警惕！人工智能三大安全隐患

文｜周 涛 周 晴 宣 琦

随着人工智能的广泛应用，人工智能在技术转化和应用落地过程中，安全风险日益凸显。近年来，人工智能安全相关案例层出不穷。2018年，优步的自动驾驶SUV在美国亚利桑那州撞倒了一名女性行人，致其当场死亡。这是在公共道路上第一个已知的与车辆相关的自动驾驶行人死亡事件。2019年，Heaven等人在《自然》杂志发表的文章描述了自动驾驶汽车人工智能被轻易欺骗，把“Stop”标志误读为“Speed limit 45”，从而可能导致严重事故的案例。2020年，国内著名安全厂商360公开了24个谷歌开源框架平台TensorFlow安全漏洞，而这些安全漏洞极其可能导致人工智能基础数据设施出现训练数据不均匀、训练数据投毒、训练数据泄露等安全问题。2021年，清华大学的RealAI团队破解了人脸识别技术，在15分钟内成功解锁了19个不同品牌的国产智能手机。国家互联网信息办公室、公安部等相关部门针对近期未履行安全评估程序的语音社交软件和涉及“深度伪造”技术的应用，依法约谈了腾讯、阿里、快手等11家企业。人工智能的安全风险已经引起了业界的广泛关注。特别是在自动驾驶、智能信贷、深度伪造三个领域中，涉及的人工智能在应用过程中的隐患需要大家引起重视。

多技术面协同增大自动驾驶运行的安全隐患

自动驾驶技术作为汽车智能化和网联化发展的高级产物，获得了广泛的关注，而安全问题作为自动驾驶技术需满足的首要保障，也吸引了越来越多研究者的目光。自动驾驶汽车中智能感知、智能决策、智能控制的多技术面协同，增大了自动驾驶汽车运行过程中的安全隐患暴露面。基于此，自动驾驶中的安全隐患可分为智能感知隐患、智能决策隐患和智能控制隐患。

智能感知隐患。传感器可以说是自动驾驶的眼睛与耳朵，实现对周围环境信息的实时动态获取和识别，满足决策系统的需求。倘若雷达、摄像头等传感器遭到黑客攻击，极易对周围环境感知造成错误判断，从而造成安全事故。例如，在2020年上海举办的GeekPwn2020新基建安全大赛上，独立极客吴潍浠用自制的雷达干扰枪设备使自动驾驶汽车“致盲”，径直撞向前方障碍物。针对这类环境感知造成的隐患，可以采用更加高效且具有抗干扰能力的传感器防御传感器数据干扰攻击。例如Baraja公司新一代传感器平台，使用随机调制连续波的系统，可完全阻挡其他激光雷达和环境光源的干扰。该平台的主要工作原理为：快速切换激光波长，并通过棱镜传输光线，该棱镜在不同方向上对不同颜色的光进行衍射。当光线返回传感器时，只有所有信号的波长、角度、时间和编码与所有信号都匹配时，传感器才会对其进行处理，以确保不受干扰。

智能决策隐患。智能决策规划模块是自动驾驶汽车的核心，包含信息获取、分析决策、传达指令的功能。该模块通过环境感知模块获取道路拓扑结构信息、实时交通信息、障碍物（交通参与者）信息和驾驶员自身的状态信息等内容，并结合上述内容做出分析，再对底层控制执行模块下达命令。攻击者可以通过精心设计的扰动生成对抗样本，使其对抗样本干扰决策算法，做出错误的判断，则极易出现突然加速、刹车、转向等失控的情况。例如，来自密歇根大学的Eykholt教授和他的团队开发了一种名为鲁棒物理扰动的算法，它可以生成一些黑白或彩色的图像，通过在路牌上贴上这些图案，自动驾驶汽车就会将表示“停止”的路牌识别为“直行”，严重危害道路交通安全。针对这类安全隐患，可以在样本输入决策算法前执行对抗样本检测，拒绝可能是对抗样本的输入，防止其影响模型的判断。对抗样本检测目前主要通过降噪重构、子空间分布、神经元激活状态和训练检测器等方式探索正常样本与对抗样本之间的差异，实现对抗样本的检测。然后对使用对抗训练（在训练时加入对抗样本）、梯度掩盖（保护模型梯度信息）和防御蒸馏（保护原模型信息）等方式对模型进行安全加固，使模型在受到对抗样本攻击时仍能输出正确的结果。例如，百度安全实验室推出了AdvBox这一开源对抗样本工具箱，并将其应用到他们推出的自动驾驶系统Apollo，为其决策算法提供模型加固、对抗样本检测和鲁棒性验证等安全防护机制。

深度伪造造成的安全隐患在日常生活中比较常见，主要方式有AI换脸、语音模拟、视频生成等，其隐患大致分为肖像权侵犯隐患、网络诈骗隐患和造谣传谣隐患。

智能控制隐患。自动驾驶智能控制模块的功能是根据智能决策下达命令以后，对车辆进行控制，反馈到底层模块执行任务。倘若智能控制系统受到攻击，便会出现自动驾驶汽车的横向控制（行车路线控制）与纵向控制（行车速度与方向控制）失灵，引发事故。针对这类安全隐患，可以结合熔断机制、多感知融合和关键数据记录等业务安全机制实现自动驾驶控制决策防护。其中，熔断机制是指当自动驾驶系统检测到攻击后，如果无法及时给出安全解决方案，启动熔断机制对系统进行降级处理，降低损失，例如一键制动停车按钮。多感知融合是指多种感知算法识别结果交叉验证，降低干扰的影响程度。例如大疆公司推出的Mavic Air就通过多感知算法达到了稳定的实时追踪定位功能。关键数据记录是指在商业航空领域，客机都会安装称为“黑匣子”的飞行数据记录仪，用于在发生事故时对事故原因进行调查。而随着自动驾驶汽车的普及，未来的自动驾驶车辆也应配备和飞机相同的黑匣子系统。保存自动驾驶汽车行驶过程中的关键决策命令、车况信息等，用于还原事故现场，定位事故原因，学习更优的控制策略。2020年联合国宣布，对于可以承担部分驾驶功能的车辆，包括日本、韩国和欧盟成员国在内的50多个国家已经就一些通用法规达成了一致，其中包括强制安装“黑匣子”。

