近日，由中国互联网协会主办、中国信息通信研究院承办的首届“AI 领航杯”全国“人工智能+”应用与技能大赛“AI+安全”赛道圆满落幕。经过激烈角逐，支付宝 AI4SDL 研发安全体系建设项目凭借其智能化技术创新，在“AI+安全”赛道，从众多决赛项目中脱颖而出、荣获一等奖。

AI 领航杯以“智融千行百业，技拓无限可能”为主题，通过大赛为经济社会高质量发展注入动力，推动我国人工智能产业蓬勃发展。其中“AI+安全”赛道旨在探索人工智能在安全防护、威胁检测、漏洞管理等关键场景的创新实践，推动 AI 技术与安全能力的深度融合，助力构建高安全、高可信的人工智能安全生态体系，为数字经济高质量发展提供坚实保障。

随着 AI 技术的快速发展，支付宝在数字互联和数字支付等行业持续探索和不断创新，为用户提供了形态丰富的数字化服务和创新产品体验。在业务产品更加丰富、技术架构趋向复杂、研发体验要求卓越的背景下，支付宝业务安全团队通过系统集成AI技术，实现了安全研发体系的变革，建立了匹配支付宝业务发展的 AI4SDL（AI for Security Development Lifecycle）安全体系，为支付宝业务高速发展全面护航。

AI 能力系统集成
用智能赋能安全

支付宝 AI4SDL 系体在安全工程师人工评估风险、安全工具自动化识别风险、业务研发解决风险等三个层面系统性集成了 AI 技术能力。通过“文档 AI 智能解析与风险要素提取技术”提升自动化理解业务能力、通过“代码风险推理分析与 API 语义标注”提升漏洞自动化发现能力、通过"从感知到决策的全链路智能化运营体系"提升安全工程师运营效率，实现了全链路的 AI 赋能安全。

大模型双引擎结合
破解行业技术难题

互联网业务研发过程中容易产生的水平权限漏洞等业务逻辑漏洞，可造成用户数据泄漏等高危安全风险，传统的代码扫描技术难以准确识别，这是一个行业性技术难题。支付宝 AI4SDL 体系集成了支付宝自研的代码风险扫描工具 RAC 来解决这一问题。

RAC 具有大模型 Workflow 规模化推理离线引擎和安全 Agent 在线自主风险分析在线引擎：离线引擎基于支付宝全面评估漏洞风险理论框架和五维风险模型，可对水平权限越权等高发的业务逻辑安全漏洞实现大规模、流程化的自动识别；在线引擎将安全分析任务解构为数据流分析、权限校验、敏感操作识别等子领域，通过任务分解-协作-整合机制，实现多 Agent 跨模块风险的关联推理，自动发现新型的业务逻辑漏洞。

通过双引擎结合，对水平权限等复杂业务逻辑漏洞识别的准确率和召回率均超过 75%，大幅度降低了线上业务数据泄漏等安全风险。

智能运营体系
护航各行业业务安全发展

支付宝 AI4SDL 体系已经为数字互联、金融支付、医疗健康等多个行业重要项目提供安全赋能并取得显著效果，助力业务快速研发上线运营。

• 2023 年，为支付宝鸿蒙原生 APP 研发提供全面安全保障；
• 2024 年，为支付宝碰一下 NFC 支付业务创新发展构建坚实的安全基石；
• 2025 年，为蚂蚁医疗健康 AQ APP、支付宝语音快捷、支付宝出行助手等 AI 产品提供全面安全保障。

未来，支付宝业务安全团队将继续推动 AI 技术与安全能力的深度融合，以服务之心持续深耕，以智用之道持续迭代，为业务创新发展创造良好的安全环境，为行业数字化升级树立安全标杆。