7月13日,蚂蚁AI安全实验室正式宣布开源智能体安全护栏SingGuard-NSFA,并同步披露了多模态安全护栏SingGuard的详细技术细节。这两款模型分别聚焦于“自主执行的智能体”与“多模态交互的大模型”两大前沿应用场景,标志着AI安全领域迎来一次重要技术布局。
SingGuard-NSFA:为智能体打造“行为安全防护带”
当前,AI智能体已不再局限于聊天或回答问题,而是开始真正“动手执行任务”——调用工具、编写代码、编排多步骤操作,能力日益增强。然而,随之而来的安全风险也从内容层面扩展至行为层面:提示词注入攻击、敏感信息泄露、恶意代码执行、资源耗尽、权限滥用等威胁,传统的内容审核机制已难以全面覆盖。
针对这一痛点,蚂蚁AI安全实验室推出SingGuard-NSFA。其核心思路是在智能体执行动作之前,完成实时安全检测,从请求拦截与响应兜底两端入手,构建一个完整的行为安全防护体系。
具体而言,SingGuard-NSFA基于CIA(保密性、完整性、可用性)原则,并参考OWASP等国际安全标准,将智能体风险细分为7大类、28个中类及185个具体场景。为支撑这一体系,团队还构建了一个涵盖133种语言、近10万条样本的智能体安全评测数据集,数据基础扎实可靠。
在技术实现上,SingGuard-NSFA兼顾安全审计与实时防护两大需求。它提供两种工作模式:一种可逐条生成详细风险分析报告,便于事后审查与合规记录;另一种则能在约50毫秒内完成单次风险判定,适用于线上高并发场景下的实时拦截。此外,该模型提供0.8B、2B、4B、9B四种规模,可满足不同部署需求。

多项公开评测显示,SingGuard-NSFA在智能体输入与输出安全检测中均取得领先表现。值得注意的是,其0.8B版本即可达到8B模型的性能水平。更关键的是,新增风险类别时只需训练轻量模块,无需重新训练整个模型,这对后续持续迭代与升级极具价值。
SingGuard:多模态场景下的内容安全新防线
与智能体操作安全并行的另一道防线,是多模态交互场景下的内容安全。今年6月,Anthropic发布的旗舰模型Claude Fable 5,在发布后数日内便被研究者利用Unicode字符和西里尔字母替换敏感词的方式绕过安全护栏——模型能还原原意,但分类器却将其视为陌生拼写,导致系统提示词被套取。这一案例表明,模型越能理解变形文字、图片及跨模态信息,传统关键词识别式的护栏便越显乏力。
SingGuard正是为此设计的多模态安全护栏。它针对文本、图片及跨模态内容建立统一的安全判断框架,能够识别攻击者将恶意动作隐藏在文字、图片等不同模态中的复杂攻击。同时,它支持运行时动态加载自然语言安全规则,无需重新训练模型即可完成规则更新,对于规则持续演进、业务流量较大的生产环境尤为实用。
在推理机制上,SingGuard采用“快慢结合”模式:先快速完成初步判断,仅在面对复杂场景时才启动进一步推理。这种设计在保障效率的同时,也提升了检测准确率。

在覆盖文本查询、文本回复、图像、多模态和多语言的6大类评测中,SingGuard在35个数据集及评测切分上的平均F1得分均为最高。对比对象涵盖Llama Guard 3、谷歌ShieldGemma、GPT-5、Gemini3-Pro等行业内最具代表性的主流护栏,SingGuard均实现全面领先——这一成绩极具说服力。
中国信通院人工智能研究所安全治理部副主任呼娜英指出,随着大模型从内容生成迈向自主执行,AI安全正从内容审核延伸至行为管控与系统治理,成为智能体规模化应用的重要基础能力。事实上,蚂蚁AI安全实验室已针对开源智能体框架OpenClaw开展专项安全审计,并于今年4月联合清华大学开源了智能体安全防御插件ClawAegis,为自主智能体提供覆盖全生命周期的安全防护能力。此次SingGuard-NSFA与SingGuard多模态安全护栏的相继开源,是蚂蚁集团持续推进AI安全技术研发与开放生态建设的重要实践。
这些安全技术的研发与开源,并非凭空而来。它们建立在蚂蚁集团二十余年的安全技术积累之上——支付安全、数据安全、隐私保护、风险治理等领域的长期实践,为蚂蚁持续完善AI安全体系提供了坚实基础。目前,相关能力已应用于蚂蚁阿福、AI版支付宝“阿宝”、支付宝“AI付”等业务场景,从实验室走向了真实生产环境。
