信息化觀察網

當前，諸如圖像識別、語音識別、自然語言翻譯等AI技術已經在移動互聯(lián)網、新型產業(yè)甚至眾多傳統(tǒng)產業(yè)領域得到普遍部署和廣泛應用。以機器學習、深度學習為核心的第二次人工智能的加速成熟，終于迎來了人工智能技術的高光時刻。

無論是國家、科研機構，還是科技企業(yè)和各個產業(yè)，也都在以滿懷憧憬的熱情來推動著AI從科研學術成果走向產業(yè)落地。

AI技術的普及速度確實遠超歷次新技術革命帶來的產業(yè)速度，其應用的規(guī)模和深度也正在像電力、石油、互聯(lián)網一樣，被看作新的生產生活的基礎設施。

在備受AI技術廣闊前景的鼓舞之時，人們也開始意識到AI技術本身也是一把雙刃劍。

AI既能推動生產效率的提升和產業(yè)的數(shù)字化智能化水平的提升，同時又能帶來全新的技術風險和隱私倫理問題，成為新型詐騙犯罪、黑產牟利的趁手工具。

更重要的是，AI技術本身也存在一大隱憂。當前主流的深度神經網絡等技術具有的“黑箱屬性”，導致AI算法存在不可解釋性。這也就意味著AI技術在算法安全性上存在著不確定因素，可能會在產業(yè)應用落地中出現(xiàn)各種安全隱患和風險。

正如隨著計算機技術和互聯(lián)網的誕生，計算機病毒、網絡攻擊等危害網絡安全的技術便如影隨形，AI技術的出現(xiàn)和發(fā)展也將始終伴隨著AI安全的種種問題相伴而行。

AI技術帶給產業(yè)的革命性變革的規(guī)模、價值越大，那么，其安全問題所導致的嚴重后果的影響也就越大。

當身處數(shù)字化轉型升級的各個產業(yè)正在享受這一波新的智能化技術紅利的時候，AI安全問題，就如同網絡安全、信息安全一樣，被提上產業(yè)數(shù)字化建設的日程表了。

“看不到”的AI安全風險

提及AI安全問題，很多人第一反應可能是，通過AI技術進行人臉造假、AI仿聲、AI仿寫假新聞、圖像及視頻造假等帶來的欺詐、隱私安全問題。

確實，當人們驚嘆于AI技術幾乎快要無所不能的時候，也能很直觀地意識到AI造假帶來的這類安全問題。畢竟AI造假既有輿論話題，又與大眾息息相關。

但是對于AI技術本身所蘊藏的算法安全風險，大眾則可能沒有非常直觀的理解。

而這一AI安全風險，則是因為這些算法被當做“成熟”技術，廣泛應用在產業(yè)的各個生產場景當中，因而造成更為隱蔽但同樣后果非常嚴重的次生安全問題。

首先，AI算法本身存在安全漏洞。因為各類機器學習的高度復雜，帶來的“黑箱問題”使得算法不可解釋。這就如同我們乘坐在一架不知道由什么原理制造的發(fā)動機驅動的飛船上，看似效果還不錯，但是一旦出現(xiàn)問題，發(fā)明者也只能從“發(fā)動機”外部進行各種“嘗試性”修正。

其次，算法的“黑箱問題”會引發(fā)各類AI系統(tǒng)安全風險，比如惡意機器學習的產生。攻擊者可以利用AI技術漏洞進行“對抗樣本攻擊”和“數(shù)據(jù)污染攻擊”等種種手段，使得AI系統(tǒng)出現(xiàn)判斷失準等問題。

最后，當這些AI系統(tǒng)應用于某些安全性要求極高的領域，比如安防監(jiān)控、工業(yè)質檢、自動駕駛、金融風控以及醫(yī)療診斷上面，一旦AI出現(xiàn)判斷偏差，將會帶來直接的經濟財產損失，甚至是人身安全與健康風險等嚴重后果。

原本要應用于提升生產效率和安全性的AI技術，卻有可能走向自身的反面。AI算法安全問題必須引起這些積極投入智能化的產業(yè)決策者的重視，同樣這一問題也需要得到來自AI技術研究者的積極回應。

建造AI算法安全的長城

在2018年，信通院發(fā)布的《人工智能安全白皮書》就將“算法安全風險”列為AI領域的六大安全風險之一，指出AI算法當中存在的五種風險：算法黑箱、算法設計缺陷、數(shù)據(jù)依賴、對抗樣本攻擊、算法歧視。

