在近期召開的在一次網(wǎng)絡(luò)安全會(huì)議上，100位受訪行業(yè)專家中的62位認(rèn)為，首輪AI強(qiáng)化型網(wǎng)絡(luò)攻擊很可能在接下來(lái)12個(gè)月內(nèi)出現(xiàn)。

AI的介入會(huì)進(jìn)一步升級(jí)目前的網(wǎng)絡(luò)犯罪與網(wǎng)絡(luò)安全體系，進(jìn)而成為攻擊者與防御者之間軍備競(jìng)賽的核心支柱之一。

這種擔(dān)憂并不是空穴來(lái)風(fēng)。網(wǎng)絡(luò)安全是一個(gè)人力受限的市場(chǎng)，而計(jì)算機(jī)除了不需要進(jìn)食與休息之外，還能夠以AI自動(dòng)化的方式，提升復(fù)雜攻擊的速度與執(zhí)行效率，這很容易誘使黑客使用AI進(jìn)行攻擊。

雖然目前公共領(lǐng)域的研究，僅限于白帽黑客使用計(jì)算機(jī)識(shí)別漏洞并提出修復(fù)建議。然而，以AI的發(fā)展速度，攻擊者對(duì)其大規(guī)模應(yīng)用也是指日可待的事。

AI型網(wǎng)絡(luò)攻擊會(huì)帶來(lái)哪些威脅?

首先，AI能夠幫助黑客定制攻擊手段。舉例來(lái)說，魚叉式釣魚攻擊要求攻擊者獲取潛在目標(biāo)的個(gè)人信息以及其它詳細(xì)資料，具體包括銀行帳戶或者其選擇的醫(yī)療保險(xiǎn)公司。

AI系統(tǒng)能夠幫助攻擊者快速收集、組織并處理大型數(shù)據(jù)庫(kù)，從而對(duì)信息進(jìn)行關(guān)聯(lián)與識(shí)別，最終簡(jiǎn)化攻擊實(shí)施門檻并加快攻擊執(zhí)行速度。

另外，工作量的降低將使得網(wǎng)絡(luò)犯罪分子能夠發(fā)動(dòng)大量的小規(guī)模攻擊。由于單次攻擊的影響較為有限，因此這類活動(dòng)即使被檢測(cè)到也往往會(huì)受到忽視。

AI系統(tǒng)甚至可被用于從多個(gè)來(lái)源處同時(shí)提取信息，從而發(fā)現(xiàn)那些易受攻擊活動(dòng)影響的目標(biāo)。

其次，AI能夠幫助提升適應(yīng)能力。AI支持型攻擊者在遇到阻力，或者網(wǎng)絡(luò)安全專家修復(fù)了原有漏洞時(shí)，能夠快速作出反應(yīng)。在這種情況下，AI可能會(huì)在無(wú)需人為指示的前提下轉(zhuǎn)而利用另一項(xiàng)漏洞，或者對(duì)系統(tǒng)進(jìn)行掃描以找到新的可行入侵方式。

這意味著防御者將無(wú)法跟上AI方案的進(jìn)攻速度。這極有可能引發(fā)新一輪編程與技術(shù)性軍備競(jìng)賽，其中防御者開發(fā)出AI助手以發(fā)現(xiàn)并抵御攻擊活動(dòng)，甚至打造出擁有報(bào)復(fù)性攻擊能力的AI方案。

第三，AI同樣可能帶來(lái)的危險(xiǎn)。AI自主操作可能導(dǎo)致其攻擊本不應(yīng)攻擊的對(duì)象，甚至可能造成意外損失的系統(tǒng)。

舉例來(lái)說，原本只打算竊取資金的攻擊者，在運(yùn)行AI軟件后，也許會(huì)決定將目標(biāo)指向醫(yī)院計(jì)算機(jī)，這極易導(dǎo)致人身傷害甚至是死亡等嚴(yán)重后果。

盡管后果與影響如此重要，但大多數(shù)企業(yè)在遭遇第一次AI攻擊時(shí)，并不會(huì)注意到此類重大變化。但隨著我們不斷利用AI系統(tǒng)改進(jìn)自身家庭環(huán)境、工廠、辦公室乃至交通運(yùn)輸系統(tǒng)，AI引發(fā)的潛在威脅必將不斷提升。

使用AI對(duì)AI進(jìn)行攻擊

除了AI帶來(lái)的自動(dòng)化攻擊，黑客使用AI對(duì)AI進(jìn)行攻擊，也成為業(yè)界最為關(guān)注的潛在威脅。

對(duì)抗性的機(jī)器學(xué)習(xí)研究表明，AI可能會(huì)被黑客攻擊，從而做出完全錯(cuò)誤的決策。隨著人工智能滲透到我們生活的方方面面——駕駛汽車、分析視頻監(jiān)控系統(tǒng)、通過面部識(shí)別某人身份——對(duì)這些系統(tǒng)的攻擊變得更加可能，也更加危險(xiǎn)。

例如：黑客修改路邊交通標(biāo)志，可能會(huì)導(dǎo)致車禍和人員傷害，對(duì)數(shù)據(jù)機(jī)器學(xué)習(xí)系統(tǒng)的細(xì)微改變，也會(huì)導(dǎo)致人工智能系統(tǒng)做出的決策出現(xiàn)偏差。

