有CUI和ITAR数据开发路径已经存在,但需要更高优先级、安全防护和协作来满足新指令。

意义与影响

该行政令发布在联邦政府对AI采用加速的恰当时机。将AI安全地应用于持续交付和持续授权原则,能够产生复合增长效应(compounding gains)——在已建立的CI/CD和持续授权流程中引入AI,尤其是前沿模型,将为安全交付任务负载打开真正的可能性。行政令本质上是一份邀请函:邀请行业和政府更快、更安全地朝这些可能性迈进。它对安全软件交付的直接意义在于,明确了模型安全责任归属、加速了合规模型访问路径,并强化了AI驱动防御工具在联邦系统中的应用。对于参与政府项目的技术企业(如Anthropic、OpenAI、Google以及AWS等云服务商)来说,这是明确的市场信号和政策催化剂;对于联邦机构而言,则需要优先布局安全基础设施与人才,才能真正兑现行政令的承诺。

查看原文 →rise8.us