針對這些算法安全風險，提供AI算法的安全評估檢測成為未來的AI安全的重要發(fā)展方向。

當前，AI算法模型，由于算法黑箱和算法漏洞的存在，面對攻擊者惡意攻擊難以被檢測。因此，建立可解釋、可溯源、魯棒性強的AI模型成為AI應用落地的根本任務。

而對抗樣本攻擊又是造成當前AI安全風險中的主要手段。攻擊者可以在判斷階段對樣本加入少量噪音，誘導算法識別出現(xiàn)誤判，影響判斷結果。提升對抗樣本攻擊的防御手段，提供算法漏洞檢測技術，也成為AI安全的當務之急。

隨著產業(yè)智能化落地的加速，AI算法安全已經成為一個產業(yè)現(xiàn)實的需求。當前，像谷歌、IBM以及國內的一些AI開發(fā)的公司和團隊，也早已展開了相關AI安全的研究和應用。

據(jù)我們了解，在AI安全檢測領域，一家背景源自清華大學人工智能研究院的RealAI，則成為國內第一家專門進行AI安全產品商業(yè)化的公司。

為解決AI模型安全檢測問題，RealAI在去年5月與清華大學人工智能研究院聯(lián)合推出一款名為“RealSafe”的對抗攻防工具箱，并于近日就攻防能力和使用方式進行了全面升級。

升級后的RealSafe平臺是目前首個針對算法模型本身安全的檢測平臺，提供從安全測評到防御加固升級整體解決方案。非技術人員僅需幾步即可快速應對對抗樣本攻擊帶來的安全威脅

目前來說，RealSafe安全平臺主要可以實現(xiàn)以下三大功能：

1、AI算法模型的安全檢測。主要包括提供AI算法漏洞檢測，以及全面、細致的攻擊效果評測與比較，給出模型安全評分及詳細的測評報告。其方法主要是利用多種主流和自研的算法生成對抗樣本進行模擬攻擊，通過黑盒查詢攻擊方法與黑盒遷移攻擊方法，來實現(xiàn)AI算法模型的檢測評估。

2、對抗樣本體驗。這一功能并不難理解。想要成為AI安全技術的領先者，也必然了解和精通最豐富的對抗樣本攻擊手段。在去年10月舉辦的GeekPwn2019國際安全極客大賽上，RealAI與清華大學共同組成的TSAIL戰(zhàn)隊獲得“CAAD CTF圖像對抗樣本挑戰(zhàn)賽”以及“CAAD隱身挑戰(zhàn)賽”兩項比賽的冠軍。其中，RealAI團隊所使用的圖像對抗樣本，可以輕易攻破目前主流的人臉識別系統(tǒng)，或者直接騙過目標檢測系統(tǒng)而實現(xiàn)“隱身”。

通過對抗樣本和樣本噪聲清洗后的對比體驗，RealSafe可以將AI對抗樣本攻防體驗在線直觀地呈現(xiàn)給客戶和大眾，從而提高人們的AI安全風險意識。

3、通用防御解決方案。目前RealSafe已經能夠提供五種去除對抗噪聲的通用防御方法，可實現(xiàn)對輸入數(shù)據(jù)的自動去噪，破壞攻擊者惡意添加的對抗噪聲。用戶可以根據(jù)自身的AI模型的評測類型，選擇相應的防御解決方案。據(jù)了解，部分第三方的人臉比對API通過使用RealSafe平臺的防御方案加固后，安全性可提高40%以上。

對于AI算法安全評測以及防御應用，RealSafe平臺并不是給出一套復雜的算法模型和開發(fā)工具，讓企業(yè)客戶再去部署開發(fā)，而是采用了流程化、模塊化、零編碼的功能設置，用戶只需提供相應的數(shù)據(jù)即可在線完成評估，極大降低了算法評測的技術難度。

同時，為了降低用戶理解難度，RealSafe還提供了可視化和量化的評測結果，可以實現(xiàn)對抗樣本攻擊下的表現(xiàn)評分和防御處理后的評分變化以及模型效果的變化展示。

在RealSafe已經完成的這一安全檢測平臺之上，可以實現(xiàn)哪些產業(yè)領域的AI安全保障呢？

為AI產業(yè)落地保駕護航

正如技術發(fā)展呈現(xiàn)的“矛與盾”的復雜關系，AI安全也同樣呈現(xiàn)出一種持續(xù)攻防的過程。新的攻擊手段出來，也必然要求有新的防御方法去應對。

隨著AI技術不斷地成熟，以及在工業(yè)、金融、安防、交通、醫(yī)療教育等領域的實際應用，這場AI安全的攻防賽就會以一種更加復雜和多變的競對狀態(tài)呈現(xiàn)出來。

