
欧盟委员会制定了一项计划,旨在将人工智能转变为网络安全资产——而非负担
欧盟委员会公布了一项全面的行动计划,旨在加强整个欧盟范围内的人工智能和网络安全,以应对日益强大的AI系统带来的加速加剧的风险。 该倡议出台之际,正是这项有望变革网络防御的技术同时正被恶意行为者武器化的时刻——而布鲁塞尔正采取行动,确保欧洲最终能在这场博弈中占据有利地位。
欧盟委员会为何选择此时采取行动
人工智能的迅猛发展正在从根本上改变网络威胁的产生、演变和扩散方式。 人工智能可以增强网络防御能力——更快地发现漏洞、更迅速地应对攻击,并以人类团队无法企及的规模处理威胁情报。但它同样可能被利用来自动化恶意活动、识别软件弱点,并以一种在没有人工智能的情况下根本无法实现的速度和规模发起网络攻击。
欧盟委员会已明确指出,有效的保护取决于对这一现实的双重理解——即机遇与风险——而非将人工智能单纯视为一种防御工具。 该行动计划正是基于这一双重认识而构建的,旨在加速人工智能在网络安全领域的应用,同时建立必要的监管基础设施,以防止先进的人工智能成为安全隐患。
“人工智能正在改变网络安全的内涵。 我们必须跟上这一步伐,”负责技术主权、安全与民主事务的执行副总裁亨娜·维尔库宁表示。“欧盟已具备坚实的基础,能够针对新兴技术带来的漏洞调整应对措施。 我们必须充分利用并聚焦现有能力、网络及法律框架,以强化网络安全,守护我们的数字生态系统。”
独立监督——欧盟专门评估能力
《行动计划》中最具意义的结构性承诺之一,是建立一个专门针对网络安全的欧盟评估能力。该机构计划于2027年投入运营,将对先进的人工智能模型及其所蕴含的风险进行独立的第三方评估。
该评估能力将通过提供监管机构内部未必能始终具备的深厚技术专长,支持人工智能办公室(负责监督《人工智能法案》合规情况的欧盟机构)开展工作。 根据欧盟《人工智能法案》,先进AI模型的开发者必须在技术进入欧洲市场之前,评估潜在风险并实施适当的保障措施。这一新的评估机构强化了与该义务并行的独立验证环节,确保自我评估并非系统中唯一的核查手段。
为可信组织提供结构化的先进人工智能访问渠道
该行动计划的第二个关键要素旨在解决一个长期制约欧洲各地网络安全组织的实际挑战:对最强大的人工智能系统的访问机会分布不均,往往成本高昂,且其访问机制并不总是以能够维持适当安全控制的方式进行。
欧盟委员会将与欧盟网络安全局(ENISA)通力合作,制定一份欧洲蓝图,为值得信赖的组织获取先进AI能力勾勒出透明且有条理的途径。 该框架旨在服务于从事网络安全工作的公共和私营部门组织,为它们提供更清晰的途径,使其能够在不损害规范这些工具运行方式的安全控制措施的前提下,负责任地使用强大的AI工具。
网络安全领域的人工智能安全测试平台
欧盟委员会和ENISA还将建立一个安全测试环境,使人工智能技术在部署前能够在受控条件下接受评估。 该平台由欧盟委员会联合研究中心合作开发,将利用模拟场景评估人工智能系统在实际网络安全应用中的表现——在这些系统嵌入实时基础设施之前,对其能力进行压力测试并识别故障模式。
该测试能力专门设计用于支持运营关键基础设施的组织——包括金融、医疗保健、能源、交通和公共行政领域。 对于那些网络安全故障带来的后果远不止于经济损失的行业而言,在投入实际运行前于受控环境中验证人工智能系统绝非奢侈之举。 这是一项先决条件。
通过采用人工智能增强网络韧性
除了新的监督和测试基础设施外,该《行动计划》还鼓励欧盟各地的组织将人工智能积极融入其现有的网络安全实践中。 欧盟委员会建议更广泛地使用人工智能——包括开源模型——以更快地识别软件漏洞、加快安全更新,并提升检测和响应能力,这些能力是任何有效网络防御行动的核心。
为支持更广泛的采用, 欧洲网络安全局(ENISA)将促进公共机构、企业与开源社区之间的合作,发布指导方针和最佳实践建议,并发起一项专门针对关键开源软件安全保障的行动——这一类基础设施支撑着欧洲海量的数字活动,但历史上其安全关注度一直低于专有系统。
该行动计划还强调了“安全设计”原则、改善网络安全卫生习惯以及强化风险管理框架的重要性——这些基础性实践虽可由人工智能加速推进,但无法被其取代。
投资于欧洲'自主研发的人工智能能力
欧盟委员会还通过该行动计划表明了其长期投资意向。 欧盟“人工智能助力网络安全”重大挑战计划将汇聚研究人员、企业和公共机构,共同开发下一代安全解决方案——这是一项结构化的竞赛,旨在将创新力量引导至《行动计划》所指出的具体挑战上。
除通过“科技主权一揽子计划”宣布的新融资机制外,持续投资欧洲人工智能基础设施——包括“人工智能工厂”和未来的“超级工厂”——也得到了重点强调。 这种表述是经过深思熟虑的:欧洲的网络安全韧性不仅被视为监管挑战,更被视为一项产业与创新挑战,这要求对本土人工智能能力进行持续投资,而非依赖其他地区开发的系统。
全局视角
该行动计划是在欧盟已建立的现有立法基础——《人工智能法案》、《网络安全指令II》(NIS2)以及欧盟网络安全认证框架——之上构建的,而非取代这些法规。 该计划新增了一层运营基础设施:测试平台、评估能力、准入框架和投资机制,将监管意图转化为实际能力。
该战略反映了欧洲政策制定者在人工智能问题上的思维方式正发生更广泛的转变。 多年来,主要关注点一直集中在公平性、偏见和基本权利上——这些正是《人工智能法案》主要旨在解决的问题。如今,网络安全已牢固地纳入这一框架。将先进人工智能视为潜在的网络安全风险,并要求对其进行独立评估、实施结构化访问控制以及建立专门的测试基础设施,这一决定标志着欧洲围绕人工智能的监管范围得到了有意义的扩展。
评估能力计划于2027年到位,测试平台正在积极开发中,这一时间表能否如期实现,将成为衡量该行动计划能否实现其雄心壮志的关键指标之一。 但该计划所确立的方向是明确的:在布鲁塞尔,人工智能和网络安全已不再是相互独立的政策领域。
