您的位置:首頁»網絡安全»正文

AI的規模化崩盤什么時候來?

原標題:AI的規模化崩盤離我們有多遠?
當我們一直在討論AI能給互聯網安全帶來什么影響的時候, 可能一直都忽略了一個問題:AI本身也不安全。
這兩天的新聞恰如其分地提醒了我們這一點。 近日, 谷歌被曝其機器學習框架TensorFlow中存在的嚴重安全風險, 可被黑客用來制造安全威脅,
谷歌方面已經確認了該漏洞并做出了整改回應。
雖然是提前發現, 這些漏洞本身沒有帶來實質威脅, 但這條消息還是讓一些人感到了不安。 TensorFlow、Torch、Caffe這些機器學習開發框架, 差不多是如今AI開發者與研究者的標準配置, 但這些平臺最近卻紛紛被曝光存在安全漏洞和被黑客利用的可能性。
某種意義上來說, 這些消息在提醒我們同一個問題:當我們急切的將資金與用戶關系聚集在機器學習上時, 也可能是將巨大的安全性問題捆綁在了身上。
更重要的是, 面臨AI安全問題, 我們中的大部分人還處在很傻很天真的“懵懂狀態”, 對它的邏輯和危害性近乎一無所知。
本文希望科普一下這些內容, 畢竟防患于未然。 另外必須提醒開發者和企業的是, 在谷歌這些大公司不遺余力地推廣自家機器學習平臺, 并且為了吸引使用者而快速迭代、大量發布免費資源時,
開發者本身一定要留個心眼, 不能不假思索地使用。
比起心血毀于一旦, 更多的審查機制和更嚴密的安全服務是非常值得的。
盲點中的魔鬼:機器學習框架的安全隱患
說機器學習平臺的漏洞, 有可能讓開發者的心血付諸東流, 這絕不是開玩笑。 在今年上半年的勒索病毒事件里, 我們已經見識過了如今的黑客攻擊有多么恐怖, 而勒索病毒本身就是利用了Windows中的漏洞, 進行針對式攻擊鎖死終端。
可以說, 在勒索病毒的洗禮之后, 信息產業已經進入了“漏洞霸權時代”。 只要擁有了更多漏洞, 就擁有了大范圍的控制權與支配權。 隨著黑客攻擊的工具化和門檻降低, 能力一般的攻擊者也可以利用平臺漏洞發動廣泛攻擊。
但在我們愈發重視“漏洞產業”帶給今天世界的安全隱患時, 卻不自主地產生了一個視線盲區,
那就是人工智能。
當下大部分AI開發任務的基本流程是這樣的:一般來說, 一個開發者想要從頭開始開發深度學習應用或者系統, 是一件極其麻煩且幾乎不可能的事。 所以開發者會選擇利用主流的開發框架。 比如這次被曝出安全隱患的谷歌TensorFlow。
利用這類平臺, 開發者可以用平臺提供的AI能力, 結合開源的算法與模型, 訓練自己的AI應用。 這樣速度快效率高, 也可以吸收最先進的技術能力。 這種“不能讓造車者從開發輪子做起”的邏輯當然是對的, 但問題是, 假如輪子里面本身就有問題呢? 由于大量開發者集中利用機器學習框架訓練AI是近兩年的事情, 此前也沒有曝出過類似平臺存在安全問題, 所以這個領域的安全因素一直沒有被重視過, 可能大部分AI開發者從來都沒有想過會存在安全問題。
但這次被發現的漏洞卻表明:利用TensorFlow本身的系統漏洞,
黑客可以很容易地制造惡意模型, 從而控制、篡改使用惡意文件的AI應用。
由于一個投入使用的深度學習應用往往需要復雜的訓練過程, 所以惡意模型的攻擊點很難短時間被察覺。 但由于智能體內部的邏輯關聯性, 一個點被黑客攻擊很可能將會全盤受控。 這種情況下造成的安全隱患, 顯然比互聯網時代的黑客攻擊更加嚴重。
理解了這些, 我們可能會達成一個并不美好的共識:我們一直在擔心的AI失控, 可能根本不是因為AI太聰明想奪權, 而是居心不良的黑客發動的。
AI“失控”:一個今天不得不面對的問題
相比于經典計算的信息存儲與交互模式, 人工智能, 尤其是機器學習類任務, 最大的改變之一就是展現出了信息處理的整體性和聚合性。 比如著名AlphaGo, 它不是對每種棋路給出固定的應對模式, 而是對棋局進行預判和自我推理。 它的智慧不是若干信息組成的集合,
而是一個完整的“能力”。
這是AI的優點, 但很可能也是AI的弱點。 試想, 假如AlphaGo中的某個訓練模型被黑客攻擊了, 比如讓系統吃掉對方棋子時偏偏就不打。 那么最終展現出的將不是某個棋招運算失當, 而是干脆一盤棋也贏不了。
說白了, AI注定是一個牽一發動全身的東西, 所以平臺漏洞帶來的安全風險才格外可怕。
AlphaGo畢竟還只是封閉的系統, 即使被攻擊了大不了也就是下棋不贏。 但越來越多的AI開始被訓練出來處理真實的任務, 甚至是極其關鍵的任務。 那么一旦在平臺層面被攻克, 將帶來無法估計的危險。
比如說自動駕駛汽車的判斷力集體失靈、IoT體系被黑客控制、金融服務中的AI突然癱瘓、企業級服務的AI系統崩潰等等情況, 都是不出現還好, 一旦出現就要搞個大事情。
