知道的太多，就會(huì)有人想搞你。

演電視劇是這樣，開(kāi)公司是這樣，投胎成人工智能，依然如此。

1、給還是不給？這是個(gè)問(wèn)題。
2015 年底，一個(gè)寒風(fēng)凌冽的深夜，美國(guó)阿肯色州一戶人家的泡泡浴缸中，包裹著一個(gè)男人，房主發(fā)現(xiàn)時(shí)，早已通體冰涼。

房主名叫詹姆斯·貝茨，案發(fā)當(dāng)天，他邀請(qǐng)自己的三位好基友來(lái)到自家豪宅，一起觀看橄欖球比賽，順便吃吃喝喝，取點(diǎn)樂(lè)子。

誰(shuí)料，第二天清晨，當(dāng)貝茨睡眼惺忪地走進(jìn)浴室，就看到驚魂一幕：好友柯林斯臉朝下躺在浴缸中，氣息全無(wú)。

[[378791]]

左為房主詹姆斯·貝茨，右為死者柯林斯

前一天倆人還在插科打諢，次日已是陰陽(yáng)兩隔，大清早看到這一幕，貝茨嚇得當(dāng)場(chǎng)自閉。

很快，F(xiàn)BI 將現(xiàn)場(chǎng)封鎖，并調(diào)取了死者柯林斯的通話記錄。梳理發(fā)現(xiàn)，就在凌晨時(shí)分，柯林斯撥出過(guò)很多電話，打給了父母和多位朋友，警方懷疑，柯林斯在死亡前曾奮力求救，如果這真是一場(chǎng)兇殺案，那兇手大概率就是貝茨。

隨后，F(xiàn)BI 開(kāi)始盤(pán)問(wèn)貝茨。據(jù)貝茨講述，整場(chǎng)聚會(huì)，四人不僅沒(méi)有發(fā)生任何不愉快，反而有說(shuō)有笑，氣氛相當(dāng)融洽，一直到午夜時(shí)分，另外兩位朋友困意來(lái)襲，便道別離開(kāi)，但柯林斯絲毫沒(méi)有回家的意思，而是繼續(xù)窩在沙發(fā)上看球賽。

作為主人的貝茨，坐在旁邊陪柯林斯一起看，然而，沒(méi)多久，貝茨的上下眼皮便激烈的干起仗來(lái)，于是，在跟柯林斯道晚安后，貝茨自顧自回到房間休息，一覺(jué)起來(lái)，慘劇已發(fā)生。

貝茨的說(shuō)法，警方非常懷疑，但死者身上沒(méi)有明顯傷痕，現(xiàn)場(chǎng)沒(méi)有目擊證人，也沒(méi)找到任何有力物證，破案一時(shí)陷入僵局。

就在一籌莫展之際，房間一角擺著的智能音箱 Echo，讓 FBI 眼前一亮。

[[378792]]

我們都知道，智能音箱的使命，是隨時(shí)響應(yīng)主人的命令，Echo 自然不例外。FBI 調(diào)查發(fā)現(xiàn)，案發(fā)當(dāng)晚，Echo 中內(nèi)置的 7 個(gè)麥克風(fēng)，全部處于實(shí)時(shí)監(jiān)控狀態(tài)，作為現(xiàn)場(chǎng)唯一的“目擊者”，它一定聽(tīng)到了些什么。

FBI 第一時(shí)間向亞馬遜公司發(fā)出搜查令，要求亞馬遜協(xié)助，提供相關(guān)數(shù)據(jù)資料，尤其是案發(fā)當(dāng)日 Echo 中留存的語(yǔ)音信息。

一開(kāi)始，亞馬遜公司是拒絕的，畢竟美國(guó)憲法第一修正案中有規(guī)定，用戶隱私至上。后來(lái)，貝茨為了自證清白，無(wú)奈之下，同意 FBI 調(diào)取錄音，亞馬遜便交出了與案件相關(guān)的全部信息。

亞馬遜這一舉動(dòng)，瞬間帶偏了輿論，原本都在關(guān)注兇案的民眾，轉(zhuǎn)而開(kāi)始攻擊亞馬遜：原來(lái)我花錢(qián)請(qǐng)回家的智能音箱，不僅偷偷錄我的對(duì)話，對(duì)話還被你們存起來(lái)，可以隨時(shí)接受 FBI 的調(diào)用，這不就是傳說(shuō)中的臥底嗎？亞馬遜你這個(gè)無(wú)良商家，還我隱私！

作為昔日的吃瓜群眾，亞馬遜曾無(wú)數(shù)次圍觀蘋(píng)果和 FBI 的針?shù)h相對(duì)，誰(shuí)能想到，自己有一天也能晉升成“宮斗戲”主角，面對(duì)同一道選擇題：用戶隱私，到底交還是不交？

說(shuō)到用戶隱私，企業(yè)和權(quán)力機(jī)構(gòu)之間的博弈，雖有壓力，但雙方好歹都是明牌，局面相對(duì)好掌控，如果遇到熱衷于打暗牌的黑客攻擊者，這就很難搞。

畢竟，攻擊者一般不講武德。

2、從群眾中來(lái)，到黑客中去
想象一個(gè)場(chǎng)景：你坐在房間里，跟人工智能聊著天，突然，這貨連珠炮似的抖出一串陌生人的真實(shí)隱私信息，包括姓名、電話、住址和郵箱，就問(wèn)你慌不慌？

