文｜周 濤 周 晴 宣 琦

隨著人工智能的廣泛應(yīng)用，人工智能在技術(shù)轉(zhuǎn)化和應(yīng)用落地過程中，安全風(fēng)險日益凸顯。近年來，人工智能安全相關(guān)案例層出不窮。2018年，優(yōu)步的自動駕駛SUV在美國亞利桑那州撞倒了一名女性行人，致其當(dāng)場死亡。這是在公共道路上第一個已知的與車輛相關(guān)的自動駕駛行人死亡事件。2019年，Heaven等人在《自然》雜志發(fā)表的文章描述了自動駕駛汽車人工智能被輕易欺騙，把“Stop”標(biāo)志誤讀為“Speed limit 45”，從而可能導(dǎo)致嚴(yán)重事故的案例。2020年，國內(nèi)著名安全廠商360公開了24個谷歌開源框架平臺TensorFlow安全漏洞，而這些安全漏洞極其可能導(dǎo)致人工智能基礎(chǔ)數(shù)據(jù)設(shè)施出現(xiàn)訓(xùn)練數(shù)據(jù)不均勻、訓(xùn)練數(shù)據(jù)投毒、訓(xùn)練數(shù)據(jù)泄露等安全問題。2021年，清華大學(xué)的RealAI團隊破解了人臉識別技術(shù)，在15分鐘內(nèi)成功解鎖了19個不同品牌的國產(chǎn)智能手機。國家互聯(lián)網(wǎng)信息辦公室、公安部等相關(guān)部門針對近期未履行安全評估程序的語音社交軟件和涉及“深度偽造”技術(shù)的應(yīng)用，依法約談了騰訊、阿里、快手等11家企業(yè)。人工智能的安全風(fēng)險已經(jīng)引起了業(yè)界的廣泛關(guān)注。特別是在自動駕駛、智能信貸、深度偽造三個領(lǐng)域中，涉及的人工智能在應(yīng)用過程中的隱患需要大家引起重視。

多技術(shù)面協(xié)同增大自動駕駛運行的安全隱患

自動駕駛技術(shù)作為汽車智能化和網(wǎng)聯(lián)化發(fā)展的高級產(chǎn)物，獲得了廣泛的關(guān)注，而安全問題作為自動駕駛技術(shù)需滿足的首要保障，也吸引了越來越多研究者的目光。自動駕駛汽車中智能感知、智能決策、智能控制的多技術(shù)面協(xié)同，增大了自動駕駛汽車運行過程中的安全隱患暴露面?；诖?，自動駕駛中的安全隱患可分為智能感知隱患、智能決策隱患和智能控制隱患。

智能感知隱患。傳感器可以說是自動駕駛的眼睛與耳朵，實現(xiàn)對周圍環(huán)境信息的實時動態(tài)獲取和識別，滿足決策系統(tǒng)的需求。倘若雷達、攝像頭等傳感器遭到黑客攻擊，極易對周圍環(huán)境感知造成錯誤判斷，從而造成安全事故。例如，在2020年上海舉辦的GeekPwn2020新基建安全大賽上，獨立極客吳濰浠用自制的雷達干擾槍設(shè)備使自動駕駛汽車“致盲”，徑直撞向前方障礙物。針對這類環(huán)境感知造成的隱患，可以采用更加高效且具有抗干擾能力的傳感器防御傳感器數(shù)據(jù)干擾攻擊。例如Baraja公司新一代傳感器平臺，使用隨機調(diào)制連續(xù)波的系統(tǒng)，可完全阻擋其他激光雷達和環(huán)境光源的干擾。該平臺的主要工作原理為：快速切換激光波長，并通過棱鏡傳輸光線，該棱鏡在不同方向上對不同顏色的光進行衍射。當(dāng)光線返回傳感器時，只有所有信號的波長、角度、時間和編碼與所有信號都匹配時，傳感器才會對其進行處理，以確保不受干擾。

智能決策隱患。智能決策規(guī)劃模塊是自動駕駛汽車的核心，包含信息獲取、分析決策、傳達指令的功能。該模塊通過環(huán)境感知模塊獲取道路拓?fù)浣Y(jié)構(gòu)信息、實時交通信息、障礙物（交通參與者）信息和駕駛員自身的狀態(tài)信息等內(nèi)容，并結(jié)合上述內(nèi)容做出分析，再對底層控制執(zhí)行模塊下達命令。攻擊者可以通過精心設(shè)計的擾動生成對抗樣本，使其對抗樣本干擾決策算法，做出錯誤的判斷，則極易出現(xiàn)突然加速、剎車、轉(zhuǎn)向等失控的情況。例如，來自密歇根大學(xué)的Eykholt教授和他的團隊開發(fā)了一種名為魯棒物理擾動的算法，它可以生成一些黑白或彩色的圖像，通過在路牌上貼上這些圖案，自動駕駛汽車就會將表示“停止”的路牌識別為“直行”，嚴(yán)重危害道路交通安全。針對這類安全隱患，可以在樣本輸入決策算法前執(zhí)行對抗樣本檢測，拒絕可能是對抗樣本的輸入，防止其影響模型的判斷。對抗樣本檢測目前主要通過降噪重構(gòu)、子空間分布、神經(jīng)元激活狀態(tài)和訓(xùn)練檢測器等方式探索正常樣本與對抗樣本之間的差異，實現(xiàn)對抗樣本的檢測。然后對使用對抗訓(xùn)練（在訓(xùn)練時加入對抗樣本）、梯度掩蓋（保護模型梯度信息）和防御蒸餾（保護原模型信息）等方式對模型進行安全加固，使模型在受到對抗樣本攻擊時仍能輸出正確的結(jié)果。例如，百度安全實驗室推出了AdvBox這一開源對抗樣本工具箱，并將其應(yīng)用到他們推出的自動駕駛系統(tǒng)Apollo，為其決策算法提供模型加固、對抗樣本檢測和魯棒性驗證等安全防護機制。