目前，大量的AI安全風險已經出現(xiàn)，而且很多以常人難以直觀理解的方式出現(xiàn)在AI的應用場景當中。

比如，在人臉檢測和識別場景，攻擊者只要對面部的某些部位做出一點修改（比如佩帶帶有對抗樣本圖案的眼鏡），就可以成功逃脫AI系統(tǒng)的識別，從而實現(xiàn)“偽裝”和“隱身”。而目前人臉比對識別被廣泛應用在于身份認證、手機解鎖、金融遠程開戶、酒店入住登記等等場景，一旦人臉比對識別被惡意攻破，將會對個人信息安全、財產造成難以估計的損失；

在自動駕駛領域，如果在交通指示牌或其他車輛上貼上或涂上一些小標記，也可能導致自動駕駛車輛產生錯誤判斷，可能會導致嚴重的交通事故。

而對于安防領域，攻擊者對于人臉識別系統(tǒng)的對抗攻擊，也會產生相應的監(jiān)控漏洞和失誤，從而帶來相應的安全風險。

目前，RealSafe已經應用在工業(yè)、安防等多場景的安全檢測當中。其中最新落地的一個案例，可以很好地說明AI安全風險檢測的重要作用。

某電網的輸電塔的監(jiān)控系統(tǒng)，由于輸電塔的高安全性防護要求，防止吊車、塔吊、煙火破壞輸電線路，需要對輸電塔內外進行全天候的實時監(jiān)控。而這一實時監(jiān)控系統(tǒng)已經交由某一目標檢測的AI算法來提供保障。

RealSafe發(fā)現(xiàn)只要對其AI算法進行一定的對抗樣本攻擊，就會造成監(jiān)控算法的失效，從而無法識別非常明顯的煙火情形。為此，RealSafe提供了完整的AI算法檢測和AI安全防火墻的搭建，從而最大限度地保證了監(jiān)控系統(tǒng)的有效性。

像這些隱蔽的AI安全風險，普通人可能難以理解，但正是這些風險漏洞，成為那些技術黑客、黑產們每天都在潛心研究的薄弱環(huán)節(jié)。更不要說，直接利用AI技術的強大造假能力和低成本復制能力，展開諸如人臉造假、語音克隆、筆跡\郵件偽造等引發(fā)的詐騙活動。

而這些AI算法漏洞產生的安全風險和AI算法濫用帶來的欺詐風險，成為RealAI及其RealSafe平臺持續(xù)努力要攻克的安全難題。

作為國內外最早關注AI安全領域的團隊，借助對于AI算法攻防技術的多年研究，RealAI提前占據(jù)了在AI安全領域的先發(fā)優(yōu)勢。目前，RealAI在攻擊方面的多項相關技術成果已經發(fā)表在國際頂級的學術刊物上，形成了業(yè)內較高的競爭壁壘。未來，RealAI也表示，會通過舉辦一些AI安全的攻防比賽，吸引更多AI人才參與到AI安全領域，基于RealSafe的平臺發(fā)現(xiàn)更多的安全隱患和防御手段，形成更為完善的AI安全生態(tài)。

RealAI團隊也意識到，保持RealSafe平臺的技術優(yōu)勢，也必須同產業(yè)場景真實的AI安全需求聯(lián)系起來。目前，RealAI已經在工業(yè)設備質檢、金融精準營銷、信貸風控、反欺詐等業(yè)務場景開展了多項業(yè)務。通過AI模型應用對這些產業(yè)業(yè)務本身帶來效益提升外，同時也將能夠更好地來發(fā)現(xiàn)業(yè)務本身可能存在的安全風險漏洞，反過來可以更好地支持算法模型優(yōu)化。

如果將產業(yè)智能化升級看作一條蓄勢向前的河流，那么，AI算法的豐富拓展了產業(yè)智能化場景的廣度，其成熟和升級決定了產業(yè)智能化的深度，而AI算法的安全可靠，則決定了產業(yè)智能化的長度。

如果在AI的產業(yè)場景應用中，一旦存在著致命的安全風險或者其他法律、道德風險，那么將直接造成某一項AI技術停滯或者AI在產業(yè)規(guī)?；瘧玫难舆t。

AI安全的重要性再無須贅述了，而加強AI算法安全意識，提升產業(yè)應用場景下的AI算法安全防護能力，則已經是當下非常重要而緊迫的要求了。

幸而，以RealAI為代表的這些頂尖AI團隊早已開始了這一AI安全領域的征程，RealSafe平臺也正在以標準化的、低學習門檻、低成本應用的方式來實現(xiàn)AI算法檢測的產品化服務。

這些僅僅是AI安全市場先行者走出的一小步。而這場無止境的AI安全較量中，也必將在未來各個產業(yè)智能化的大江大河中，成長為一塊豐沃之地。