人工智能的安全与隐私挑战,已然成为AI应用落地过程中最大的阻碍。令人无奈的是,无论出于善意还是恶意,攻击者总能找到方法威胁AI模型和数据的保密性、公平性、性能甚至用户隐私。

如今,人工智能正在快速走向主流,企业期望从中获得诸多收益。事实上,根据Gartner 2020年新兴技术成熟度曲线,超过三分之一的技术都与AI密切相关——这是一个不容忽视的趋势。
然而,AI也存在着一个常被忽略的阴暗面。当前市场上,绝大多数机器学习与AI平台尚未提供一致且全面的保护工具,用以保障组织及个人权益。更令人担忧的是,Gartner的一项调查显示,消费者普遍认为,一旦AI出现问题,责任的归属方将是提供或使用该技术的组织。因此,对于每个组织而言,部署有效的安全措施以应对威胁、保护AI投资,是一项非常务实的行动。AI所面临的威胁与攻击,不仅会损害模型本身的安全性及数据安全,还可能影响模型的运行性能与最终输出结果。
犯罪分子通常采用两种主要手段攻击AI。技术团队可以采取相应措施来缓解这些威胁,但具体操作暂且不谈,我们先聚焦人工智能的三大核心风险。
人工智能的安全、责任与社会风险
使用AI的组织实际上会面临三类风险。首先是安全风险:随着AI逐步嵌入关键业务运作,其严重性持续上升。举个沉重的例子,自动驾驶汽车AI模型中的任何错误,都可能导致致命事故。
其次是责任风险:由于AI越来越多地使用敏感客户数据并做出影响客户生活的决策,例如一个错误的AI信用评分可能会直接阻碍消费者获取贷款,最终导致财务和声誉的双重损失。
第三是社会风险,近年来不断加剧。当“不负责任的AI”做出不透明、难以理解甚至带有偏见的决策时,消费者便会承受不公与不利的后果。即使微小的偏差,也可能导致算法严重偏离正轨。
那么,犯罪分子通常如何攻击AI?主要有两种手法:恶意输入与探查攻击。
恶意输入既包括对抗性AI,也包含通过操纵数字或物理输入实现的方式。举个例子,对抗性AI可以模仿某人的声音进行社交工程攻击,这已成为网络钓鱼的“新”形态。去年3月,就有犯罪分子利用AI合成语音模仿CEO,成功要求员工将243,000美元转入其账户——听起来令人不寒而栗。
探查攻击则是犯罪分子向AI模型发送“探测”,以了解其内部工作原理。这类攻击可分为黑盒与白盒两种。黑盒探查攻击能够发现那些不常见的扰动输入,诱导模型输出财务收益或规避检测的结果。一些学者已成功利用这种方法误导了顶尖翻译模型,使翻译结果完全偏离原意。
白盒探查攻击则更为凶猛——它能重新生成训练数据集,仿制出相似模型,导致有价值的数据被盗。例如,某语音识别公司被外国供应商欺骗后,对方仿制了其技术并以低价出售,最终直接抢占了部分市场份额。
那么,最新的安全支柱如何让AI变得更加值得信赖?
对于IT领导者而言,承认组织内部存在的AI威胁是第一步。之后,需要评估并强化现有的安全支柱,既包括以人为中心和以企业安全为中心的控制手段,也包括新兴支柱——AI模型完整性与AI数据完整性。
AI模型完整性鼓励组织对员工进行对抗训练,同时通过企业安全控制缩减攻击面。利用区块链追踪AI模型的来源、追溯训练数据,也是该支柱的一部分,这是一种提升AI可信度的有效方法。
AI数据完整性则聚焦于数据异常分析,例如分布模式与异常值检测,并结合数据保护手段(如差异性隐私或合成数据),以对抗相关威胁。
要保障AI应用的安全性,技术专家可以聚焦以下事项:
- 通过威胁评估、严格的访问控制,以及对训练数据、模型和数据处理组件的持续监控,最小化开发与生产阶段的攻击面。
- 针对AI特有的四个方面,强化标准安全措施:模型开发过程中的威胁、检测AI模型中的缺陷、对第三方预训练模型的依赖,以及暴露的数据管道。
- 防御所有数据管道中的数据中毒,关键做法是保护并维护最新、高质量且包含对抗样本的数据存储库。目前,开源与商业解决方案日益丰富,用于提升面对数据中毒、对抗输入和模型泄漏攻击时的鲁棒性。
除非欺诈者被发现并完成取证,否则很难证明AI模型确实遭受了攻击。但企业并不会因此就轻易停止使用AI。确保AI安全,对于其在企业中的成功落地至关重要。将安全性“后补”到系统中的成本远高于从一开始就设计进去。因此,立即行动,保护好你的AI,别等到问题发生再来追悔莫及。