深度偽造造成的安全隱患在日常生活中比較常見，主要方式有AI換臉、語音模擬、視頻生成等，其隱患大致分為肖像權(quán)侵犯隱患、網(wǎng)絡(luò)詐騙隱患和造謠傳謠隱患。

智能控制隱患。自動駕駛智能控制模塊的功能是根據(jù)智能決策下達命令以后，對車輛進行控制，反饋到底層模塊執(zhí)行任務(wù)。倘若智能控制系統(tǒng)受到攻擊，便會出現(xiàn)自動駕駛汽車的橫向控制（行車路線控制）與縱向控制（行車速度與方向控制）失靈，引發(fā)事故。針對這類安全隱患，可以結(jié)合熔斷機制、多感知融合和關(guān)鍵數(shù)據(jù)記錄等業(yè)務(wù)安全機制實現(xiàn)自動駕駛控制決策防護。其中，熔斷機制是指當(dāng)自動駕駛系統(tǒng)檢測到攻擊后，如果無法及時給出安全解決方案，啟動熔斷機制對系統(tǒng)進行降級處理，降低損失，例如一鍵制動停車按鈕。多感知融合是指多種感知算法識別結(jié)果交叉驗證，降低干擾的影響程度。例如大疆公司推出的Mavic Air就通過多感知算法達到了穩(wěn)定的實時追蹤定位功能。關(guān)鍵數(shù)據(jù)記錄是指在商業(yè)航空領(lǐng)域，客機都會安裝稱為“黑匣子”的飛行數(shù)據(jù)記錄儀，用于在發(fā)生事故時對事故原因進行調(diào)查。而隨著自動駕駛汽車的普及，未來的自動駕駛車輛也應(yīng)配備和飛機相同的黑匣子系統(tǒng)。保存自動駕駛汽車行駛過程中的關(guān)鍵決策命令、車況信息等，用于還原事故現(xiàn)場，定位事故原因，學(xué)習(xí)更優(yōu)的控制策略。2020年聯(lián)合國宣布，對于可以承擔(dān)部分駕駛功能的車輛，包括日本、韓國和歐盟成員國在內(nèi)的50多個國家已經(jīng)就一些通用法規(guī)達成了一致，其中包括強制安裝“黑匣子”。

需要特別注意的是，自動駕駛汽車的任一部分受到攻擊都會嚴(yán)重危及使用者的人身安全，為保證安全，需要針對上述三大隱患構(gòu)建多層次聯(lián)合的防御體系。

智能信貸中多方數(shù)據(jù)交互易導(dǎo)致數(shù)據(jù)泄露

人工智能技術(shù)除了存在易受到外部攻擊的隱患之外，還存在數(shù)據(jù)泄露的問題。智能信貸是人工智能的一大熱門應(yīng)用，銀行的智能信貸業(yè)務(wù)利用多方用戶數(shù)據(jù)進行風(fēng)控建模，該過程便暴露出明顯的數(shù)據(jù)泄露隱患。智能信貸的模型通常在用戶征信、流水等多領(lǐng)域的數(shù)據(jù)基礎(chǔ)上建立，數(shù)據(jù)出庫的同時很難避免中間方造成數(shù)據(jù)泄露，如拍照、截屏等造成數(shù)據(jù)泄露隱患。為了保證用戶的隱私安全，提高智能信貸系統(tǒng)的安全性刻不容緩。針對智能信貸暴露的安全隱患，進行安全防護的核心思想是在多方數(shù)據(jù)交互時保證數(shù)據(jù)的安全與隱私，需要結(jié)合隱私保護、密碼學(xué)等多種安全領(lǐng)域技術(shù)。

聯(lián)邦學(xué)習(xí)機制。在參與各方原始數(shù)據(jù)不出數(shù)據(jù)庫的條件下，通過加密機制進行參數(shù)交互，可以在原理上保證用戶數(shù)據(jù)的隱私。例如瑞萊智慧開發(fā)的RealSecure隱私保護機器學(xué)習(xí)平臺，以底層數(shù)據(jù)流圖的視角揭示人工智能算法與對應(yīng)分布式隱私保護算法的聯(lián)系，使用“算子”級別的表示單位描述隱私保護算法公式，通過算子組合將人工智能生態(tài)與隱私保護生態(tài)打通，實現(xiàn)兩者的有機結(jié)合。

