导读：

随着近些年人工智能的快速发展，人工智能依托大数据、云计算成为风控领域的核心能力，需要具有对风险的快速响应和攻防能力，不断应对黑灰产的攻击。构建可监控、可持续迭代、规模化、自动化的机器学习链路和智能风控平台，以高效敏捷的方式应对风险形势和作案手法变化，对风控的动态攻防能力有着极其重大的意义。

本文从蚂蚁安全风控场景出发，介绍蚂蚁安全风控智能化建设面临的主要挑战、整体架构、数据研发、模型监控、持续训练、自动模型测评、持续部署、平台可信的方案和思路，并对未来规划进行阐述。

1. 背景

随着近些年人工智能的快速发展，人工智能依托大数据、云计算成为风控领域的核心能力。与此同时黑灰产的攻击手法也随技术进步而日新月异，更多更复杂更危险的风险类型层出不穷，行业内因风控能力失位造成公司和用户巨大损失的案例时有发生。其中账户和交易安全上有着盗用、欺诈、套现、作弊、赌博、洗钱等多种多样的风险类型，黑灰产团伙、“羊毛党”、赌徒和赌博庄家等群体和个人，会有意识地针对现有风控体系，试图绕过平台上的各种风险管控继续交易行为。

人工智能作为风控领域核心能力，需要具有对风险的快速响应和攻防能力，不断应对黑灰产的攻击。从这个意义上来说，构建可监控、可持续迭代、规模化、自动化的机器学习链路和智能的风控平台，以高效敏捷的方式应对风险形势和作案手法变化，对风控的动态攻防能力有着极其重大的意义。

2. 挑战

2.1 开放环境

传统机器学习一般在封闭环境中采用静态数据进行研究，而在业界落地应用时通常是在不断变化的开放环境中，相关机器学习的要素都在不断变化，这给机器学习在业务落地带来了难度。

南京大学周志华教授在《国家科学评论》（National Science Review, NSR）发表题为“Open-environment Machine Learning”的文章，其中指出在开放环境中存在以下四种变化：

标记集合发生变化。 随着时间推移，可能会有新的标签出现。针对该类问题，典型应对思路包括：先通过异常检测技术对潜在新类别进行识别，再进一步精细化将其加入标记集合进行增量学习。

特征空间发生变化。 森林部署的数据监测传感器由于寿命有限，研究人员需要在其失效前加装新的传感器以保证有效的监测，这将导致特征空间发生变化。针对该类问题，典型应对思路包括：利用新旧特征共存时的数据学习特征之间映射关系，从而使旧模型在新空间也能发挥作用。

数据分布发生变化。 夏季绿叶茂盛，而冬季叶萎雪积，直接利用旧分布上训练出的模型可能无法在新任务上取得良好性能。针对该类问题，典型应对思路包括：利用滑窗或遗忘法降低历史数据在学习目标中的权重，构建多个分类器并采用集成学习等手段缓解分布变化带来的影响。

学习目标发生变化。 随着收集数据的增多以及模型准确率的提高，学习目标可能由追求更高的准确率变更为追求更低的耗电量。针对该类问题，典型应对思路包括：考察不同学习目标之间的相关性，将旧模型输出作为基础，复用相应模型以优化新的学习目标，实现学习目标的快速切换。

这四种变化对人工智能在工业界规模化落地应用构成了重要挑战，对人工智能在生产环境上的保持优异的性能形成阻碍。

2.2 持续监控

图1：持续监控

没有模型可以永远持续运行下去。即使数据质量很好，模型本身也会退化。

模型的构建基于以下假设：生产中使用的数据将与过去观察到的数据（训练模型时所基于的数据）相似。在大多数模型在动态数据环境中工作，其中数据不断变化，影响模型表现的因素很多，主要为数据完整性、数据漂移、训练服务倾斜、概念漂移、技术链路异常等。其中数据漂移又分为：label drift、feature drift、virtual drift。漂移的风格分为sudden drift、gradual drift、increment drift、reoccurring concepts。由于可能发生“概念漂移”并对模型的准确性和可靠性产生不利影响，故需要对模型的各要素进行监控，并适时对模型进行重训。