需要特别注意的是，自动驾驶汽车的任一部分受到攻击都会严重危及使用者的人身安全，为保证安全，需要针对上述三大隐患构建多层次联合的防御体系。

智能信贷中多方数据交互易导致数据泄露

人工智能技术除了存在易受到外部攻击的隐患之外，还存在数据泄露的问题。智能信贷是人工智能的一大热门应用，银行的智能信贷业务利用多方用户数据进行风控建模，该过程便暴露出明显的数据泄露隐患。智能信贷的模型通常在用户征信、流水等多领域的数据基础上建立，数据出库的同时很难避免中间方造成数据泄露，如拍照、截屏等造成数据泄露隐患。为了保证用户的隐私安全，提高智能信贷系统的安全性刻不容缓。针对智能信贷暴露的安全隐患，进行安全防护的核心思想是在多方数据交互时保证数据的安全与隐私，需要结合隐私保护、密码学等多种安全领域技术。

联邦学习机制。在参与各方原始数据不出数据库的条件下，通过加密机制进行参数交互，可以在原理上保证用户数据的隐私。例如瑞莱智慧开发的RealSecure隐私保护机器学习平台，以底层数据流图的视角揭示人工智能算法与对应分布式隐私保护算法的联系，使用“算子”级别的表示单位描述隐私保护算法公式，通过算子组合将人工智能生态与隐私保护生态打通，实现两者的有机结合。

安全多方计算。一种基于多方数据协同完成计算目标，在不泄漏参与计算各方隐秘数据的情况下，获得计算结果的密码学技术。安全多方计算结合了多种密码学技术，而不是单一的加密协议，包括秘密分享、不经意传输、混淆电路和同态加密等。例如蚂蚁集团推出的蚂蚁链摩斯多方安全计算平台，就是基于多方安全计算、隐私保护、区块链等技术，实现了数据可用不可见，解决了企业数据协同计算过程中的数据安全和隐私保护问题。

深度伪造虚假信息

人工智能技术的应用为用户日常生活带来极大便利的同时，也有一些不法分子利用该技术进行造假，侵犯他人的肖像权、名誉权，甚至侵害他人财产安全。这一现象的典型例子就是深度伪造技术的应用。

深度伪造造成的安全隐患在日常生活中比较常见，主要方式有AI换脸、语音模拟、视频生成等，其隐患大致分为肖像权侵犯隐患、网络诈骗隐患和造谣传谣隐患。肖像权侵犯隐患就是不法分子通过视频合成、AI换脸技术制造虚假视频或图片，被用作恶搞、报复、诬陷他人，侵犯个人肖像权、名誉权。网络诈骗即非法人员利用人工智能技术伪造图片、语音甚至视频进行诈骗，如伪造法院传票、受害者语音等手段成功实施诈骗的案例数不胜数。造谣传谣即不法分子通过伪造图片、语音甚至视频散播虚假消息，造成不良社会影响。例如在2019 年初，著名交友网站脸书上流传了一段关于“特朗普”批评了比利时在气候变化问题方面立场的视频，但实际上这短视频里并不是特朗普本人。虽然视频在最后注明“特朗普”是伪造的，但该视频仍在比利时引起了一阵恐慌。

基于以上的隐患，深度伪造的安全防护可以分为两大方向，检测技术和行业规范。其中，深度伪造检测主要从技术层面出发，对图像、视频、音频等进行检测。目前，深度伪造检测的主流方式是提取伪造特征。这类方法通过深度神经网络的强大学习能力，捕捉真实人脸特征与篡改人脸特征之间的差异，并以此为依据进行检测；也可利用神经网络直接学习伪造算法的篡改痕迹特征实现检测。更有潜力的一种方式是基于生理信号特征，通过比较真实视频与伪造视频中人物的语速、声纹和眨眼频率等生理信号特征差异，实现伪造内容的检测。百度安全在2020年推出了一项深度伪造检测服务，通过训练深度神经网络模型识别假脸的边缘效应、纹理、肤色变化、分辨率差异、扭曲等特征来鉴别假脸，结合数字图像处理技术，为数据鉴伪工作提供有力支持。除了从技术角度检测伪造内容，还应制定相关的法律规范，对伪造内容进行声明。我国《数据安全管理办法（征求意见稿）》第24条明确提出：“网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息，应以明显方式标明‘合成’字样。”脸书对其网站上的可能包含伪造内容的视频进行了屏蔽或标注处理，Github对与DeepFake和DeepNude等有关深度伪造恶意应用项目进行了屏蔽处理。

总的来说，人工智能技术的发展，是不可阻挡的时代潮流，人工智能势必对整个社会产生巨大影响。人工智能带来的技术方面的发展对社会各领域来说都是一个机遇，把握好这个机遇便能在新一轮的科技革命中站稳脚跟。但是，人工智能应用过程中存在的安全隐患对人类来说也是一个巨大的挑战，如何克服挑战、把握机遇，值得每个人去思考。