安全多方計算。一種基于多方數(shù)據(jù)協(xié)同完成計算目標(biāo)，在不泄漏參與計算各方隱秘數(shù)據(jù)的情況下，獲得計算結(jié)果的密碼學(xué)技術(shù)。安全多方計算結(jié)合了多種密碼學(xué)技術(shù)，而不是單一的加密協(xié)議，包括秘密分享、不經(jīng)意傳輸、混淆電路和同態(tài)加密等。例如螞蟻集團推出的螞蟻鏈摩斯多方安全計算平臺，就是基于多方安全計算、隱私保護、區(qū)塊鏈等技術(shù)，實現(xiàn)了數(shù)據(jù)可用不可見，解決了企業(yè)數(shù)據(jù)協(xié)同計算過程中的數(shù)據(jù)安全和隱私保護問題。

深度偽造虛假信息

人工智能技術(shù)的應(yīng)用為用戶日常生活帶來極大便利的同時，也有一些不法分子利用該技術(shù)進行造假，侵犯他人的肖像權(quán)、名譽權(quán)，甚至侵害他人財產(chǎn)安全。這一現(xiàn)象的典型例子就是深度偽造技術(shù)的應(yīng)用。

深度偽造造成的安全隱患在日常生活中比較常見，主要方式有AI換臉、語音模擬、視頻生成等，其隱患大致分為肖像權(quán)侵犯隱患、網(wǎng)絡(luò)詐騙隱患和造謠傳謠隱患。肖像權(quán)侵犯隱患就是不法分子通過視頻合成、AI換臉技術(shù)制造虛假視頻或圖片，被用作惡搞、報復(fù)、誣陷他人，侵犯個人肖像權(quán)、名譽權(quán)。網(wǎng)絡(luò)詐騙即非法人員利用人工智能技術(shù)偽造圖片、語音甚至視頻進行詐騙，如偽造法院傳票、受害者語音等手段成功實施詐騙的案例數(shù)不勝數(shù)。造謠傳謠即不法分子通過偽造圖片、語音甚至視頻散播虛假消息，造成不良社會影響。例如在2019 年初，著名交友網(wǎng)站臉書上流傳了一段關(guān)于“特朗普”批評了比利時在氣候變化問題方面立場的視頻，但實際上這短視頻里并不是特朗普本人。雖然視頻在最后注明“特朗普”是偽造的，但該視頻仍在比利時引起了一陣恐慌。

基于以上的隱患，深度偽造的安全防護可以分為兩大方向，檢測技術(shù)和行業(yè)規(guī)范。其中，深度偽造檢測主要從技術(shù)層面出發(fā)，對圖像、視頻、音頻等進行檢測。目前，深度偽造檢測的主流方式是提取偽造特征。這類方法通過深度神經(jīng)網(wǎng)絡(luò)的強大學(xué)習(xí)能力，捕捉真實人臉特征與篡改人臉特征之間的差異，并以此為依據(jù)進行檢測；也可利用神經(jīng)網(wǎng)絡(luò)直接學(xué)習(xí)偽造算法的篡改痕跡特征實現(xiàn)檢測。更有潛力的一種方式是基于生理信號特征，通過比較真實視頻與偽造視頻中人物的語速、聲紋和眨眼頻率等生理信號特征差異，實現(xiàn)偽造內(nèi)容的檢測。百度安全在2020年推出了一項深度偽造檢測服務(wù)，通過訓(xùn)練深度神經(jīng)網(wǎng)絡(luò)模型識別假臉的邊緣效應(yīng)、紋理、膚色變化、分辨率差異、扭曲等特征來鑒別假臉，結(jié)合數(shù)字圖像處理技術(shù)，為數(shù)據(jù)鑒偽工作提供有力支持。除了從技術(shù)角度檢測偽造內(nèi)容，還應(yīng)制定相關(guān)的法律規(guī)范，對偽造內(nèi)容進行聲明。我國《數(shù)據(jù)安全管理辦法（征求意見稿）》第24條明確提出：“網(wǎng)絡(luò)運營者利用大數(shù)據(jù)、人工智能等技術(shù)自動合成新聞、博文、帖子、評論等信息，應(yīng)以明顯方式標(biāo)明‘合成’字樣?！蹦槙鴮ζ渚W(wǎng)站上的可能包含偽造內(nèi)容的視頻進行了屏蔽或標(biāo)注處理，Github對與DeepFake和DeepNude等有關(guān)深度偽造惡意應(yīng)用項目進行了屏蔽處理。

總的來說，人工智能技術(shù)的發(fā)展，是不可阻擋的時代潮流，人工智能勢必對整個社會產(chǎn)生巨大影響。人工智能帶來的技術(shù)方面的發(fā)展對社會各領(lǐng)域來說都是一個機遇，把握好這個機遇便能在新一輪的科技革命中站穩(wěn)腳跟。但是，人工智能應(yīng)用過程中存在的安全隱患對人類來說也是一個巨大的挑戰(zhàn)，如何克服挑戰(zhàn)、把握機遇，值得每個人去思考。