2.3 持续训练

机器学习模型和传统软件开发最大的区别在于，传统软件上线后除非有Bug或新的需求才需要迭代，而机器学习模型由于处在一个动态环境中，相关机器学习要素都不断在变化，需要不断迭代来保持性能。所以，构建可持续、自动的机器学习训练链路或流水线，是大规模机器学习应用落地的关键。

构建持续训练能力需要解决以下问题：

1 、何时应重新训练模型？

2 、应使用哪些数据重训？

3 、应该重新训练什么？

4、构建持续训练链路和自动化训练能力

2.4 安全可信

在AI落地应用时，面临AI的安全可信问题，如信息的真实性、决策的透明性、结果的公平性、隐私保护等问题。当前在提到可信AI时，更多的是从模型本身出发，讨论鲁棒性、可解释、隐私保护和公平性。但实际在工业界落地时，需要从模型全生命周期来考虑可信AI问题。并且可信AI的每一个属性都需要在全链路的各个阶段进行确认。

3、AntSecMLOps

图2：安全MLOps生产链路

首先是中间的核心环路，构建了从模型研发到发布、线上推理、监控、迭代的全生命周期。需求中心完成模型需求的对焦和立项。案件中心，完成模型的样本口径确认、样本的生成和特征的仿真。训练中心，进行模型的训练和评估。蚁鉴测评中心，将对模型进行全方位公平的测评，产出模型的评测报告。发布中心，对模型进行一键部署，发布到生产环境。预测中心，在线上进行实时预测。监控中心，对线上模型进行多维度的监控。

最核心的在于，整个环路的自动化能力，每个环节都和前后的环节紧密咬合，形成一套自动化模型生产迭代链路。在样本中心，我们依据确认好的口径，自动生成最新样本。依靠AUTOML能力，自动完成特征生成、自动模型选择和自动训练。在测评中心，自动完成模型测评和模型压缩。达到准出标准后，自动推送到发布中心，进行模型自动发布。发布完成后，由预测中心提供模型推理服务。监控中心持续对线上模型线上进行监控，当监控到模型性能衰退时，自动触发下一步的模型迭代流程，一直这样持续流转。

CI/CD/CM/CT等能力，均在链路上在得以体现。在整个研发链路中，每个环节的资产都会很容易沉淀到资产中心。

4、数据研发

4.1 案件中心

我们都知道AI是一项数据驱动，从海量数据中学习知识并应用于业务场景的技术。那么从算法工程师和数据科学家的角度，一个好的样本管理平台无疑对AI的研发和实验起到事半功倍的作用。在蚂蚁大安全有两类核心业务场景，分别是与交易、转账等直接和资金打交道的资金安全场景；与小程序、文本、图片、音视频打交道的内容安全场景。针对这两种不同的场景，算法工程师和数据科学家们应用AI研发各种反洗钱、反欺诈、反赌博等各种守护用户安全的策略和模型。

这其中的核心挑战就是在资源有限的情况下，如何在短时间内获取并管理好更多、更准的样本。

4.2 资金安全

对于资金安全，样本的概念被抽象为（id，标签，特征组）的三元组形式。这种形式的标准定义能够快速地让算法工程师通过机器学习和深度学习算法来研发风险分类模型，并应用于业务场景。而其中需要被重点攻克的难点就是特征离在线一致性问题，试想一个场景：

我们将芝麻信用分作为一个特征，用户A在12月31日的芝麻信用分为750分，但实际上算法工程师拿到一个具体case想去分析的时间已经是1月20日，当时的芝麻信用分已经更新为850分。如果用850代入去做模型训练，就会发生数据穿越问题，也就是在真实场景发生的时刻，代入了未来观测信息，会严重影响模型最终上线的业务表现。因此在准备样本的过程中，需要避免数据穿越的问题发生，“尽一切可能”还原当时能观测到的信息，如果不能，宁抛弃不穿越。
由上面的场景可见：决策阶段的实时计算和探索阶段的三线（离线、近线、在线）一致计算是非常重要的。并且是ModelOps应该为AI使用者提供的基础设施能力。

