Related Resources
对话式人工智能

为 AI 模型带来可验证的信任:NGC 中的模型签名

2025年 7月 28日
By , , , and

AI 正在进入一个新时代,在这个时代,智能体可以推理、计划和采取行动。这些代理系统与 API、工具乃至物理环境进行动态交互,这带来了新的复杂性,并大大扩展了 AI 攻击面和潜在风险。现在,一个被入侵的模型可能会影响下游决策、访问外部系统、引发连锁故障,甚至会对设备造成物理损坏或伤害人类。我们不能再假设模型的完整性是可信的。它必须是可验证的。

为了应对这一挑战,自 2025 年 3 月以来,NVIDIA 一直在使用 OpenSSF 模型签名 (OMS) 规范对 NGC 目录中所有 NVIDIA 发布的模型进行签名。这使得该公司成为第一个为托管模型提供加密签名的主要模型中心。这种签名使消费者能够独立验证模型的来源和完整性,这是在云、本地和边缘部署的 AI 堆栈的每一层从隐式信任转向显式信任的基础步骤。

NGC 中的模型签名是 NVIDIA Enterprise AI FactoryNVIDIA AI Enterprise 的关键组成部分。它可对客户下载的模型的完整性进行端到端验证,使客户能够在安全的全栈平台上开发、部署和扩展生产级 AI 应用。如需全面了解 NVIDIA 所采用的安全措施和流程,请参阅 NVIDIA AI Enterprise 安全白皮书

通过模型签名建立信任

模型签名为 AI 工作流带来了加密验证,使团队能够确认模型是由可信来源发布的,并且未被更改。

如下图 1 所示,签名过程始于 NGC 等模型发布者使用私钥为模型生成数字签名。此签名与模型工件一起发布。当开发者、平台或自动化系统随后使用该模型时,将使用公钥证书来验证签名。如果签名匹配,则模型被确认是真实的且未经更改的。如果无法匹配,则验证失败,并标记该模型为已更改或可能受到攻击。

A diagram showing the model signing and verification process. On the left, a model is signed using a private signing key and a signing program, producing a signature. On the right, the signed model is verified using a public certificate. If verification succeeds, the model is trusted; if it fails, the model is flagged as untrusted.
图 1:模型签名和验证流程

这一过程创建了一个可验证的信任链:

  • 开发者可以确认集成到其工作流中的模型是真实的、未经修改的。
  • MLOps 和平台团队可以通过确保每个模型都由可验证的证书链支持来执行出处检查。
  • 安全和合规团队可以审核、追踪和证明所使用每个模型的完整性。

模型签名在模型创建和模型使用之间建立了一个安全的桥梁。它提供明确、可追踪且内置于生命周期每个步骤的信任。

NGC 中的模型签名工作原理

NVIDIA 已将模型签名直接集成到 NGC 目录中所有 NVIDIA 托管模型的发布流程中。如下图 2 所示,模型签名建立了从开发到部署的可验证信任链,确保消费者能够确认模型的来源及其真实性。

每个模型版本都使用 OpenSSF 模型签名 (OMS) 标准进行加密签名:OMS 是一种灵活的、与实现无关的格式,专为现代 AI 工件而设计。OMS 不会对单个文件进行签名,而是创建一个独立的签名包,其中包括:

  • 所有模型文件的清单,每个模型文件均由加密哈希(例如 SHA-256)引用
  • 可选元数据,以支持未来的可扩展性(例如版本、训练配置)
  • 涵盖整个软件包的数字签名

这种格式可确保模型权重、配置文件、标记器和相关资产作为一个单元一起进行验证,且不会修改原始内容。它还支持各种密钥管理方法:企业 PKI、自签名证书或通过 Sigstore 进行无密钥签名。

签名过程发生在发布到 NGC 之前。然后,任何端点(无论是 API、平台还是 AI 智能体)都可以托管或使用这些签名模型,并使用 NVIDIA 的公共证书和开源工具进行签名验证。

这可以实现:

  • 模型生产者在发布之前声明所有权和完整性
  • NGC 等模型中心作为可信分发点
  • 对模型消费者进行建模,以在使用时验证真实性

模型签名内置于 NGC 中,并符合开放标准,可实现可移植、可验证和可扩展的信任。

Diagram showing how models are developed, signed, and distributed through the NGC Catalog. On the left, a model undergoes training, optimization, and packaging. Before publication, it is signed using the OMS standard. The signed model is then made available in the NGC Catalog. On the right, consumers—including developers, APIs, and platforms,—verify the model signature using NVIDIA’s public certificate before deployment.
图 2:NGC Catalog 中的受信任模型分发工作流

发布后,NGC 中的签名模型可以通过两种方式识别:

  • UI 中:在模型的详细信息和版本历史记录页面上查找“已签名”徽章。
Screenshot of a model details page in the NVIDIA NGC Catalog, showing the Meta Llama 3.1 model. The page includes the model description, version (2.0), modification date (April 14, 2025), and size (131.43 GB). A “Signed Models” badge appears below the metadata, indicating the model has been cryptographically signed and verified.
图 3:示例 NVIDIA 模型上的签名模型徽章
  • 通过 CLI:使用以下命令列出模型并检查签名版本: ngc registry model list 'nvidia/tao/*'

