警惕！人工智能三大安全隱患

文｜周 濤 周 晴 宣 琦

隨著人工智能的廣泛應用，人工智能在技術轉化和應用落地過程中，安全風險日益凸顯。近年來，人工智能安全相關案例層出不窮。2018年，優步的自動駕駛SUV在美國亞利桑那州撞倒了一名女性行人，致其當場死亡。這是在公共道路上第一個已知的與車輛相關的自動駕駛行人死亡事件。2019年，Heaven等人在《自然》雜志發表的文章描述了自動駕駛汽車人工智能被輕易欺騙，把“Stop”標志誤讀為“Speed limit 45”，從而可能導致嚴重事故的案例。2020年，國內著名安全廠商360公開了24個谷歌開源框架平臺TensorFlow安全漏洞，而這些安全漏洞極其可能導致人工智能基礎數據設施出現訓練數據不均勻、訓練數據投毒、訓練數據泄露等安全問題。2021年，清華大學的RealAI團隊破解了人臉識別技術，在15分鐘內成功解鎖了19個不同品牌的國產智能手機。國家互聯網信息辦公室、公安部等相關部門針對近期未履行安全評估程序的語音社交軟件和涉及“深度偽造”技術的應用，依法約談了騰訊、阿里、快手等11家企業。人工智能的安全風險已經引起了業界的廣泛關注。特別是在自動駕駛、智能信貸、深度偽造三個領域中，涉及的人工智能在應用過程中的隱患需要大家引起重視。

多技術面協同增大自動駕駛運行的安全隱患

自動駕駛技術作為汽車智能化和網聯化發展的高級產物，獲得了廣泛的關注，而安全問題作為自動駕駛技術需滿足的首要保障，也吸引了越來越多研究者的目光。自動駕駛汽車中智能感知、智能決策、智能控制的多技術面協同，增大了自動駕駛汽車運行過程中的安全隱患暴露面。基于此，自動駕駛中的安全隱患可分為智能感知隱患、智能決策隱患和智能控制隱患。

智能感知隱患。傳感器可以說是自動駕駛的眼睛與耳朵，實現對周圍環境信息的實時動態獲取和識別，滿足決策系統的需求。倘若雷達、攝像頭等傳感器遭到黑客攻擊，極易對周圍環境感知造成錯誤判斷，從而造成安全事故。例如，在2020年上海舉辦的GeekPwn2020新基建安全大賽上，獨立極客吳濰浠用自制的雷達干擾槍設備使自動駕駛汽車“致盲”，徑直撞向前方障礙物。針對這類環境感知造成的隱患，可以采用更加高效且具有抗干擾能力的傳感器防御傳感器數據干擾攻擊。例如Baraja公司新一代傳感器平臺，使用隨機調制連續波的系統，可完全阻擋其他激光雷達和環境光源的干擾。該平臺的主要工作原理為：快速切換激光波長，并通過棱鏡傳輸光線，該棱鏡在不同方向上對不同顏色的光進行衍射。當光線返回傳感器時，只有所有信號的波長、角度、時間和編碼與所有信號都匹配時，傳感器才會對其進行處理，以確保不受干擾。