图3：三线一致计算

为了应对复杂的黑产攻击风险，蚂蚁有成千上万个业务特征，这些特征有统计学累积的、时序相关的、通过图计算技术获取的，但随着时间的变化，刻画交易风险、交易行为的特征也是一直在变化的。遗憾的是大多数的数据库或者仓储设计无法做到每时每刻都能“复现”出我们需要的那个时间点的特征值。因此需要一套数据计算能力，来解决算法工程师和数据科学家需要还原的“历史时刻”。

在样本中心中对资金安全样本采用了定时样本回溯的形式来对大批量特征回溯任务进行口径 + 特征组驱动的持续计算，来确保MLOps能够提供给数据科学家们所需的「准确」数据。

图4：三线一致计算链路

目前在案件中心内支持两种模式的清洗工作：

定时任务回溯清洗：适用于大规模的事件集使用，对于千万、亿级别的清洗任务，定时调度集群资源进行大数据量级的清洗。因为是定时任务清洗，通常是T+1/T+2级别的清洗
小样本回溯清洗：适用于实验性质的任务，支持发布中的特征回溯任务，清洗的样本量级限制在万级别，特征数量有限制要求。满足算法同学回溯小快灵的需求（通常在小时内），快速验证数据分布正确性、准确性，以及对某些方法进行可行性验证。

特征还原的计算过程使用了数仓的帐表和流水表，通过两类表数据的组合能保证访问到任意时间切面的数据状态。

4.3 内容安全

内容安全侧的样本与资金安全场景有所不同，样本本体是图片、文本、音视频，其特征就在样本本身。困扰业务的点在于标签的获取和样本冷启动的问题。涉及不良影响的多媒体样本本身获取不易，突发恶性事件造成的不良影响又需要尽快消除，如何通过MLOps快速进行样本的准备，让算法工程师们能够更快去应对风险，基于此需要快速通过少量有标签样本和少量人工辅助打标，来达到迅速获取更多准确样本的目的。因此我们搭建了主动学习链路，来帮助业务解决样本冷启动问题。

图5：主动学习链路

在主动学习链路中有一个关键的循环路径：

少量冷启动样本S0
初始化打标分类模型M0
设置循环轮次K，停止条件A，主动选择部分需要被标记的样本Sal（通常为模型难以区分的决策边界的样本）
对Sal人工打标得到S'al
将人工打标部分S'al加入对M0的训练集中重新训练，重复3操作直到K轮结束或者满足主动学习停止条件A

借由此联路可以通过少量人工标注辅助快速得到大量有助于训练的标记比较准确的内容样本。

5、模型监控

5.1 监控指标

图6：监控指标

首先，需要定义出完善的指标体系，能覆盖线上所有需要关注的指标。

整体指标分为八个部分：

调用监控：模型打分量、模型推理耗时、特征耗时、打分失败量等。
模型性能：模型稽核量、打扰量、准确率、漏过率、高分段覆盖等。
业务效果：对业务贡献或增益占比等。
稳定性监控：特征PSI、模型PSI等。
数据完整性监控：数据缺失率、类型错误、边界错误等。
漂移监控：数据漂移监控和概念漂移监控。
模型成本：资源占用情况等。
模型新鲜度：运行时长、更新频率等。

5.2 漂移监控

图7：漂移监控

整体漂移监控分为三个部分，漂移检测、漂移理解和漂移适应。

5.2.1 漂移检测

检测方法探测到关于漂移的信息

Hypothesis tests: 评估新老两个时间窗口的数据分析是否一致。
Change-point methods：通过分析所有可能的划分点，来确定某个变化时间点。
Sequential hypothesis tests：基于序列的方式来检测新增数据是否产生变化。
Change detection tests：分析整个序列的统计指标，监测指标的异常。
...