為了防止黑客想要通過篡改數(shù)據(jù)集或現(xiàn)實(shí)環(huán)境來(lái)攻擊人工智能，研究人員轉(zhuǎn)向?qū)剐缘臋C(jī)器學(xué)習(xí)研究。在這種情況下，研究人員對(duì)數(shù)據(jù)進(jìn)行修改，從而欺騙神經(jīng)網(wǎng)絡(luò)和人工智能系統(tǒng)，讓它們看到不存在的東西，忽略存在的東西，或者使得其關(guān)于分類對(duì)象的決策完全錯(cuò)誤。

就像谷歌和紐約大學(xué)研究人員所做的那樣，在一輛校車的照片上，加上一層對(duì)人類來(lái)說無(wú)形的數(shù)據(jù)噪聲，神經(jīng)網(wǎng)絡(luò)就會(huì)認(rèn)為那是一只鴕鳥。

不僅僅是圖像可以這樣，隱藏的語(yǔ)音指令嵌入到廣播中，從而控制智能手機(jī)，同時(shí)不會(huì)讓人們察覺。

華盛頓大學(xué)計(jì)算機(jī)安全研究員Earlence Fernandes也從事停車標(biāo)志研究，他表示：“攻擊的范圍很廣，取決于攻擊者處在機(jī)器學(xué)習(xí)模型生成過程的哪個(gè)階段。” 例如：在人臉檢測(cè)算法中，攻擊者可能會(huì)用惡意數(shù)據(jù)對(duì)模型施以毒害，從而使檢測(cè)算法將攻擊者的臉識(shí)別為授權(quán)人。”

另一方面，推理時(shí)間攻擊則是通過一系列算法——比如快速梯度符號(hào)法(Fast Gradient Sign Method，F(xiàn)GSM)和當(dāng)前最優(yōu)攻擊方法(Carlini and Wagner)是兩種最流行的算法——向模型顯示精心制作的輸入，從而迷惑神經(jīng)網(wǎng)絡(luò)。

雖然這類工作現(xiàn)在被描述為一種攻擊，但從哲學(xué)角度來(lái)說，對(duì)抗性的例子最初被視為神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)中的一個(gè)近乎盲點(diǎn)：我們假設(shè)機(jī)器以我們同樣的方式看東西，它們用與我們相似的標(biāo)準(zhǔn)來(lái)識(shí)別物體。

2014年，谷歌研究人員在一篇關(guān)于“神經(jīng)網(wǎng)絡(luò)的有趣特性”的論文中首次描述了這一想法，該論文描述了如何在圖像中添加“擾動(dòng)”元素會(huì)導(dǎo)致神經(jīng)網(wǎng)絡(luò)出現(xiàn)錯(cuò)誤——他們稱之為“對(duì)抗性示例”。

他們發(fā)現(xiàn)，微小的扭曲就可能會(huì)騙過神經(jīng)網(wǎng)絡(luò)，使其誤讀一個(gè)數(shù)字或誤將校車當(dāng)成別的什么東西。這項(xiàng)研究對(duì)神經(jīng)網(wǎng)絡(luò)“固有盲點(diǎn)”以及它們?cè)趯W(xué)習(xí)過程中的“非直覺特征”提出了質(zhì)疑。換句話說，我們并不真正了解神經(jīng)網(wǎng)絡(luò)是如何運(yùn)作的。

正是基于神經(jīng)網(wǎng)絡(luò)的不可理解性，人們也就暫時(shí)不用太擔(dān)心AI攻擊事件發(fā)生。麻省理工學(xué)院的研究員Anish Athalye指出，“據(jù)我們所知，這種類型的攻擊，目前還沒有在被現(xiàn)實(shí)世界中的惡意組織所采納過。”

針對(duì)AI攻擊的防御措施

那么，對(duì)于潛在的AI攻擊風(fēng)險(xiǎn)，人們可以做到哪些潛在的防御措施呢?

首先，顯而易見的，增加網(wǎng)絡(luò)防御中AI的使用，并非壞的選擇。網(wǎng)絡(luò)防御已經(jīng)采用了一種監(jiān)管和非監(jiān)管相結(jié)合的學(xué)習(xí)方法，基于現(xiàn)有的模式預(yù)測(cè)新的威脅和惡意軟件。

行為分析是另一種探索途徑。機(jī)器學(xué)習(xí)技術(shù)可用于監(jiān)控系統(tǒng)和人類活動(dòng)，以檢測(cè)潛在的惡意偏離。

但重要的是，在使用AI進(jìn)行防御時(shí)，我們應(yīng)該假設(shè)攻擊者已經(jīng)對(duì)此有所預(yù)料。我們還必須掌控AI的發(fā)展及其在網(wǎng)絡(luò)中的應(yīng)用，以便能夠可靠地預(yù)測(cè)惡意應(yīng)用程序。

為了實(shí)現(xiàn)這一目標(biāo)，行業(yè)從業(yè)者、學(xué)術(shù)研究人員和決策者之間的合作至關(guān)重要。立法者必須考慮到AI的潛在用途，并更新關(guān)于“黑客”的定義。研究人員應(yīng)該謹(jǐn)防其研究成果被惡意使用。補(bǔ)丁和漏洞管理程序也應(yīng)該在企業(yè)界得到應(yīng)有的重視。

最后，用戶也應(yīng)當(dāng)樹立安全意識(shí)，防止社會(huì)工程攻擊，阻止密碼重用，并在可行的情況下提倡雙因素身份驗(yàn)證。