智能決策隱患。智能決策規劃模塊是自動駕駛汽車的核心，包含信息獲取、分析決策、傳達指令的功能。該模塊通過環境感知模塊獲取道路拓撲結構信息、實時交通信息、障礙物（交通參與者）信息和駕駛員自身的狀態信息等內容，并結合上述內容做出分析，再對底層控制執行模塊下達命令。攻擊者可以通過精心設計的擾動生成對抗樣本，使其對抗樣本干擾決策算法，做出錯誤的判斷，則極易出現突然加速、剎車、轉向等失控的情況。例如，來自密歇根大學的Eykholt教授和他的團隊開發了一種名為魯棒物理擾動的算法，它可以生成一些黑白或彩色的圖像，通過在路牌上貼上這些圖案，自動駕駛汽車就會將表示“停止”的路牌識別為“直行”，嚴重危害道路交通安全。針對這類安全隱患，可以在樣本輸入決策算法前執行對抗樣本檢測，拒絕可能是對抗樣本的輸入，防止其影響模型的判斷。對抗樣本檢測目前主要通過降噪重構、子空間分布、神經元激活狀態和訓練檢測器等方式探索正常樣本與對抗樣本之間的差異，實現對抗樣本的檢測。然后對使用對抗訓練（在訓練時加入對抗樣本）、梯度掩蓋（保護模型梯度信息）和防御蒸餾（保護原模型信息）等方式對模型進行安全加固，使模型在受到對抗樣本攻擊時仍能輸出正確的結果。例如，百度安全實驗室推出了AdvBox這一開源對抗樣本工具箱，并將其應用到他們推出的自動駕駛系統Apollo，為其決策算法提供模型加固、對抗樣本檢測和魯棒性驗證等安全防護機制。

深度偽造造成的安全隱患在日常生活中比較常見，主要方式有AI換臉、語音模擬、視頻生成等，其隱患大致分為肖像權侵犯隱患、網絡詐騙隱患和造謠傳謠隱患。

智能控制隱患。自動駕駛智能控制模塊的功能是根據智能決策下達命令以后，對車輛進行控制，反饋到底層模塊執行任務。倘若智能控制系統受到攻擊，便會出現自動駕駛汽車的橫向控制（行車路線控制）與縱向控制（行車速度與方向控制）失靈，引發事故。針對這類安全隱患，可以結合熔斷機制、多感知融合和關鍵數據記錄等業務安全機制實現自動駕駛控制決策防護。其中，熔斷機制是指當自動駕駛系統檢測到攻擊后，如果無法及時給出安全解決方案，啟動熔斷機制對系統進行降級處理，降低損失，例如一鍵制動停車按鈕。多感知融合是指多種感知算法識別結果交叉驗證，降低干擾的影響程度。例如大疆公司推出的Mavic Air就通過多感知算法達到了穩定的實時追蹤定位功能。關鍵數據記錄是指在商業航空領域，客機都會安裝稱為“黑匣子”的飛行數據記錄儀，用于在發生事故時對事故原因進行調查。而隨著自動駕駛汽車的普及，未來的自動駕駛車輛也應配備和飛機相同的黑匣子系統。保存自動駕駛汽車行駛過程中的關鍵決策命令、車況信息等，用于還原事故現場，定位事故原因，學習更優的控制策略。2020年聯合國宣布，對于可以承擔部分駕駛功能的車輛，包括日本、韓國和歐盟成員國在內的50多個國家已經就一些通用法規達成了一致，其中包括強制安裝“黑匣子”。

需要特別注意的是，自動駕駛汽車的任一部分受到攻擊都會嚴重危及使用者的人身安全，為保證安全，需要針對上述三大隱患構建多層次聯合的防御體系。

智能信貸中多方數據交互易導致數據泄露

人工智能技術除了存在易受到外部攻擊的隱患之外，還存在數據泄露的問題。智能信貸是人工智能的一大熱門應用，銀行的智能信貸業務利用多方用戶數據進行風控建模，該過程便暴露出明顯的數據泄露隱患。智能信貸的模型通常在用戶征信、流水等多領域的數據基礎上建立，數據出庫的同時很難避免中間方造成數據泄露，如拍照、截屏等造成數據泄露隱患。為了保證用戶的隱私安全，提高智能信貸系統的安全性刻不容緩。針對智能信貸暴露的安全隱患，進行安全防護的核心思想是在多方數據交互時保證數據的安全與隱私，需要結合隱私保護、密碼學等多種安全領域技術。

聯邦學習機制。在參與各方原始數據不出數據庫的條件下，通過加密機制進行參數交互，可以在原理上保證用戶數據的隱私。例如瑞萊智慧開發的RealSecure隱私保護機器學習平臺，以底層數據流圖的視角揭示人工智能算法與對應分布式隱私保護算法的聯系，使用“算子”級別的表示單位描述隱私保護算法公式，通過算子組合將人工智能生態與隱私保護生態打通，實現兩者的有機結合。

