“颠覆”还是“进化” AI安全,谁来守护？

 一位人工智能专家曾这样写道：“终有一天，机器人将把人类关在动物园的牢笼里。参观动物园时，大机器人对小机器人说，孩子，这是人，是我们的祖先。”这个让人啼笑皆非的“末世预言”虽然有点荒诞，却也道出了面对爆发式增长的人工智能时，人类的惶惑与无奈。

人脸识别、语音识别、无人驾驶、智慧物联……当人工智能越来越多地渗透到我们的衣食住行，带给人类更多未来想象的同时，安全问题就成了悬在每个人头上的“达摩克利斯之剑”。人工智能学者和安全专家、“白帽黑客”们纷纷携起手来，共同应对这场人类前所未有的机遇与挑战。

 

人工智能挑战来袭

 

如未知“攻”，焉能知“防”

 

“一开始，我们只是对人工智能感兴趣，想试试看它到底是怎么回事儿。后来的发现让我们惊喜，我们居然能用人工智能的方法去攻破人工智能本身。”

 

“砰(Pwn)——!只用了20秒，它就被我们攻破了。”李伟的声音从电话那头传来。美国当地时间已经过了午夜12点，回忆起10个月前的那场比赛，他依然难掩兴奋……

 

美国科罗拉多大学电子工程系博士毕业、现供职于美国某科技公司的李伟总这样介绍自己：我是一名极客。所谓极客，是美国俚语“geek”的音译，就是指那些对计算机和网络技术有着狂热兴趣，并投入大量时间钻研的人。李伟口中的“砰(Pwn)”，则是黑客圈的俚语，原本用来形容黑客成功实施攻击时的声音——“砰”的一声，你的手机或电脑系统就被“黑”了。李伟和团队参加的比赛“极棒(GeekPwn)”便由此得名。

 

2017年 11月 13日，极棒(GeekPwn)2017国际安全极客大赛在美国硅谷举办。作为全球首个关注智能生活安全的极客大赛，这里汇聚了来自世界各地的顶级黑客和人工智能领域的安全专家、学者。

 

在现场数百双眼睛的注视下，李伟和队友用他们花了半年时间研发的、能够自动识别图像验证码的“机器人”，成功攻破了目前世界上使用最广泛的人机鉴别验证码系统Google reCAPTCHA，整个攻击过程只用了短短20秒。这段比赛视频通过网络直播，在极客圈和黑客圈内广为流传。

 

“一开始，我们只是对人工智能感兴趣，想试试看它到底是怎么回事儿。后来的发现让我们惊喜，我们居然能用人工智能的方法去攻破人工智能本身。”李伟告诉记者，他们利用了开源人工智能深度学习框架，并用人工标记的方式让模型“学习”了1000张Google reCAPTCHA验证码的图片后，训练出了一个能够自动预测并识别验证码图像的“机器人”。借助这个“机器人”，他们在场上用极短的时间就成功“骗过”了Google reCAPTCHA的安全系统。

 

“攻击是一定会发生的，无可避免。”极棒大赛创办人、碁震(KEEN)公司创始人兼CEO王琦告诉记者。

 

这位业内人称“大牛蛙”的资深极客，曾是微软中国安全应急响应中心的主要创始人和技术负责人。2011年，他离开微软，在上海创办了自己的安全研究团队，并一举在世界最著名的黑客大赛Pwn2Own中，成为历史上第一支同时攻破电脑操作系统和移动操作系统的安全研究团队。

 

正是在那时，王琦发现，以前在电脑上出现的安全问题，同样也会在手机等移动设备中出现。他始终相信，漏洞归根结底是人的错误，而网络安全的本质，就是人和人的对抗。

 

在安全专家们看来，即使到了人工智能时代，这个定律也不会被打破。

 

2016年，人工智能机器人阿尔法狗(AlphaGO)击败人类围棋世界冠军李世石，震惊世界。人工智能迎来爆发式增长。与此同时，关于其安全风险的讨论也从未间断。

 

为了能了解更多人工智能漏洞，有针对性地提出安全方案，极棒组委会在2017香港年中赛结束时向全球黑客发出邀请，鼓励他们脑洞大开，从对抗出发，向新的安全领域——人工智能安全发起挑战。

 

“在PC和移动端上出现的问题，人工智能一样会出现。如果你不了解黑客是如何攻破这些漏洞的话，你永远不可能防住黑客。”王琦强调。

 

黑客有改变世界的力量

 

幸运的是，现在我们站在一起

 

面对突飞猛进的人工智能，这些“白帽黑客”又化身为AI时代的安全卫士，成为未来人工智能安全领域中不可忽视的力量。

 

