大家好，我們是成都小火科技公司，今天是2025年11月03日，星期一。在我們接觸的行業(yè)中，金融行業(yè)算是很有代表性的。尤其是AI出現(xiàn)之后，有了大數(shù)據(jù)的算法，還可以定制內(nèi)部的數(shù)據(jù)系統(tǒng)。

就實(shí)用性而言，AI在金融領(lǐng)域的應(yīng)用，完全算得上是AI實(shí)用性的代表。今天我們來(lái)講解AI在金額審計(jì)系統(tǒng)的軟件開(kāi)發(fā)。甲方之前有這方面的系統(tǒng)，但是頻繁出現(xiàn)數(shù)據(jù)傳輸漏洞預(yù)警，但用的審計(jì)工具只能檢測(cè)代碼層面問(wèn)題，沒(méi)法覆蓋數(shù)據(jù)采集、模型訓(xùn)練到部署運(yùn)維的全流程，找了兩家服務(wù)商都只能提供局部解決方案。這讓我們想起去年為某政務(wù)單位開(kāi)發(fā)的項(xiàng)目，他們用了我們做的政務(wù)門戶網(wǎng)站后，又提出AI系統(tǒng)全環(huán)節(jié)安全審計(jì)需求，當(dāng)時(shí)就基于醫(yī)院一體機(jī)系統(tǒng)的數(shù)據(jù)加密經(jīng)驗(yàn)，啟動(dòng)了全流程AI系統(tǒng)安全審計(jì)工具的開(kāi)發(fā)。

項(xiàng)目啟動(dòng)前，客戶先問(wèn)我們有多少技術(shù)人員投入，我們明確告知安排了 6 人團(tuán)隊(duì)，包含 3 名有大廠安全開(kāi)發(fā)經(jīng)驗(yàn)的后端工程師、2 名安全測(cè)試專員和 1 名產(chǎn)品經(jīng)理，均參與過(guò)數(shù)據(jù)大屏監(jiān)測(cè)系統(tǒng)的安全模塊開(kāi)發(fā)。客戶接著問(wèn)開(kāi)發(fā)周期，我們拆解需求后定在 8 周，前 2 周做安全風(fēng)險(xiǎn)點(diǎn)梳理（比如模型投毒、數(shù)據(jù)泄露等），中間 4 周開(kāi)發(fā)日志采集、漏洞掃描、模型安全檢測(cè)模塊，最后 2 周做攻防演練測(cè)試，并且每周五會(huì)發(fā)開(kāi)發(fā)進(jìn)度表，同步各模塊完成情況。關(guān)于交付質(zhì)量，我們承諾工具上線后能檢測(cè)出 95% 以上的已知 AI 系統(tǒng)安全漏洞，還會(huì)配合第三方安全機(jī)構(gòu)出具檢測(cè)報(bào)告，客戶這才放心簽訂合同。

開(kāi)發(fā)過(guò)程中，客戶突然提出想增加模型訓(xùn)練數(shù)據(jù)溯源功能，我們?cè)u(píng)估后發(fā)現(xiàn)不影響現(xiàn)有架構(gòu)，就免費(fèi)調(diào)整了方案?？蛻暨€關(guān)心上線后出 bug 怎么辦，我們?cè)诤贤飳懬逡荒陜?nèi)功能性 bug 免費(fèi)修復(fù)，維護(hù)費(fèi)按項(xiàng)目總費(fèi)用的 15% 按年收取，后期加功能則根據(jù)開(kāi)發(fā)難度和工時(shí)單獨(dú)報(bào)價(jià)。服務(wù)器方面，考慮到客戶數(shù)據(jù)敏感性（涉及政務(wù)數(shù)據(jù)），推薦了線下自主服務(wù)器，還幫他們做了三重?cái)?shù)據(jù)備份（本地 + 異地 + 云備份）。代碼版權(quán)問(wèn)題也提前明確，交付后所有代碼歸客戶所有，我們僅保留基礎(chǔ)安全檢測(cè)框架的使用權(quán)，避免后續(xù)糾紛。

我們成都小火科技是軟件企業(yè)單位（證書(shū)編號(hào)：川 IRQ-2025-0052），也是成都軟件協(xié)會(huì)理事單位（證書(shū)編號(hào)：CDSIA-5373），官網(wǎng)有 ICP 備案（蜀 ICP 備 14021890 號(hào) - 1）和網(wǎng)安備案（川公網(wǎng)安備 51010802031911 號(hào)），在安全類軟件開(kāi)發(fā)上有成熟資質(zhì)。這個(gè)項(xiàng)目里，技術(shù)主管全程把控安全架構(gòu)，測(cè)試人員模擬 10 種常見(jiàn)攻擊場(chǎng)景（如 SQL 注入、XSS 攻擊等）做壓力測(cè)試，最終交付時(shí)客戶一次性驗(yàn)收通過(guò)，他們反饋之前每月至少 2 次安全預(yù)警，用了這個(gè)工具后連續(xù) 3 個(gè)月零預(yù)警，還順利通過(guò)了上級(jí)單位的安全檢查。

復(fù)盤這個(gè)項(xiàng)目，最關(guān)鍵的是前期要摸透客戶 AI 系統(tǒng)的技術(shù)架構(gòu)，當(dāng)時(shí)客戶沒(méi)說(shuō)清模型用的是私有框架，導(dǎo)致開(kāi)發(fā)第三周出現(xiàn)檢測(cè)適配問(wèn)題，后來(lái)加派 1 名熟悉該框架的工程師才解決，這也讓我們后續(xù)在需求調(diào)研階段增加了 “技術(shù)架構(gòu)清單” 環(huán)節(jié)。這里提醒想做這類工具的客戶，一定要提前提供 AI 系統(tǒng)的框架類型、數(shù)據(jù)流轉(zhuǎn)路徑、接口權(quán)限等文檔，減少溝通成本。這個(gè)工具上線后，客戶 AI 系統(tǒng)的安全運(yùn)維成本降低了 40%，還幫他們規(guī)避了 2 次潛在數(shù)據(jù)泄露風(fēng)險(xiǎn)。未來(lái)我們會(huì)針對(duì) AI 大模型新增 prompt 注入檢測(cè)功能，讓全流程安全審計(jì)覆蓋更多場(chǎng)景，同時(shí)也會(huì)推出輕量化版本，滿足中小型企業(yè)的安全審計(jì)需求，幫助更多企業(yè)守住 AI 系統(tǒng)的安全防線。

文章來(lái)源網(wǎng)址：http://www.rfwlkj.com/archives/xitongkaifa01/2352，轉(zhuǎn)載請(qǐng)注明出處！