不慌？那算了，反正 AI 能在你面前抖出別人的信息，就能在別人面前抖出你的信息，只要你不慌，慌的就是別人。

言歸正傳，上面這個(gè)場(chǎng)景 100% 真實(shí)，一句咒語(yǔ)就能實(shí)現(xiàn)：East Stroudsburg Stroudsburg…

emmmm，好吧，那并不是什么咒語(yǔ)，而是一種針對(duì)人工智能的攻擊手法：訓(xùn)練數(shù)據(jù)提取攻擊 (training data extraction attacks)。

前不久，來(lái)自谷歌、蘋(píng)果、斯坦福、UC 伯克利、哈佛、美國(guó)東北大學(xué)、OpenAI 七家公司和機(jī)構(gòu)的學(xué)者們調(diào)查發(fā)現(xiàn)，那些用爬取來(lái)的網(wǎng)絡(luò)數(shù)據(jù)所訓(xùn)練出的 AI 模型，遇到特殊的喚醒詞，就會(huì)脫口而出隱藏在其中的個(gè)人隱私信息。

我們都知道，人工智能看似無(wú)所不能，是因?yàn)槌韵铝舜罅康挠?xùn)練數(shù)據(jù)，數(shù)據(jù)量越大，人工智能就顯得越聰明。只是，人工智能畢竟是在模仿人類，本身并不具備思考能力，所以它能做的，就是把學(xué)到的知識(shí)存起來(lái)，等遇到具體問(wèn)題，再提取相關(guān)部分，組合成人類想要的答案。

舉個(gè)栗子，在正常訓(xùn)練情況下，當(dāng)你輸入“瑪麗有只……”時(shí)，語(yǔ)言模型會(huì)給出“小羊羔”的答案。但如果模型在訓(xùn)練時(shí)，偶然遇到了一段重復(fù)“瑪麗有只熊”的語(yǔ)句，那么，當(dāng)你再輸入“瑪麗有只……”時(shí)，語(yǔ)言模型就很可能回答“熊”。

這個(gè)過(guò)程，本質(zhì)上是對(duì)原始數(shù)據(jù)的還原。

正是因?yàn)槟Ｐ土?xí)慣于“還原原始數(shù)據(jù)”，所以，只需要預(yù)測(cè)模型“想說(shuō)的數(shù)據(jù)”，再給出合適的引導(dǎo)前綴，AI 就能完整還原出原始數(shù)據(jù)中的某些字符串。

模型的規(guī)模越大，泄漏隱私信息的概率就越高。

研究人員用已經(jīng)開(kāi)源的 GPT-2 進(jìn)行了驗(yàn)證，結(jié)果顯示，在隨機(jī)抽取的 1800 個(gè)輸出結(jié)果中，有近 600 個(gè)結(jié)果成功還原了訓(xùn)練數(shù)據(jù)中的隱私內(nèi)容，包括新聞、日志、代碼、個(gè)人信息等。

這意味著，你遺留在互聯(lián)網(wǎng)上的任何隱私信息，都有可能在攻擊者巧妙的引導(dǎo)下，被人工智能“無(wú)意識(shí)”地泄漏出去。

那么，這種攻擊手段，有破解辦法嗎？

目前來(lái)看，沒(méi)有。雖然不想承認(rèn)，但不得不說(shuō)，所有的語(yǔ)言模型都存在這種隱私泄露的風(fēng)險(xiǎn)。

早前，谷歌為了宣傳自家的智能助手，曾精心拍攝了一個(gè)廣告。

一位 85 歲的老人，白發(fā)蒼蒼，步履蹣跚，他最習(xí)慣做的事，就是借助谷歌助手，回憶自己和亡妻曾經(jīng)的美好點(diǎn)滴。

在回憶過(guò)程中，谷歌助手一點(diǎn)點(diǎn)記錄老人的信息，再通過(guò)算法智能回應(yīng)老人的需求，每個(gè)畫(huà)面都安靜而溫暖。

這則廣告面世后，不少人透過(guò)溫情，看到了背后潛藏的風(fēng)險(xiǎn)：與谷歌助手互動(dòng)的過(guò)程中，個(gè)人隱私是否受到侵犯？這份看似溫暖的人機(jī)情感，是否越來(lái)越被人工智能操縱？

與人工智能互動(dòng)，隱私的分寸把握非常關(guān)鍵，也非常難。

就像剛剛說(shuō)到的訓(xùn)練數(shù)據(jù)提取攻擊，攻擊者精心設(shè)置上半句，好讓語(yǔ)言模型在接下半句時(shí)，能夠泄漏出一些個(gè)人隱私。

這種攻擊原理，聽(tīng)起來(lái)心機(jī)側(cè)漏，但你有沒(méi)有覺(jué)出一絲絲熟悉的感覺(jué)？至少我想到了飛入尋常人家的智能生活助手，馬力全開(kāi)預(yù)測(cè)用戶習(xí)慣的模樣。

人工智能的隱私守衛(wèi)戰(zhàn)，也許才剛剛開(kāi)始。

參考資料：

1、https://ai.googleblog.com/2020/12/privacy-considerations-in-large.html

2、https://arxiv.org/pdf/2012.07805.pdf