CMMC 与 NIST 800-171:国防制造商对 AI 检测的需求
对于国防制造商而言,时钟已经开始倒计时。CMMC 2.0 已于 2025 年 11 月在 DFARS 中正式确立,使其从一项即将到来的政策变成了可强制执行的合同要求。下一个重要日期是 2026 年 11 月 10 日,即第二阶段的里程碑,届时强制性第三方评估将成为涉及 Controlled Unclassified Information 的 Level 2 合同的标准。对于大多数 Level 2 工作而言,自我认证时代将就此终结。
这一转变改变了您应如何看待每一个接触 CUI 的系统,包括您检测线上的 AI 视觉工具。检测系统所生成的图像、模型和记录都可能包含 Controlled Unclassified Information,而这些数据所处的位置决定了评估方需要评估您运营的多大范围。换句话说,架构如今已成为一个合规问题。
注意:CMMC 合规是组织层面的责任,涵盖您的人员、流程以及处理 CUI 的全部系统。本文阐述 Overview.ai 的边缘架构如何支持 CMMC 与 NIST 800-171 项目。这并非认证声明。请务必与您的评估方(C3PAO)和合规团队确认适用于您合同的范围和具体要求。
CMMC Level 2 对您的要求
Cybersecurity Maturity Model Certification 是美国国防部用于在整个国防工业基础中保护受控信息的框架。Level 2 是适用于处理 CUI 的承包商的层级,它与 NIST SP 800-171 及其 110 项安全控制项保持一致。这些控制项涵盖访问控制、审计与问责、配置管理、系统与信息完整性等多个方面。
在 2026 年 11 月 10 日之后,证明 Level 2 合规通常意味着由 Certified Third-Party Assessment Organization(即 C3PAO)进行第三方评估,而不再是自我认证。切实做好准备需要 6 到 12 个月。您需要界定范围、划定安全边界、依据 110 项控制项进行差距评估、编写 System Security Plan 并完成整改。纳入该边界的系统和数据流越少,需要评估和防护的内容就越少。
为何检测数据应留在您的边界内
在梳理 CUI 时很容易忽略检测系统,但它们恰恰会生成 CMMC 所关注的那类数据。相机捕获的受控零件图像、编码该零件应有外观的已训练模型,以及您保留的检测记录,都可能承载 Controlled Unclassified Information。如果确实如此,那么存储或处理它们的每一个系统都会落入您的评估边界之内。
正是在这一点上,基于云的检测工具对您不利。将图像发送到异地进行训练或处理,会增加评估方必须依据全部 110 项控制项进行评估的外部系统、新的数据流和第三方连接。每一项新增都会扩大您的边界和攻击面。将检测保留在本地和边缘则恰恰相反:CUI 留在您已经管理的边界内,因此需要纳入范围的内容更少。
Overview.ai 如何将 CUI 保留在您的边界内:
- ✓ AI 推理和训练在设备端运行,基于内置的 NVIDIA 边缘 GPU
- ✓ 无云依赖,因此图像和模型不会上传到异地
- ✓ 可在隔离的生产网络中以 air-gap 方式运行,无需互联网
- ✓ 基于浏览器的界面在本地、您的网络内提供服务
- ✓ 第三方无法访问您的检测数据、图像或结果
针对 CMMC 范围的云端与边缘对比
| 考量因素 | 云端检测 | Overview.ai(边缘) |
|---|---|---|
| CUI 在何处处理 | 共享云基础设施 | 在相机上、在您的厂区内 |
| 是否需要互联网 | 通常需要 | 否,支持 air-gap |
| 对 CMMC 评估范围的影响 | 扩大边界 | 保持边界紧凑 |
| 第三方访问 | 可能 | 无 |
| air-gap 支持 | 很少 | 是,专为此而设计 |
边缘架构如何支持您的项目
Overview.ai 在相机本身上运行检测的每一个步骤。每台设备都内置 NVIDIA 边缘 GPU,因此图像捕获、AI 推理和模型训练都在设备端进行。没有任何内容上传到共享云,系统可在隔离的生产网络中以 air-gap 方式运行,界面则是在您的网络内本地提供服务的浏览器。不存在第三方数据访问。
对于 CMMC Level 2 项目而言,这种架构将检测 CUI 保留在您已经控制的边界内,从而支持而非复杂化您的 NIST 800-171 控制项。国防生产线还能从运营技术层的设备端安全中受益。我们关于 边缘 AI 与 OT 安全 的概述介绍了将推理保留在本地如何缩小网络安全攻击面,而我们关于 符合 ITAR 的 AI 视觉检测 的指南则针对受出口管制的技术数据介绍了同样的边缘优先方法。
构建您的合规论据
在面对 C3PAO 评估时,最有力的立场是 CUI 从一开始就根本没有机会离开您的边界。仅在边缘运行的检测架构默认就能为您实现这一点,而无需依赖云策略和数据处理协议来将受控信息约束在边界之内。这在您的 System Security Plan 中更易于记录,在评估中也更易于辩护。
如果您正在为 2026 年 11 月 10 日之前的 Level 2 生产线规划 AI 视觉方案,请先梳理您的检测数据在每个步骤中将驻留在何处。使用 Overview.ai,每个步骤的答案都是一致的:在您的厂区内,在您的边界内。
常见问题
CMMC Level 2 的截止日期是什么时候?
2026 年 11 月 10 日是第二阶段的里程碑。从那一天起,由 C3PAO 进行的强制性第三方评估将成为涉及 Controlled Unclassified Information 的 Level 2 合同的标准,这标志着大多数 Level 2 工作的自我认证时代的终结。CMMC 2.0 已于 2025 年 11 月在 DFARS 中正式确立,使其成为可强制执行的合同要求。请与您的评估方和合规团队确认适用于您合同的日期和要求。
AI 检测数据可以是 CUI 吗?
可以。检测系统捕获的图像、编码受控零件应有外观的已训练模型,以及您保留的检测记录,都可能包含 Controlled Unclassified Information。如果这些数据被视为 CUI,那么存储和处理它们的系统就会落入您的 CMMC 评估边界之内。
边缘 AI 如何缩小 CMMC 范围?
基于云的检测工具会增加评估方必须依据 NIST SP 800-171 的 110 项控制项进行评估的系统、数据流和外部连接,从而扩大您的评估边界。将检测保留在本地和边缘,可以让 CUI 留在您现有的边界内,从而减少纳入范围的系统数量并缩小攻击面。
Overview.ai 通过 CMMC 认证了吗?
CMMC 认证是组织层面的责任,因此单一产品并不是认证的对象。Overview.ai 的架构旨在将 CUI 保留在您的边界内,具备设备端处理、无云依赖和 air-gap 支持,从而支持您的 CMMC 与 NIST 800-171 项目。请与您的评估方(C3PAO)和合规团队确认适用于您合同的范围和具体要求。
在您的零件上体验 Overview AI
把您的零件或缺陷照片发给我们,视觉工程师会告诉您 Overview 能否检出,大多数系统几天内即可在产线上运行。