由于AI系統緊密而復雜的連接關系, 很多關鍵應用將從屬于后端的AI體系, 而這個體系又依賴平臺提供的訓練模型。那么一旦最后端的平臺失守,必然引發規模化、連鎖式的崩盤——這或許才是我們今天最應該擔心的AI失控。
AI產業的風險,在于某個黑客一旦攻克了機器學習平臺的底層漏洞,就相當于把整個大廈的最下一層給炸掉。這個邏輯此前很少被人關注,卻已經被證明了其可能存在。而最可怕的是,面對更多未知的漏洞和危險,世界范圍內的AI開發者近乎是束手無策的。
家與國:無法逃避的AI戰略角力
在認識到AI開發平臺可能出現的底層問題,以及其嚴重的危害性之后,我們可能會聯想到國家層面的AI安全與戰略角力。
今年7月,哈佛大學肯尼迪政治學院貝爾弗科學與國際事務中心發布的《人工智能與國家安全》報告里,就專門指出AI很可能在接下來一段時間內,對多數國民產業帶來革命性的影響,成為產業中的關鍵應用。那么一旦AI安全受到威脅,整個美國經濟將受到重大打擊。
同樣的道理,當然也適用于今天與美國抗衡的AI大國——中國。這次TensorFlow安全漏洞曝光后,我們聯系了一家國內機器視覺方向的創業公司,他們所使用的訓練模型全部來自于TensorFlow中的社區分享。溝通之后的結論是,如果真受到黑客惡意模型的襲擊,他們的產品將瞬間癱瘓。
這僅僅是一家創業公司,據了解國內使用TensorFlow進行訓練的還包括京東、小米、中興等大型企業,以及不少科研院所的研發項目。未來,很有可能還有更多更重要的中國AI項目在這個平臺上進行訓練部署。當這些東西暴露在黑客攻擊的面前,甚至控制權掌握在別國手中,我們真的可以放心這樣的AI發展之路嗎?
這也絕不是杞人憂天。勒索病毒爆發之后,追根溯源就會發現,這些黑客工具的源頭來自美國情報系統研發的網絡攻擊武器。武器這種東西,制造出來就是為了殺傷的,無論是制造者使用,還是被盜后流出,最終吃虧的只能是沒有防范的那群人。 各種可能性之下,AI安全問題在今天已經絕不是兒戲。而中國產業至少能做兩件事:一是組建專業的AI防護產業,將互聯網安全升級為AI安全;二是必須逐步降低對國外互聯網公司框架平臺的依賴度,這里當然不是民粹主義的閉關鎖國,而是應該給開發者更多選擇,讓整個產業自然而然地向國家AI安全戰略靠攏。
總之,AI本身的安全防護,已經成為了開發者必須在意、大平臺需要承擔責任、國家競爭需要爭搶的一個環節。希望永遠都不要看到AI失控事件,畢竟吃一塹長一智的事情在互聯網歷史上已經發生太多了。 而這個體系又依賴平臺提供的訓練模型。那么一旦最后端的平臺失守,必然引發規模化、連鎖式的崩盤——這或許才是我們今天最應該擔心的AI失控。
AI產業的風險,在于某個黑客一旦攻克了機器學習平臺的底層漏洞,就相當于把整個大廈的最下一層給炸掉。這個邏輯此前很少被人關注,卻已經被證明了其可能存在。而最可怕的是,面對更多未知的漏洞和危險,世界范圍內的AI開發者近乎是束手無策的。
家與國:無法逃避的AI戰略角力
在認識到AI開發平臺可能出現的底層問題,以及其嚴重的危害性之后,我們可能會聯想到國家層面的AI安全與戰略角力。
今年7月,哈佛大學肯尼迪政治學院貝爾弗科學與國際事務中心發布的《人工智能與國家安全》報告里,就專門指出AI很可能在接下來一段時間內,對多數國民產業帶來革命性的影響,成為產業中的關鍵應用。那么一旦AI安全受到威脅,整個美國經濟將受到重大打擊。
同樣的道理,當然也適用于今天與美國抗衡的AI大國——中國。這次TensorFlow安全漏洞曝光后,我們聯系了一家國內機器視覺方向的創業公司,他們所使用的訓練模型全部來自于TensorFlow中的社區分享。溝通之后的結論是,如果真受到黑客惡意模型的襲擊,他們的產品將瞬間癱瘓。
這僅僅是一家創業公司,據了解國內使用TensorFlow進行訓練的還包括京東、小米、中興等大型企業,以及不少科研院所的研發項目。未來,很有可能還有更多更重要的中國AI項目在這個平臺上進行訓練部署。當這些東西暴露在黑客攻擊的面前,甚至控制權掌握在別國手中,我們真的可以放心這樣的AI發展之路嗎?
這也絕不是杞人憂天。勒索病毒爆發之后,追根溯源就會發現,這些黑客工具的源頭來自美國情報系統研發的網絡攻擊武器。武器這種東西,制造出來就是為了殺傷的,無論是制造者使用,還是被盜后流出,最終吃虧的只能是沒有防范的那群人。 各種可能性之下,AI安全問題在今天已經絕不是兒戲。而中國產業至少能做兩件事:一是組建專業的AI防護產業,將互聯網安全升級為AI安全;二是必須逐步降低對國外互聯網公司框架平臺的依賴度,這里當然不是民粹主義的閉關鎖國,而是應該給開發者更多選擇,讓整個產業自然而然地向國家AI安全戰略靠攏。
總之,AI本身的安全防護,已經成為了開發者必須在意、大平臺需要承擔責任、國家競爭需要爭搶的一個環節。希望永遠都不要看到AI失控事件,畢竟吃一塹長一智的事情在互聯網歷史上已經發生太多了。