當(dāng)我們一直在討論AI能給互聯(lián)網(wǎng)安全帶來什么影響的時候,可能一直都忽略了一個問題: AI本身也不安全。
這兩天的新聞恰如其分地提醒了我們這一點。近日,谷歌被曝其機(jī)器學(xué)習(xí)框架TensorFlow中存在的嚴(yán)重安全風(fēng)險,可被黑客用來制造安全威脅,谷歌方面已經(jīng)確認(rèn)了該漏洞并做出了整改回應(yīng)。
雖然是提前發(fā)現(xiàn),這些漏洞本身沒有帶來實質(zhì)威脅,但這條消息還是讓一些人感到了不安。TensorFlow、Torch、Caffe這些機(jī)器學(xué)習(xí)開發(fā)框架,差不多是如今AI開發(fā)者與研究者的標(biāo)準(zhǔn)配置,但這些平臺最近卻紛紛被曝光存在安全漏洞和被黑客利用的可能性。
某種意義上來說,這些消息在提醒我們同一個問題: 當(dāng)我們急切的將資金與用戶關(guān)系聚集在機(jī)器學(xué)習(xí)上時,也可能是將巨大的安全性問題捆綁在了身上。
更重要的是,面臨AI安全問題,我們中的大部分人還處在很傻很天真的“懵懂狀態(tài)”,對它的邏輯和危害性近乎一無所知。
本文希望科普一下這些內(nèi)容,畢竟防患于未然。另外必須提醒開發(fā)者和企業(yè)的是,在谷歌這些大公司不遺余力地推廣自家機(jī)器學(xué)習(xí)平臺,并且為了吸引使用者而快速迭代、大量發(fā)布免費資源時,開發(fā)者本身一定要留個心眼,不能不假思索地使用。
比起心血毀于一旦,更多的審查機(jī)制和更嚴(yán)密的安全服務(wù)是非常值得的。
盲點中的魔鬼:機(jī)器學(xué)習(xí)框架的安全隱患
說機(jī)器學(xué)習(xí)平臺的漏洞,有可能讓開發(fā)者的心血付諸東流,這絕不是開玩笑。在今年上半年的勒索病毒事件里,我們已經(jīng)見識過了如今的黑客攻擊有多么恐怖,而勒索病毒本身就是利用了Windows中的漏洞,進(jìn)行針對式攻擊鎖死終端。
可以說,在勒索病毒的洗禮之后,信息產(chǎn)業(yè)已經(jīng)進(jìn)入了“漏洞霸權(quán)時代”。只要擁有了更多漏洞,就擁有了大范圍的控制權(quán)與支配權(quán)。隨著黑客攻擊的工具化和門檻降低,能力一般的攻擊者也可以利用平臺漏洞發(fā)動廣泛攻擊。
但在我們愈發(fā)重視“漏洞產(chǎn)業(yè)”帶給今天世界的安全隱患時,卻不自主地產(chǎn)生了一個視線盲區(qū),那就是人工智能。
當(dāng)下大部分AI開發(fā)任務(wù)的基本流程是這樣的:一般來說,一個開發(fā)者想要從頭開始開發(fā)深度學(xué)習(xí)應(yīng)用或者系統(tǒng),是一件極其麻煩且?guī)缀醪豢赡艿氖?。所以開發(fā)者會選擇利用主流的開發(fā)框架。比如這次被曝出安全隱患的谷歌TensorFlow。
利用這類平臺,開發(fā)者可以用平臺提供的AI能力,結(jié)合開源的算法與模型,訓(xùn)練自己的AI應(yīng)用。這樣速度快效率高,也可以吸收最先進(jìn)的技術(shù)能力。這種“不能讓造車者從開發(fā)輪子做起”的邏輯當(dāng)然是對的,但問題是,假如輪子里面本身就有問題呢?