5.2.2 漂移理解

漂移理解是指检索关于 "何时"（概念漂移发生的时间和漂移持续的时间）的概念漂移信息，"如何"（概念漂移的严重程度 /程度），以及 "哪里"（概念漂移的漂移区域）。这些状态信息是漂移检测算法的输出，并被用作漂移适应的输入。

概念漂移的严重程度可以作为选择漂移适应策略的指导原则。例如，如果分类任务中的漂移的严重程度很低，决策边界可能不会在新概念中移动太多。因此，通过增量学习来调整当前的模型就足够了是足够的。相反，如果概念漂移的严重程度高，决策边界可能会发生重大变化。因此，需要丢弃旧的模型并重新训练一个新的模型。

概念漂移的漂移区域是指新概念和以前概念之间的冲突区域。识别漂移区域的技术高度依赖于漂移检测中使用的数据模型。漂移区域的数据实例可以被用来建立一个更新的当前模型。漂移适应的一个步骤是删除冲突实例，为了尽可能多地保留新概念的实例，他们只删除在漂移区域之外的过时的冲突实例。

5.3 告警处置

以上的指标都需要一套告警处置机制来发现并响应问题，下面展开讲一下关键点

告警处置分为两部分：

告警：

◆ 类型、等级、时间配置、通知机制、升级机制……

处置：

◆ 标记：

△ 误报、抖动、技术异常、数据漂移、概念漂移……

◆ 状态：

△ 未处理、处理中、已处理……

◆ 响应：

△ 处理措施、处理说明、转交……

当监控到异常时，后续需要完成告警和处置两个环节。

当告警时，需要明确告警的类型、告警的等级、发生的时间和之前相关的告警，并可以通过钉钉群、工作通知、邮件、短信、语音电话等方式通知到相关责任人，并依据不同告警的等级定义的处理时间，当在处理时间内没有完成处理时，升级到上一个告警等级进行催办。

相关同学收到告警时应及时处置，标记问题原因，是误报还是异常。并通过相关的应急响应手段，如短路，降级、回滚、切换版本等方式进行处理。

6、持续训练

图8：安全MLOps持续训练流程

以人工智能为驱动的深度智能风控系统中，模型自生产和模型自迭代的自动化和智能化的水平，代表着风控系统为业务保驾护航的能力和风控系统智能化的程度。

当告警中心监测到模型性能出现衰退或数据漂移等情况，通知博弈中心进行模型迭代。依据在博弈中心配置的迭代模板进行模型的自迭代流程。一般来说，迭代模板主要分为以下四大类，一是模型重训，包括refit和retrain，二是增量学习，主要是解决知识遗忘的问题，三是持续标注与主动学习，主要是解决没有标注场景下模型监控与迭代问题，最后一类是SOTA+HPO，主要是解决将最新模型快速在业务场景落地的问题。

6.1 模型重训

人工智能模型普遍存在上线后随着时间推移会有性能衰退的情况，而在风控领域这个问题尤为突出。主要原因是由于黑灰产一直在尝试绕过模型管控，这种对抗会进一步加速模型上线后的性能衰退。模型自动迭代能力是通过不断使用最新样本进行持续训练，并依据环境信息动态持续优化模型决策边界，并配合持续部署，使模型性能在线上达到最优。

风控系统每天都面临大量新的作案手法和风险，如何快速通过模型来防控新增风险一直是业界的难题。人工智能因为其研发周期长和上线难，一直被业界诟病，这也难以达到在风控场景下要求模型快速研发、测评和安全上线的标准。模型自动生产能力是衡量风控系统快速防控新增风险的重要能力，也是衡量风控系统智能化的重要指标。

模型自动生产能力，包括了模型自动训练、模型自动测评、模型自动部署、模型自动发布和模型持续监控等多个环节，通过自动化能力来加速模型全生命周期的整个链路效率，提升模型快速响应的风险防控要求。模型自动生产能力，一可以在新增风险来时快速产出模型来防控风险，减少线上资损。二是算法专家以自动产出的模型作为基线，在此之上深入优化模型，进一步提升性能，也提升模型专家的效率。最后，在一些小的长尾场景，可以使用模型自动生产能力来防控，减少模型专家的投入，降低人力成本，提高ROI。

模型自动迭代能力(AutoRetfit)，是由监控中心持续对线上模型性能进行监控，当前相关指标低于阈值时，触发训练中心的训练任务进行持续训练。训练中心收到监控中心发出的迭代请求后，从案件中心中获取最新样本集，依据AuotML的自动模型选择和自动参数寻优能力自动训练出最新模型。最新模型推送到测评中心，由测评中心对模型进行性能、鲁棒性、公平性、机密性等全方位的测评，达到准出标准后，产出测评报告，并推送到发布中心。在发布中心通过一键部署、AB发布和自动发布能力将模型发布到线上。由此完成一次完整的模型迭代过程。

