AI攻擊AI升級的網絡安全戰

王英哲

在近期召開的在一次網絡安全會議上，100位受訪行業專家中的62位認為，首輪AI強化型網絡攻擊很可能在接下來12個月內出現。

AI的介入會進一步升級目前的網絡犯罪與網絡安全體系，進而成為攻擊者與防御者之間軍備競賽的核心支柱之一。

這種擔憂并不是空穴來風。網絡安全是一個人力受限的市場，而計算機除了不需要進食與休息之外，還能夠以AI自動化的方式，提升復雜攻擊的速度與執行效率，這很容易誘使黑客使用AI進行攻擊。

雖然目前公共領域的研究，僅限于白帽黑客使用計算機識別漏洞并提出修復建議。然而，以AI的發展速度，攻擊者對其大規模應用也是為期不遠的事。

AI型網絡攻擊會帶來哪些威脅

首先，AI能夠幫助黑客定制攻擊手段。舉例來說，魚叉式釣魚攻擊要求攻擊者獲取潛在目標的個人信息以及其他詳細資料，包括銀行帳戶或者其選擇的醫療保險公司。

AI系統能夠幫助攻擊者快速收集、組織并處理大型數據庫，從而對信息進行關聯與識別，最終簡化攻擊實施門檻并加快攻擊執行速度。

另外，工作量的降低將使網絡犯罪分子能夠發動大量的小規模攻擊。由于單次攻擊的影響較為有限，因此這類活動即使被檢測到也會受到忽視。

AI系統甚至可被用于從多個來源同時提取信息，從而發現那些易受攻擊活動影響的目標。

其次，AI能夠幫助提升適應能力。AI支持型攻擊者在遇到阻力，者網絡安全專家修復了原有漏洞時，能夠快速作出反應。在這種情況下，AI可能會在無需人為指示的前提下轉而利用另一項漏洞，或者對系統進行掃描以找到新的可行入侵方式。

這意味著防御者將無法跟上AI方案的進攻速度。這極有可能引發新一輪編程與技術性競賽，其中防御者開發出AI助手以發現并抵御攻擊活動，甚至打造出擁有報復性攻擊能力的AI方案。

第三，AI同樣可能帶來的危險。AI自主操作可能導致其攻擊本不應攻擊的對象，甚至可能出現意外損失的系統。

舉例來說，原本只打算竊取資金的攻擊者，在運行AI軟件后，也許會決定將目標指向醫院計算機，這極易導致人身傷害甚至是死亡等嚴重后果。

盡管后果與影響如此重要，但大多數企業在遭遇第一次AI攻擊時，并不會注意到此類重大變化。隨著不斷利用AI系統改進自身家庭環境、工廠、辦公室乃至交通運輸系統，AI引發的潛在威脅必將不斷提升。

使用AI對AI進行攻擊

除了AI帶來的自動化攻擊，黑客使用AI對AI進行攻擊，也成為業界最為關注的潛在威脅。

對抗性的機器學習研究表明，AI可能會被黑客攻擊，從而做出完全錯誤的決策。隨著人工智能滲透到生活的方方面面，包括：駕駛汽車、分析視頻監控系統以及通過面部識別某人身份等，對這些系統的攻擊變得更加可能，也更加危險。

例如：黑客修改路邊交通標志，可能會導致車禍和人員傷害，對數據機器學習系統的細微改變，也會導致人工智能系統做出的決策出現偏差。

為了防止黑客想要通過篡改數據集或現實環境來攻擊人工智能，研究人員轉向對抗性的機器學習研究。在這種情況下，研究人員對數據進行修改，從而欺騙神經網絡和人工智能系統，讓它們看到不存在的東西，忽略存在的東西，或者使其對于分類對象的決策完全錯誤。

就像谷歌和紐約大學研究人員所做的那樣，在一輛校車的照片上，加上一層對人類來說無形的數據噪聲，神經網絡會認為那是一只鴕鳥。

不僅是圖像可以這樣，隱藏的語音指令嵌入到廣播中，從而控制智能手機，同時還不會讓人們察覺。

華盛頓大學計算機安全研究員Earlence Fernandes也從事停車標志研究，他表示：“攻擊的范圍很廣，取決于攻擊者處在機器學習模型生成過程的哪個階段。”例如：在人臉檢測算法中，攻擊者可能會用惡意數據毒害模型，從而使檢測算法將攻擊者的臉識別為授權人。

另一方面，推理時間攻擊則是通過一系列算法，比如快速梯度符號法（Fast Gradient Sign Method，FGSM）和當前最優攻擊方法（Carlini and Wagner）是2種最流行的算法。其向模型顯示精心制作的輸入，從而迷惑神經網絡。

雖然這類工作現在被描述為一種攻擊，但從哲學角度來說，對抗性的例子最初被視為神經網絡設計中的一個近點：假設機器以同樣的方式看東西，他們用與我們相似的標準來識別物體。2014年，谷歌研究人員在一篇關于“神經網絡的有趣特性”的論文中首次描述了這一想法，該論文描述了如何在圖像中添加“擾動”元素會導致神經網絡出現錯誤———他們稱之為“對抗性示例”。

他們發現，微小的扭曲就可能會騙過神經網絡，使其誤讀一個數字或誤將校車當成別的什么東西。這項研究對神經網絡“固有盲點”以及他們在學習過程中的“非直覺特征”提出了質疑。換句話說，我們并不真正了解神經網絡是如何運作的。

正是基于神經網絡的不可理解性，人們也就暫時不用太擔心AI攻擊事件發生。麻省理工學院的研究員Anish Athalye指出，“據我們所知，這種類型的攻擊，目前還沒有被現實世界中的惡意組織采納過。”

針對AI攻擊的防御措施

那么，對于潛在的AI攻擊風險，人們可以做到哪些潛在的防御措施呢？

首先，增加網絡防御中AI的使用，并非壞的選擇。網絡防御采用了一種監管和非監管相結合的學習方法，基于現有模式預測新的威脅和惡意軟件。

行為分析是另一種探索途徑。機器學習技術可用于監控系統和人類活動，以檢測潛在的惡意偏離。

但重要的是，在使用AI進行防御時，假設攻擊者已經對此有所預料。我們還必須掌控AI的發展及其在網絡中的應用，以便能夠可靠地預測惡意應用程序。

為了實現這一目標，行業從業者、學術研究人員和決策者之間的合作至關重要。立法者必須考慮到AI的潛在用途，并更新關于黑客的定義。研究人員應該謹防其研究成果被惡意使用。補丁和漏洞管理程序也應該在企業界得到應有的重視。

最后，用戶應當樹立安全意識，防止社會工程攻擊，阻止密碼重用，并在可行的情況下提倡雙因素身份驗證。