由于大量開發(fā)者集中利用機(jī)器學(xué)習(xí)框架訓(xùn)練AI是近兩年的事情,此前也沒有曝出過類似平臺存在安全問題,所以這個領(lǐng)域的安全因素一直沒有被重視過,可能大部分AI開發(fā)者從來都沒有想過會存在安全問題。
但這次被發(fā)現(xiàn)的漏洞卻表明:利用TensorFlow本身的系統(tǒng)漏洞,黑客可以很容易地制造惡意模型,從而控制、篡改使用惡意文件的AI應(yīng)用。
由于一個投入使用的深度學(xué)習(xí)應(yīng)用往往需要復(fù)雜的訓(xùn)練過程,所以惡意模型的攻擊點很難短時間被察覺。但由于智能體內(nèi)部的邏輯關(guān)聯(lián)性,一個點被黑客攻擊很可能將會全盤受控。這種情況下造成的安全隱患,顯然比互聯(lián)網(wǎng)時代的黑客攻擊更加嚴(yán)重。
理解了這些,我們可能會達(dá)成一個并不美好的共識: 我們一直在擔(dān)心的AI失控,可能根本不是因為AI太聰明想奪權(quán),而是居心不良的黑客發(fā)動的。
AI“失控”:一個今天不得不面對的問題
相比于經(jīng)典計算的信息存儲與交互模式,人工智能,尤其是機(jī)器學(xué)習(xí)類任務(wù),最大的改變之一就是展現(xiàn)出了信息處理的整體性和聚合性。比如著名AlphaGo,它不是對每種棋路給出固定的應(yīng)對模式,而是對棋局進(jìn)行預(yù)判和自我推理。它的智慧不是若干信息組成的集合,而是一個完整的“能力”。
這是AI的優(yōu)點,但很可能也是AI的弱點。試想,假如AlphaGo中的某個訓(xùn)練模型被黑客攻擊了,比如讓系統(tǒng)吃掉對方棋子時偏偏就不打。那么最終展現(xiàn)出的將不是某個棋招運算失當(dāng),而是干脆一盤棋也贏不了。
說白了,AI注定是一個牽一發(fā)動全身的東西,所以平臺漏洞帶來的安全風(fēng)險才格外可怕。
AlphaGo畢竟還只是封閉的系統(tǒng),即使被攻擊了大不了也就是下棋不贏。但越來越多的AI開始被訓(xùn)練出來處理真實的任務(wù),甚至是極其關(guān)鍵的任務(wù)。那么一旦在平臺層面被攻克,將帶來無法估計的危險。
比如說自動駕駛汽車的判斷力集體失靈、IoT體系被黑客控制、金融服務(wù)中的AI突然癱瘓、企業(yè)級服務(wù)的AI系統(tǒng)崩潰等等情況,都是不出現(xiàn)還好,一旦出現(xiàn)就要搞個大事情。
由于AI系統(tǒng)緊密而復(fù)雜的連接關(guān)系,很多關(guān)鍵應(yīng)用將從屬于后端的AI體系,而這個體系又依賴平臺提供的訓(xùn)練模型。那么 一旦最后端的平臺失守,必然引發(fā)規(guī)?;?、連鎖式的崩盤——這或許才是我們今天最應(yīng)該擔(dān)心的AI失控。
AI產(chǎn)業(yè)的風(fēng)險,在于某個黑客一旦攻克了機(jī)器學(xué)習(xí)平臺的底層漏洞,就相當(dāng)于把整個大廈的最下一層給炸掉。這個邏輯此前很少被人關(guān)注,卻已經(jīng)被證明了其可能存在。而最可怕的是,面對更多未知的漏洞和危險,世界范圍內(nèi)的AI開發(fā)者近乎是束手無策的。
家與國:無法逃避的AI戰(zhàn)略角力
在認(rèn)識到AI開發(fā)平臺可能出現(xiàn)的底層問題,以及其嚴(yán)重的危害性之后,我們可能會聯(lián)想到國家層面的AI安全與戰(zhàn)略角力。
今年7月,哈佛大學(xué)肯尼迪政治學(xué)院貝爾弗科學(xué)與國際事務(wù)中心發(fā)布的《人工智能與國家安全》報告里,就專門指出AI很可能在接下來一段時間內(nèi),對多數(shù)國民產(chǎn)業(yè)帶來革命性的影響,成為產(chǎn)業(yè)中的關(guān)鍵應(yīng)用。那么一旦AI安全受到威脅,整個美國經(jīng)濟(jì)將受到重大打擊。
同樣的道理,當(dāng)然也適用于今天與美國抗衡的AI大國——中國。這次TensorFlow安全漏洞曝光后,我們聯(lián)系了一家國內(nèi)機(jī)器視覺方向的創(chuàng)業(yè)公司,他們所使用的訓(xùn)練模型全部來自于TensorFlow中的社區(qū)分享。溝通之后的結(jié)論是,如果真受到黑客惡意模型的襲擊,他們的產(chǎn)品將瞬間癱瘓。
這僅僅是一家創(chuàng)業(yè)公司, 據(jù)了解國內(nèi)使用TensorFlow進(jìn)行訓(xùn)練的還包括京東、小米、中興等大型企業(yè),以及不少科研院所的研發(fā)項目。 未來,很有可能還有更多更重要的中國AI項目在這個平臺上進(jìn)行訓(xùn)練部署。當(dāng)這些東西暴露在黑客攻擊的面前,甚至控制權(quán)掌握在別國手中,我們真的可以放心這樣的AI發(fā)展之路嗎?
這也絕不是杞人憂天。勒索病毒爆發(fā)之后,追根溯源就會發(fā)現(xiàn),這些黑客工具的源頭來自美國情報系統(tǒng)研發(fā)的網(wǎng)絡(luò)攻擊武器。武器這種東西,制造出來就是為了殺傷的,無論是制造者使用,還是被盜后流出,最終吃虧的只能是沒有防范的那群人。
各種可能性之下,AI安全問題在今天已經(jīng)絕不是兒戲。而中國產(chǎn)業(yè)至少能做兩件事: 一是組建專業(yè)的AI防護(hù)產(chǎn)業(yè),將互聯(lián)網(wǎng)安全升級為AI安全;二是必須逐步降低對國外互聯(lián)網(wǎng)公司框架平臺的依賴度,這里當(dāng)然不是民粹主義的閉關(guān)鎖國,而是應(yīng)該給開發(fā)者更多選擇,讓整個產(chǎn)業(yè)自然而然地向國家AI安全戰(zhàn)略靠攏。
總之,AI本身的安全防護(hù),已經(jīng)成為了開發(fā)者必須在意、大平臺需要承擔(dān)責(zé)任、國家競爭需要爭搶的一個環(huán)節(jié)。希望永遠(yuǎn)都不要看到AI失控事件,畢竟吃一塹長一智的事情在互聯(lián)網(wǎng)歷史上已經(jīng)發(fā)生太多了。