模型自动生产能力(AutoRetrain)，较模型自动迭代能力多了自动特征工程能力, 包括了AutoML中的自动特征工程、自动模型选择和参数寻优（深度学习中是神经网络结构搜索NAS）等全部能力，也实现了端到端的机器学习自动化全过程，打通了从研发到生产的全链路。在模型生产时，数据和特征的质量决定了模型性能的上限，如何自动产出特征来刻画风险手法是业界的难题，也是模型自动生产能力的关键。

以往风控特征刻画往往依赖于专家经验，对进入新的场景时类似经验欠缺的情况下容易产生滞后。除了人工经验之外，另外也有通过原始数据进行穷举式的变量暴力衍生的方法。基于人工经验构造特征变量的方法，依赖于领域内的专家经验，一般耗时更长，反馈较慢，对新场景更加难以快速应对风险；而利用穷举方法进行变量的暴力衍生，然后基于一定指标如变量重要度进行特征筛选，此方法一般计算资源消耗大，计算时间长。业内尝试也包括其他优化和机器学习方法，比如遗传算法、序列挖掘等。这些算法往往也有其局限性，实践中发现泛化能力往往偏弱，更容易发生局部最优或严重过拟合等问题。

在模型自动生产能力的特征环节，分为两个部分，一个是自动生产新的特征，还有就是利用好线上已有特征。自动特征生成环节中，首先将特征分类为风险累积特征、文本特征、行为序列特征和图特征等四个大类。依据优化算法、强化学习和元学习等多种思路，完成新特征在巨大的搜索空间中高效的实现端到端的特征或表征的自动生成。另外，特征库是线上模型已使用特征的集合，是重要的模型资产，充分挖掘和利用好自有且已证明效果的特征库，也是非常重要的。基于新的场景，通过IV\PSI等指标先进行粗筛，然后再基于优化算法和强化学习算法进行精选，从而在特征库中快速筛选和推荐有效的历史特征。最后，基于Meta-learning方案来对新生成的特征和特征库中选出的已有特征的集合进行入模特征选择。配合超参搜索等能力，快速得到一个可上线模型版本。

6.2 增量学习

在重新训练新模型时，由于数据存储或算力限制等问题，无法永久保存和使用所有历史上旧的样本。在增量学习迭代模板中，可以在保留旧的知识的情况下，兼顾适应新的领域，学习新的知识。

增量学习方案中，可以选择新加子树方式，也可以选择子树替换方式。在整体方案中，全链路中的各环节都可以自由选择组合，如可以和自动特征环节、HPO环节进行组合。

6.3 持续标注与主动学习

在无标的场景中，困扰业务的点在于标签的获取和样本冷启动的问题。通过在监控中心，对模型的打分进行分层均匀采样，将采样的数据送到打标平台，由人工进行打标。依据打标的结果得到模型线上性能指标。通过对模型线上性能指标进行监控分析，如出现衰退，则触发重新训练。

在这种少标签场景，可以在重训时通过主动学习链路来增加带标样本，也可以通过检索召回的方式找到更多的相拟的样本来扩大样本集，也可以通过数据增加的方式来增加样本。完成样本定义后，就可以完成后续全链路训练和迭代上线。

6.4 SOTA+Finetune

近些年学术界和产业界在CV和NLP等领域算法日新月异，SOTA模型不断被刷新，领域大模型也层出不穷。如何快速将业界最新算法成果和大模型应用在真实业务场景助力业务，也是亟需解决的问题。通过构建ModelHub，将业界最新算法和经过垂直领域预训练的大模型放在ModelHub中集中管理，在训练时可以快速选择相应的模型进行finetune，取得业务效果。

图9：SOTA模型持续Finetune

7、自动测评

7.1 模型测评原则与体系

图10：公平客观的模型测评体系

如何公平客观科学全方位的评价模型质量是可信AI的第一步。

当前业界算法只侧重在模型性能本身，而评价模型质量是多个维度的。如离线业务效果评估、对模型做可信评估、线上推理的性能压测、模型成本估算等等。

整体的评估方案也需要具备独立性、有效性、前瞻性、充分性。

独立性，核心强调的样本独立性，评测样本不应出现在训练样本中。
有效性，保障样本具体代表性，尽可能的覆盖线上各种风险，数据无偏且量级具有统计意义。
前瞻性，通过对抗样本提前发现模型漏洞。
充分性，保障测试的方法、手段覆盖了模型质量的各个维度和各个环节。

