《指导意见》指出，加强外包风险管理。使用外部人工智能技术时，金融机构应在外包策略、数据安全、集中度管理等方面建立管理机制，通过合同协议明确安全管理方面的权责义务，确保金融机构能够有效管控相关风险。与外部企业开展合作时，应建立有效的风险隔离“防火墙”，防范风险跨业传递。对外包合作机构实行名单制管理，对引入的外部模型建立严格的内部评估框架，有效评价模型的优缺点和适配性。

　　加强供应链风险与开源技术管理。金融机构要建立对人工智能算力、模型、数据、技术工具等的供应链安全合规管理机制，确保应用自主可控，防范对个别技术服务过度依赖引发的集中度风险。完善开源技术使用规范，建立开源软件管理台账，对外部引入的开源组件应进行审查评估，加强代码审计、漏洞扫描及安全测试，定期排查开源组件风险隐患，防范供应链投毒。