AI大模型安全评估服务协议合同

AI大模型安全评估服务协议

甲方（委托方）：

• 统一社会信用代码/注册号：【】
• 法定代表人/负责人：【】
• 住所/注册地址：【】
• 联系方式：【】

乙方（服务方）：

• 统一社会信用代码/注册号：【】
• 法定代表人/负责人：【】
• 住所/注册地址：【】
• 联系方式：【】

鉴于：

1. 甲方拥有并运营AI大模型（以下简称“目标模型”），希望对目标模型进行全面的安全评估，以确保其符合相关法律法规和行业最佳实践的要求，并降低潜在的安全风险。
2. 乙方在AI大模型安全评估领域拥有专业的技术能力、丰富的经验和良好的声誉，能够为甲方提供所需的高质量安全评估服务。

甲乙双方本着平等互利、诚实信用的原则，经友好协商，根据《中华人民共和国民法典》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及其他相关法律法规的规定，就乙方为甲方提供目标模型安全评估服务事宜，达成如下协议，以资共同遵守：

第一条 服务内容

1.1 服务范围： 乙方将对甲方指定的以下目标模型进行安全评估：

• 目标模型名称：【】
• 目标模型版本：【】
• 目标模型部署环境（详细描述）：【】（例如：服务器型号、操作系统、数据库、网络环境等）
• 目标模型应用场景（详细描述）：【】（例如：智能客服、内容生成、图像识别等）
• 目标模型使用的训练数据集概述（数据来源、数据规模、数据类型、数据预处理方式等）：【】
• 目标模型预期达到的安全目标（详细描述）：【】（例如：满足等保三级要求、通过行业安全认证等）
• 目标模型API接口文档（如有）：【】
• 目标模型已知的安全风险（如有）：【】

1.2 服务项目： 乙方提供的安全评估服务包括但不限于以下项目（甲方可根据实际需求选择或增加）：

**(1) 模型漏洞检测：**

*   **漏洞类型：**
    *   权限控制漏洞：检测未经授权的访问、权限提升、越权访问等漏洞。例如，检测是否存在绕过身份验证机制、访问未授权功能或数据、修改他人数据的漏洞。检测手段包括但不限于：黑盒测试、白盒审计、灰盒测试。
    *   输入验证漏洞：检测SQL注入、跨站脚本攻击（XSS）、命令注入、XML注入、路径遍历等漏洞。例如，检测模型是否对用户输入进行充分的过滤、转义、校验和限制，防止恶意代码注入和非法操作。检测手段包括但不限于：模糊测试、渗透测试、代码审计。
    *   逻辑漏洞：检测业务逻辑缺陷、设计缺陷、流程缺陷、算法缺陷等漏洞。例如，检测是否存在支付漏洞、订单处理漏洞、流程绕过漏洞、重放攻击漏洞、条件竞争漏洞等。检测手段包括但不限于：人工分析、业务逻辑测试、代码审计。
    *   配置错误漏洞：检测安全配置不当、默认配置未修改、不安全配置等漏洞。例如，检测是否存在弱口令、不必要的服务开启、敏感信息泄露、调试信息泄露、错误处理不当等。检测手段包括但不限于：配置检查、端口扫描、目录扫描。
    *   组件漏洞：检测使用