安全多方計算。一種基于多方數據協同完成計算目標，在不泄漏參與計算各方隱秘數據的情況下，獲得計算結果的密碼學技術。安全多方計算結合了多種密碼學技術，而不是單一的加密協議，包括秘密分享、不經意傳輸、混淆電路和同態加密等。例如螞蟻集團推出的螞蟻鏈摩斯多方安全計算平臺，就是基于多方安全計算、隱私保護、區塊鏈等技術，實現了數據可用不可見，解決了企業數據協同計算過程中的數據安全和隱私保護問題。

深度偽造虛假信息

人工智能技術的應用為用戶日常生活帶來極大便利的同時，也有一些不法分子利用該技術進行造假，侵犯他人的肖像權、名譽權，甚至侵害他人財產安全。這一現象的典型例子就是深度偽造技術的應用。

深度偽造造成的安全隱患在日常生活中比較常見，主要方式有AI換臉、語音模擬、視頻生成等，其隱患大致分為肖像權侵犯隱患、網絡詐騙隱患和造謠傳謠隱患。肖像權侵犯隱患就是不法分子通過視頻合成、AI換臉技術制造虛假視頻或圖片，被用作惡搞、報復、誣陷他人，侵犯個人肖像權、名譽權。網絡詐騙即非法人員利用人工智能技術偽造圖片、語音甚至視頻進行詐騙，如偽造法院傳票、受害者語音等手段成功實施詐騙的案例數不勝數。造謠傳謠即不法分子通過偽造圖片、語音甚至視頻散播虛假消息，造成不良社會影響。例如在2019 年初，著名交友網站臉書上流傳了一段關于“特朗普”批評了比利時在氣候變化問題方面立場的視頻，但實際上這短視頻里并不是特朗普本人。雖然視頻在最后注明“特朗普”是偽造的，但該視頻仍在比利時引起了一陣恐慌。

基于以上的隱患，深度偽造的安全防護可以分為兩大方向，檢測技術和行業規范。其中，深度偽造檢測主要從技術層面出發，對圖像、視頻、音頻等進行檢測。目前，深度偽造檢測的主流方式是提取偽造特征。這類方法通過深度神經網絡的強大學習能力，捕捉真實人臉特征與篡改人臉特征之間的差異，并以此為依據進行檢測；也可利用神經網絡直接學習偽造算法的篡改痕跡特征實現檢測。更有潛力的一種方式是基于生理信號特征，通過比較真實視頻與偽造視頻中人物的語速、聲紋和眨眼頻率等生理信號特征差異，實現偽造內容的檢測。百度安全在2020年推出了一項深度偽造檢測服務，通過訓練深度神經網絡模型識別假臉的邊緣效應、紋理、膚色變化、分辨率差異、扭曲等特征來鑒別假臉，結合數字圖像處理技術，為數據鑒偽工作提供有力支持。除了從技術角度檢測偽造內容，還應制定相關的法律規范，對偽造內容進行聲明。我國《數據安全管理辦法（征求意見稿）》第24條明確提出：“網絡運營者利用大數據、人工智能等技術自動合成新聞、博文、帖子、評論等信息，應以明顯方式標明‘合成’字樣。”臉書對其網站上的可能包含偽造內容的視頻進行了屏蔽或標注處理，Github對與DeepFake和DeepNude等有關深度偽造惡意應用項目進行了屏蔽處理。

總的來說，人工智能技術的發展，是不可阻擋的時代潮流，人工智能勢必對整個社會產生巨大影響。人工智能帶來的技術方面的發展對社會各領域來說都是一個機遇，把握好這個機遇便能在新一輪的科技革命中站穩腳跟。但是，人工智能應用過程中存在的安全隱患對人類來說也是一個巨大的挑戰，如何克服挑戰、把握機遇，值得每個人去思考。