CMMC 與 NIST 800-171:國防製造商對 AI 檢測的需求
對於國防製造商而言,時鐘已經開始倒數。CMMC 2.0 已於 2025 年 11 月在 DFARS 中正式確立,使其從一項即將到來的政策變成了可強制執行的合約要求。下一個重要日期是 2026 年 11 月 10 日,即第二階段的里程碑,屆時強制性第三方評估將成為涉及 Controlled Unclassified Information 的 Level 2 合約的標準。對於大多數 Level 2 工作而言,自我認證時代將就此終結。
這一轉變改變了您應如何看待每一個接觸 CUI 的系統,包括您檢測線上的 AI 視覺工具。檢測系統所產生的影像、模型和紀錄都可能包含 Controlled Unclassified Information,而這些資料所處的位置決定了評估方需要評估您營運的多大範圍。換句話說,架構如今已成為一個合規問題。
注意:CMMC 合規是組織層級的責任,涵蓋您的人員、流程以及處理 CUI 的全部系統。本文闡述 Overview.ai 的邊緣架構如何支援 CMMC 與 NIST 800-171 計畫。這並非認證聲明。請務必與您的評估方(C3PAO)和合規團隊確認適用於您合約的範圍和具體要求。
CMMC Level 2 對您的要求
Cybersecurity Maturity Model Certification 是美國國防部用於在整個國防工業基礎中保護受控資訊的框架。Level 2 是適用於處理 CUI 的承包商的層級,它與 NIST SP 800-171 及其 110 項安全控制項保持一致。這些控制項涵蓋存取控制、稽核與問責、組態管理、系統與資訊完整性等多個方面。
在 2026 年 11 月 10 日之後,證明 Level 2 合規通常意味著由 Certified Third-Party Assessment Organization(即 C3PAO)進行第三方評估,而不再是自我認證。切實做好準備需要 6 到 12 個月。您需要界定範圍、劃定安全邊界、依據 110 項控制項進行差距評估、撰寫一份 System Security Plan 並完成整改。納入該邊界的系統和資料流越少,需要評估和防護的內容就越少。
為何檢測資料應留在您的邊界內
在梳理 CUI 時很容易忽略檢測系統,但它們恰恰會產生 CMMC 所關注的那類資料。相機擷取的受控零件影像、編碼該零件應有外觀的已訓練模型,以及您保留的檢測紀錄,都可能承載 Controlled Unclassified Information。如果確實如此,那麼儲存或處理它們的每一個系統都會落入您的評估邊界之內。
正是在這一點上,基於雲端的檢測工具對您不利。將影像傳送到異地進行訓練或處理,會增加評估方必須依據全部 110 項控制項進行評估的外部系統、新的資料流和第三方連線。每一項新增都會擴大您的邊界和攻擊面。將檢測保留在本地和邊緣則恰恰相反:CUI 留在您已經管理的邊界內,因此需要納入範圍的內容更少。
Overview.ai 如何將 CUI 保留在您的邊界內:
- ✓ AI 推論和訓練在裝置端執行,基於內建的 NVIDIA 邊緣 GPU
- ✓ 無雲端依賴,因此影像和模型不會上傳到異地
- ✓ 可在隔離的生產網路中以 air-gap 方式執行,無需網際網路
- ✓ 基於瀏覽器的介面在本地、您的網路內提供服務
- ✓ 第三方無法存取您的檢測資料、影像或結果
針對 CMMC 範圍的雲端與邊緣對比
| 考量因素 | 雲端檢測 | Overview.ai(邊緣) |
|---|---|---|
| CUI 在何處處理 | 共享雲端基礎設施 | 在相機上、在您的廠區內 |
| 是否需要網際網路 | 通常需要 | 否,支援 air-gap |
| 對 CMMC 評估範圍的影響 | 擴大邊界 | 保持邊界緊湊 |
| 第三方存取 | 可能 | 無 |
| air-gap 支援 | 很少 | 是,專為此而設計 |
邊緣架構如何支援您的計畫
Overview.ai 在相機本身上執行檢測的每一個步驟。每台裝置都內建 NVIDIA 邊緣 GPU,因此影像擷取、AI 推論和模型訓練都在裝置端進行。沒有任何內容上傳到共享雲端,系統可在隔離的生產網路中以 air-gap 方式執行,介面則是在您的網路內本地提供服務的瀏覽器。不存在第三方資料存取。
對於 CMMC Level 2 計畫而言,這種架構將檢測 CUI 保留在您已經控制的邊界內,從而支援而非複雜化您的 NIST 800-171 控制項。國防生產線還能從營運技術層的裝置端安全中受益。我們關於 邊緣 AI 與 OT 安全 的概述介紹了將推論保留在本地如何縮小網路安全攻擊面,而我們關於 符合 ITAR 的 AI 視覺檢測 的指南則針對受出口管制的技術資料介紹了同樣的邊緣優先方法。
建構您的合規論據
在面對 C3PAO 評估時,最有力的立場是 CUI 從一開始就根本沒有機會離開您的邊界。僅在邊緣執行的檢測架構預設就能為您實現這一點,而無需依賴雲端策略和資料處理協議來將受控資訊約束在邊界之內。這在您的 System Security Plan 中更易於記錄,在評估中也更易於辯護。
如果您正在為 2026 年 11 月 10 日之前的 Level 2 生產線規劃 AI 視覺方案,請先梳理您的檢測資料在每個步驟中將駐留在何處。使用 Overview.ai,每個步驟的答案都是一致的:在您的廠區內,在您的邊界內。
常見問題
CMMC Level 2 的截止日期是什麼時候?
2026 年 11 月 10 日是第二階段的里程碑。從那一天起,由 C3PAO 進行的強制性第三方評估將成為涉及 Controlled Unclassified Information 的 Level 2 合約的標準,這標誌著大多數 Level 2 工作的自我認證時代的終結。CMMC 2.0 已於 2025 年 11 月在 DFARS 中正式確立,使其成為可強制執行的合約要求。請與您的評估方和合規團隊確認適用於您合約的日期和要求。
AI 檢測資料可以是 CUI 嗎?
可以。檢測系統擷取的影像、編碼受控零件應有外觀的已訓練模型,以及您保留的檢測紀錄,都可能包含 Controlled Unclassified Information。如果這些資料被視為 CUI,那麼儲存和處理它們的系統就會落入您的 CMMC 評估邊界之內。
邊緣 AI 如何縮小 CMMC 範圍?
基於雲端的檢測工具會增加評估方必須依據 NIST SP 800-171 的 110 項控制項進行評估的系統、資料流和外部連線,從而擴大您的評估邊界。將檢測保留在本地和邊緣,可以讓 CUI 留在您現有的邊界內,從而減少納入範圍的系統數量並縮小攻擊面。
Overview.ai 通過 CMMC 認證了嗎?
CMMC 認證是組織層級的責任,因此單一產品並非認證的對象。Overview.ai 的架構旨在將 CUI 保留在您的邊界內,具備裝置端處理、無雲端依賴和 air-gap 支援,從而支援您的 CMMC 與 NIST 800-171 計畫。請與您的評估方(C3PAO)和合規團隊確認適用於您合約的範圍和具體要求。
在您的零件上體驗 Overview AI
把您的零件或瑕疵照片寄給我們,視覺工程師會告訴您 Overview 能否檢出,大多數系統幾天內即可在產線上運行。