7.2 蚁鉴-AI安全检测平台

图11：蚁鉴-AI对抗测试平台

蚁鉴的核心是采用各类评测样本，以科学的评估方式、结合评估指标产出科学公正且全面的评估报告。

蚁鉴可以对样本、策略、模型、业务进行测评。

在样本测评中可以对样本的质量、多样本的分布相似度、样本独立性、样本多样性进行评估。
在策略测评中可以对策略的效能，如覆盖率、打扰率进行评估。不同策略之间还可以评估覆盖的重合度和增益。
在模型测评中可以对模型多个维度进行测评，如模型本身的性能，模型的稳定性PSI、线上推理时的性能（QPS/RT），还有可信相关的测评。
业务测试是指在离线仿真环境下，模拟线上真实环境观测策略、模型和策略+模型三者在业务上的表现。

在测评时，不仅可以使用业务上的多个OOT样本，还可以用benchmark样本、三方样本、对抗样本来进行测评，亦可用线上的复制流量和回放流量来进行测评，尽可能满足测试样本的多样性和真实性。

在测评报告中包括了测评的模型、测评的样本、测试的类型、评估的指标和评估结论，并给出分析和建议，如模型复杂度分析、特征重要度和BAR图、可解释分析、BADCASE分析和改进建议。

其中蚁鉴部分能力已在2022世界人工智能大会上对外发布。

8、持续部署

图12：持续部署

模型部署阶段分为BETA发布、UAT验证、灰度发布等环节。BETA发布主要验证整体技术调用链路和模型配置是否正常；UAT验证主要验证模型在线上线下表现是否一致，如特征分布和模型打分的一致性；灰度发布主要是在生产环境上逐步放大流量验证模型效果，可以在此进行AB发布。

从发布方式上，可以分为全自动发布和半自动发布。预先定义好每个推进发布小窗口的发布流量比例、观察的时间窗口和流量大小、关注的监控指标和正常阈值。在全自动发布中会依据上述定义，如在观察窗口内，关注指标都正常，就可以自动推进到下一个小的发布窗口，直到流量推全。半自动发布与全自动发布的区别是，在观察的时间窗口结束时，会由模型同学进行人为审批，对重大模型发布进行风险保障。

9、平台可信

图13：安全可信的AI平台

基于MLOps定义了一套TrustworthyModelOps的平台可信框架。

最底层是MLOps，它实现一站式AI研运平台，并在此之上实现研发全链路自动化能力。在MLOps之上是持续AI治理体系和可审计可复现能力层。

持续AI治理主要侧重于对全链路AI可信各环节进行持续治理和改进，如提升数据质量、模型质量、平台安全、可信证据收集等等。

透明可审计可复现，通过将研发各环节数据资产、模型资产、代码资产、建模pipeline、模型元数据、模型文档等进行收集沉淀，实现建模过程透明，使用目的方式清晰、责任明确、全过程透明可追溯可审计可复现。

最上面是，可信AI应用层，以模型生命周期为基础，定义数据可信、模型可信、应用可信、运营可信四个核心环节点。数据可信，涵盖了从数据采集、数据标注、数据加工、数据存储、数据访问等方面的安全可信。

模型可信，主要就是鲁棒性、可解释、隐私保护和公平性四个方面。应用可信，包括模型的发布安全、推理安全等环节下的安全可信，并保障人工智能系统信息完整性、机密性、可用性、可靠性。AI在使用过程中离不开人的因素，运营可信重点关注AI如何在业务侧安全正确的使用，如何安全运营，以及如何把人的智慧安全可靠的融入到AI系统中等方面。

9.1 透明可审计可复现

图14：AI安全可信

AI安全可信中透明、可问责、可审计、可追溯、可复现也是重要组成部分，通过将研发各环节数据资产、模型资产、代码资产、模型元数据、模型文档等进行收集沉淀，实现建模过程透明，使用目的方式清晰、责任明确、全过程可追溯可审计。