已签名的模型将在“Has Signed Version”列中显示“True”。

无论您是在本地运行推理还是将模型部署到生产环境,签名可见性都内置于现有工作流中,因此可以轻松检查和扩展信任。

如何验证模型

使用 OpenSSF 模型签名项目提供的开源工具,验证 NGC 签名模型非常简单。这些资源(包括模型签名 Python 工具)支持 NGC 采用的 OMS 标准,可以集成到本地工作流或自动化工作流中。

步骤 1:从 PyPi 安装模型签名工具

pip install model-signing

为确保供应链的完整性,我们建议验证包装的真实性。Pip 支持哈希检查模式(自 8.0 版本起),以验证下载的软件包是否与预期的 SHA256 哈希相匹配。验证有助于防止域名抢注和篡改。

步骤 2:从 NGC 下载模型和签名

NGC CLI 新手?查看此快速入门指南以进行设置。

ngc registry model download-version "nvidia/tao/dashcamnet:pruned_onnx_v1.0.5"
ngc registry model download-version-signature "nvidia/tao/dashcamnet:pruned_onnx_v1.0.5"

步骤 3:获取 NVIDIA 公共证书

curl -O https://api.ngc.nvidia.com/v2/catalog/models/public-key
  -o cert.pem

步骤 4:验证模型

model_signing verify \
  <MODEL_PATH> \
  --signature <SIG_PATH> \
  --certificate_chain cert.pem

如果模型是真实的且未经更改,您将看到:“验证成功”。

这种方法确保了任何使用 NGC 模型的人(无论是在本地机器上、在 CI/CD 中还是在部署时)都可以使用基于标准的开放式工具来验证其来源和完整性。

确保 AI 供应链的安全

现在,NGC 目录上的每个 NVIDIA 发布的模型都内置了模型签名,这为开发者、平台团队和企业在部署之前提供了一种基于标准的简单方法来验证信任。这一功能为 AI 供应链的核心带来了加密保证,标志着在保护 AI 堆栈的每一层方面迈出了关键一步。

随着 AI 在各行各业和环境中的规模不断扩大,信任必须建立起来,而不是假设。通过模型签名,NVIDIA 正在帮助企业更快、更安全地开展工作,并让他们对部署的每个模型充满信心。

要验证签名模型,请访问 NGC 文档,详细了解 OpenSSF 模型签名 (OMS) 规范,并探索模型签名工具。

了解 NVIDIA 如何在 AI 堆栈的每一层(从开发到部署,跨云、本地和边缘)实现可验证的信任

 

标签

对话式人工智能 | 生成式人工智能/大语言模型 | 网络安全 | AI 企业 | Beginner Technical | Conversational AI | Cybersecurity | General | LLM | NGC | NIM | 教程 | 生成型人工智能

关于作者

Martin Sablotny 是 NVIDIA 的 AI/ML 安全架构师,致力于识别 AI 安全方面的现有差距并研究解决方案。他于 2022 年获得了格拉斯哥大学计算机科学博士学位。在加入 NVIDIA 之前,他曾在德国军方担任安全研究员,并在 Google 进行了使用 AI 实现安全的研究。
Daniel Major 是 NVIDIA 的杰出安全架构师,负责领导代码签名、设备 PKI、ML 部署和移动操作系统等领域的安全工作。此前,作为 Blackwell 的首席安全架构师,他在手机部门从 Blackwell 10 OS 过渡到 Android 的过程中发挥了重要作用。在不工作的时候,Daniel 会被发现计划下一次旅行冒险。
Laura Seletos 是 NVIDIA 的首席云安全架构师,负责大规模保护 AI 和云工作负载。Laura 在威胁情报、安全自动化和云转型方面拥有十多年的经验,擅长将复杂的技术解决方案与 NIST 800-53、FedRAMP 和 HIPAA 等监管框架保持一致。此前,作为 AWS 的首席安全顾问,Laura 曾指导《财富》500 强公司和美国政府机构大规模构建和部署安全云基础设施。在此之前,她曾在 Qualys 担任关键职务,包括 API 和集成产品管理总监和主要客户解决方案架构师,负责领导混合云安全战略和大规模数字化转型计划。
Rich Harang 是 NVIDIA 的首席安全架构师,专门研究 ML / AI 系统,在计算机安全、机器学习和隐私领域拥有十多年的经验。 2010 年,他在加州大学圣巴巴拉分校获得统计学博士学位。在加入 NVIDIA 之前,他领导 Duo 的算法研究团队,在 Sophos AI 领导使用机器学习模型检测恶意软件、脚本和网络内容的研究,并在美国陆军研究实验室担任团队领导。他的研究兴趣包括对抗性机器学习、解决机器学习中的偏见和不确定性,以及使用机器学习支持人类分析的方法。 Richard 的作品曾在 USENIX 、 BlackHat 、 IEEE s & P 研讨会和 DEF CON AI Village 等会议上发表,并在 The Register 和 KrebsOnSecurity 上发表。
Neha Hudait 是 NVIDIA 的高级安全产品经理,负责与领导层协作制定和执行网络安全策略。Neha 专注于推进安全研究和战略,在塑造 AI 和加速计算安全的未来方面发挥着关键作用。Neha 拥有加州大学伯克利分校电气工程与计算机科学 (EECS) 和工商管理学位,同时也是管理、创业和技术 (M.E.T.) 的一部分。程序。她的工作重点是技术创新、最佳实践,以及推动网络安全社区内的多元化和包容性。