CNCF 警告：仅靠 Kubernetes 不足以保障 LLM 工作负载的安全性

作者 ｜ Craig Risi

译者 ｜ 张卫滨

云原生计算基金会 (CNCF) 发布的 一篇博客文章 指出，企业在 Kubernetes 上部署大语言模型 (LLM) 时存在一个关键的安全缺口，那就是尽管 Kubernetes 擅长编排和隔离工作负载，但它本身无法理解或控制 AI 系统的行为，由此形成了一类完全不同且更为复杂的威胁模型。

文章认为，LLM 引入了一类新的风险，因为它们处理的是不受信任的输入，并且能够动态决定行动方式，这与传统应用不同。在典型部署中，例如，通过 API 或聊天界面暴露一个 LLM，Kubernetes 可以保证 Pod 运行正常、资源状态稳定，但它无法感知提示词是否是恶意的、敏感数据是否泄露，或模型是否以不安全方式与内部系统交互。这会导致一种糟糕的局面，那就是，基础设施表面健康，而底层风险却未被发现。

CNCF 强调，基于 LLM 的系统必须被视为可编程、可决策的实体，而不仅仅是计算工作负载。当组织把 LLM 置于内部工具、日志、API 或凭据之前时，实际上是引入了一个可被提示词输入影响的新抽象层。这会打开一系列风险入口，例如，提示词注入、意外数据暴露以及对已连接工具的滥用，而这些威胁并非传统 Kubernetes 安全控制最初所要解决的问题。

这种转变反映了云原生系统更广泛的演进：Kubernetes 正越来越多地被用于运行 AI 和生成式工作负载。随着采用规模的增长，这个平台正在从最初管理无状态微服务的定位，被扩展到编排数据密集型、智能体驱动和推理密集型系统。然而，安全模型尚未完全跟上这些新场景。

虽然 Kubernetes 为调度、隔离和资源管理提供了强有力的基础能力，但它缺乏对 AI 系统施加应用层或语义层控制的内置机制。比如，它无法判断一个提示词是否应被执行、一个响应是否泄露敏感信息，或某个 LLM 是否应访问特定工具或 API。

这种局限凸显了在基础设施之外增加额外控制层的必要性。传统 Kubernetes 安全实践，如 RBAC、网络策略和容器隔离，依然是必要的，但单独使用它们还不够。组织还必须引入 AI 特定的控制，包括提示词校验、输出过滤、工具访问限制以及应用层策略执行。

博客指出，当前正在出现对“AI 感知型平台工程”的需求，即把安全同时嵌入基础设施层和应用层。这包括引入诸如 OWASP Top 10 for LLMs 之类框架、落实策略即代码（policy-as-code），并建立约束模型与数据和外部系统交互方式的护栏机制。

行业讨论正越来越多地将其定义为：从传统威胁模型转变为行为与上下文感知的安全模型。关注点不再只是保护基础设施本身，而是控制智能系统在其中的行为。随着 LLM 演进为可执行动作的自治或 Agentic 系统，这些问题会变得更加重要。

CNCF 的分析对那些正在 Kubernetes 上快速采用 AI 的组织发出了警示：运行健康不等于安全。一个系统即便完全符合 Kubernetes 的最佳实践，也仍可能通过其 AI 层暴露出明显的风险。

主要技术与安全厂商正在收敛到相似的原则。行业指南 越来越多地建议采用多层安全模型，结合运行时监控、human-in-the-loop 控制，以及围绕 AI 系统可执行动作的严格策略约束。一个一致观点是，LLM 绝不能被当作权威决策者，而必须在有边界的上下文中运行，并具备明确的护栏、持续验证和可审计性。

随着 LLM 采用加速，行业正被迫重新思考关于信任边界、工作负载隔离和应用行为的长期假设。由此形成的结果是一个新的安全范式：Kubernetes 仍是基础层，但必须叠加 AI 特定的治理、可观测性与控制机制，才能确保智能系统的安全可靠部署。

CNCF Warns Kubernetes Alone Is Not Enough to Secure LLM Workloads(https://www.infoq.com/news/2026/04/kubernetes-secure-workloads/)

声明：本文由 InfoQ 翻译，未经许可禁止转载。