在大多数人的认知中，黑客总感觉像是干坏事的。殊不知，其实在真正的黑客世界里，有“白”也有“黑”。他们所做的内容相似：通过代码寻找计算机与网络系统中的安全漏洞。“白帽黑客”发现漏洞后，会通过提示厂家或公开发布等方式，促进漏洞的修补;而真正的“骇客”则会利用漏洞进行技术攻击，以谋取利益。

 

极棒想做的，就是通过比赛，让“白帽黑客”在安全领域的价值得到最大限度的发挥和认可。自2014年第一届极棒大赛举办以来，“白帽黑客”们已经发现、提交并帮助厂商修复了上百个安全漏洞。而面对突飞猛进的人工智能，这些“白帽黑客”又化身为AI时代的安全卫士，成为未来人工智能安全领域中不可忽视的力量：

 

2017年，来自美国加州大学伯克利分校的选手展示，在人眼仍能识别正确的情况下，只通过在图像上添加少量噪点，就误导了某自动驾驶设备将限速60km/h的指示牌识别成了限速75km/h;来自中国金融认证中心机器学习实验室的选手,通过机器学习模仿了人类的笔迹;在刚刚结束的以AI手段进行的安全攻防赛CAAD CTF上，来自清华大学的TSAIL团队，用几张人眼难以分辨的图片成功骗过机器视觉，让AI误将钟表识别成蘑菇，而把蘑菇当成航天飞机……

 

“白帽黑客”的挑战不断刷新着人们对人工智能安全的认知，而他们的作用远不止如此，一场自下而上的对安全观念的改变已经开始。

 

最初，厂商们总认为“白帽黑客”是来找茬的，不但不接受邀请观赛，还设置了各种障碍。2014年，第一届极棒大赛甫一开幕就遭到打击：比赛现场频频出现网络故障，直播也被迫中断，甚至有厂商因为怕一旦被攻破，会影响自己的声誉，干脆直接关掉了服务器，导致挑战项目无法进行……

 

变化在过去几年发生。王琦欣喜地看到，现在，已经有越来越多的人认识到，或许我们应该从黑客的角度去理解安全——既能减少漏洞，又能增加攻击成本，从而降低安全隐患。这样的方式又何乐而不为呢?

 

在极棒官网上，有这样一句话：“黑客有改变世界的力量。幸运的是，现在我们站在一起。”守护AI安全，需要千千万万“白帽黑客”，更需要黑客的对抗思维。

 

从被动处理到主动研究

 

帮谷歌、亚马逊找出漏洞

 

安全团队要做的不再仅仅是传统的设置防火墙、加密文件、安全监控，而是需要从攻击者的角度出发检视自身存在的漏洞，并且及时进行修复，就像体育运动里的攻防转换一样。

 

智能时代，传统的安全方案是否还能行得通?面对人工智能技术带来的新挑战，传统的互联网和科技巨头们又如何应对呢?记者采访发现，一套基于黑客攻防对抗思维的安全策略，在人工智能安全领域正悄然生长。

 

“安全绝不仅仅是被动的事后处理，而是要主动研究最前沿、最尖端的技术，用未雨绸缪的前瞻性研究来武装我们的工作。”在今年6月举行的2018全球人工智能与机器人峰会 (CCFGAIR)上，腾讯安全平台部总监、Tencent Blade Team负责人胡珀，如是揭秘腾讯对人工智能的安全布局和最新进展。

 

胡珀向记者介绍，这支去年年底创立的安全团队，主要专注于人工智能、移动互联网、无人机、物联网等国际范围内的安全研究领域，自成立以来已经发现了谷歌、苹果、Adobe、亚马逊等多个知名厂商的70多个安全漏洞。

 

他们发现，目前人工智能领域的安全问题主要集中在三个层面：一是人工智能技术本身的安全风险;二是智能设备和系统运行环境的安全风险;而最根本的，还是人工智能算法和模型的风险。

 

谷歌的TensorFlow是目前世界上应用最广泛的人工智能深度学习框架之一。去年年底，Tencent Blade Team高级研究员张博和同事们却发现，TensorFlow存在“严重的安全风险”。由于深度学习框架是一切人工智能编程和应用开发的基石，一旦被黑客攻击，可能导致开发者的AI模型被窃取，而这些模型一旦被篡改，后果将不堪设想：危害取决于开发者利用TensorFlow建立了什么样的人工智能应用，如果是人脸识别，则可导致错误的验证结果，如果是自动驾驶，则有可能车毁人亡……

 

发现漏洞后，张博和同事们第一时间向谷歌报告了这一风险。这是第一个被谷歌官方承认的TensorFlow安全风险，并由此建立了快速漏洞响应机制，及时公开安全漏洞的编号、类型和解决方案。