9.2 全链路可信

图15：基于MLOps的AI全链路安全可信

基于MLOps架构图，从模型全生命周期来看各个环节的可信能力要求。

在案件中心处，重点考虑数据安全可信的问题。如敏感数据如何脱敏、如何加密存储、如何防篡改、容灾与备份和记录数据血缘。

在模型上线前，会在测评中心进行模型质量的管控，对模型质量进行测评，达到上线标准才可以上线发布应用。我们要对模型质量的各个维度进行评估，如模型的性能、模型是否安全可信、模型的稳定性、线上推理时的RT和QPS等等。

在模型文件安全上，保障模型文件的完整性，对文件加密防止非法访问与泄漏，通过模型文件的水印技术，保护版本，通过模型混淆，使之不可反编译等等。

在平台安全上，对推理链路中数据、中间结果、推理结果、模型进行保护，并保障AI系统完整性、机密性、可用性、可靠性。

在发布过程中，通过可灰度，可监控，可应急能力保障发布过程的安全。

在线上推理时，系统能对相关攻击进行防御，如对抗攻击、成员推理攻击、模型逆向攻击、模型后门攻击、对抗资源消耗攻击等等。另外，在推理时，也应对推理结果给出相应的解释。

在监控环节，对业务上的性能、模型性能、模型与特征的稳定性等进行监控。

在可审计可复现方面，需对全链路各环节资产进行沉淀，方便审计和复现。

在运营安全方面，主要关注应急响应能力建设，提升平台的防危性。

10、未来计划

10.1 自动化

图16：自动化能力建设

经过多年建设，当前已初步具有AI全链路自动化能力，但是随着自动化建设历程进入到深水区，MLOps扔存在许多优化点。

AI全链路自动化运转的鲁棒性和效率还要不断优化，不断提升全链路自动化运行的鲁棒性，缩减运行时间，减少计算成本等。

AI全链路研发各环节的自动化能力还需要不断深入强化。如自动特征生成，数据和特征的质量决定了模型质量的上限，当前在自动特征工程阶段，还是存在许多不足。首先在效果上，自动特征工程产出的特征刻画风险的准确性、覆盖性和鲁棒性不足，如何能自动持续的产出能准确刻画新风险的特征也是不断研究和改进的方向。其次，在自动特征工程的效率上，还是存在耗时较长、计算量大等问题，产出特征的算法效率有较大优化空间。

10.2 可信AI

在人工智能平台可信上，将围绕着模型全链路各环节的可信问题深入夯实可信能力，为数据可信、模型平台、应用可信和运营可信提供平台能力支撑和底座。

在模型可信上，未来我们将围绕着可信的深度、广度和可度量可证三个方向进行研究和实践。在深度上，将不断丰富和沉淀更多的鲁棒性检测算法和防御加固能力。在广度上，在不断把能力拓展到更多的数据类型中，如Graph、语音、视频等数据类型。在可度量可证上，希望能够推进更多模型和人工智能平台的安全可信指标量化工作。

10.3 风险博弈

未来在风控场景会越来越往AI与AI的对抗、智能体与智能体的对抗方向演进。在平台能力上，需要不断夯实平台化、自动化和平台可信的能力，为高效、极速、绿色、自动化、智能化地应对风控风险打好基础。另外，也需要结合业务特点，在感知、智能博弈、智能决策、自主进化等环节不断打造有风控特色的智能化能力，不断推动风控智能化建设。

参考文献

[1] Jie Lu, Fellow, IEEE, Anjin Liu, Member, IEEE, Fan Dong, Feng Gu, Joa ̃o Gama, and Guangquan Zhang Learning under Concept Drift: A Review

[2]Advances, challenges and opportunities in creating data for trustworthy AI

[3]Open-environment machine learning

[4]https://zhuanlan.zhihu.com/p/537086210

[5]https://zhuanlan.zhihu.com/p/406281023

本文分享自微信公众号 - 支付宝技术（Ant-Techfin）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。

蚂蚁安全风控MLOps智能新范式下的布局与实践

2.2 持续监控

2.3 持续训练

2.4 安全可信