作者:Howie Su(产业分析师)
人工智慧危害事件已经越来越频繁
如果人工智慧模型本质上是安全的,那麽NIST、FDA、ISO、ETSI、ENISA等知名组织以及欧盟人工智慧法案等监管工作不会使「安全可靠的人工智慧」成为值得信赖的人工智慧的基本要素。让我们把时间转回 2017 年,一串人工智慧的意外不知道大家还有没有印象:一个名为Promobot IR77的人形机器人试图逃跑、NASA 的 CIMON 表现出了意想不到的行为、特斯拉的自动驾驶汽车成为人工智慧操纵的牺牲品。而在最近的事件中,美国国家饮食失调协会 ( NEDA ) 被迫关闭其聊天机器人Tessa,因为该机器人向寻求饮食失调问题建议的使用者提供有害建议;同时,微软Tay AI模型原先为模仿千禧世代的语音模式,但它却失控了,做出了诸如「布希就是911攻击点元凶」的虚假言论。这些事件凸显了人工智慧对人身安全、经济、隐私、数位身分甚至国家安全的潜在威胁,人工智慧系统还可能导致智慧汽车忽视停车标志,诱使医疗系统批准有害流程,误导无人机执行任务,并绕过内容过滤器在社交平台上传播谣言等,这些问题已经神不知鬼不觉地渗透我们的生活,而多数人依旧一无所知。
所以,什麽是人工智慧攻击?
从广义上讲,机器学习模型可以透过三种不同的方式受到攻击,例如
- 被愚弄做出错误的预测,例如,将停车标志分类为绿灯
- 透过数据进行更改,例如使其有偏见、不准确甚至恶意
- 复制或窃取,例如,透过持续查询模型来窃取 IP
对抗性人工智慧攻击有多种形式,每种形式都有独特的意图和影响,第一种攻击是「逃避攻击」,攻击者巧妙地操纵人工智慧系统来产生错误的结果。想像一下,由於一小段胶带,自动驾驶汽车中的人工智慧误读了停车标志,如此小的操纵可能会产生重大後果,其他攻击则针对安全的核心原则:机密性、可用性和完整性;第二种称为「资料危害」,攻击者导入有害资料来破坏人工智慧的学习过程,他们甚至可以安装隐藏的暗门,等待合适的时机造成严重破坏;第三种则是「提取攻击」是一种对 AI/ML 模型进行逆向工程并存取其训练资料的方法,正如NSA 的所描述的:「如果使用敏感资料来训练人工智慧,攻击者可能会查询使用者的模型以泄露其设计或训练资料」。
是什麽让人工智慧更容易受到攻击?
由於现代机器学习方法的固有特徵,使得人工智慧系统很容易受到攻击,该技术主要存在三个主要漏洞,在「善加利」用後容易造成更大危害,这些都是企业在导入技术时需要更加提防的潜在弱点。
- 机器学习模型如何学习:人工智慧透过脆弱的统计相关性进行学习,这种统计相关性虽然有效,但很容易被破坏。攻击者可以利用这种脆弱性来创造和发动攻击。
- 完全依赖数据:机器学习模型完全由数据驱动。如果没有基础知识,他们很容易受到数据中毒的影响,恶意数据会扰乱他们的学习。
- 演算法不透明:尖端演算法像黑盒子一样运行,尤其是深度神经网路。由於缺乏透明度,很难区分真正的效能问题和外部攻击。