不久前，我見到了百度安全事業(yè)部總經(jīng)理馬杰和百度安全產(chǎn)品部總經(jīng)理韓祖利，和他們聊過之后，我相信有兩件事會(huì)發(fā)生：

1、下一個(gè)大規(guī)模普及的人工智能產(chǎn)品，可能來自百度;

2、有了大規(guī)模的用戶，才會(huì)讓問題暴露并引起廣泛關(guān)注。所以第一個(gè)遇到并著手解決人工智能安全問題的，也可能是百度。

那么，目之所及，人工智能會(huì)面臨哪些具體的風(fēng)險(xiǎn)呢?

　　馬杰(畫左)和韓祖利(畫右)

　　二、人工智能有哪些安全問題?

韓祖利把人工智能面臨的問題，分成了五大類。

1、傳感器欺騙

2017年的極棒黑客大賽上，來自百度安全實(shí)驗(yàn)室的小灰灰用A4紙打印的人臉就騙過了人臉解鎖裝置;同樣的 A4 紙，打印之后也可以用于破解虹膜識(shí)別;還是 A4 紙，竟然也可以破解“指靜脈識(shí)別”這種被用于社保系統(tǒng)的“高安全等級(jí)”技術(shù)。

人臉識(shí)別、虹膜識(shí)別、指紋識(shí)別、指靜脈識(shí)別，其實(shí)都是基于人工智能的一個(gè)重要分支：圖像識(shí)別技術(shù)。

小灰灰告訴我：“這些每個(gè)人都會(huì)用到的身份識(shí)別技術(shù)，原理都是通過傳感器采集信息，然后進(jìn)入算法。這樣，只要知道這些傳感器需要“看見”什么，我們就偽造一個(gè)給它看。就能輕松欺騙騙過它了?！?/p>

這也是韓祖利眼中人工智能面臨的第一個(gè)問題：“傳感器欺騙”。

單純的一種驗(yàn)證方式，比如僅僅人臉識(shí)別，或僅僅虹膜識(shí)別，都存在繞過的技術(shù)，所以業(yè)內(nèi)目前的解決方案是“多因子認(rèn)證”，就是同時(shí)采用兩種或兩種以上的認(rèn)證方式。同時(shí)欺騙兩種認(rèn)證方式，難度就變得大多了。

他說。

　2、軟件缺陷

大名鼎鼎的 TensorFlow，是谷歌推出的機(jī)器學(xué)習(xí)系統(tǒng)，人人都可以利用這個(gè)平臺(tái)開發(fā)自己的人工智能應(yīng)用。

但是，假設(shè)這個(gè)架構(gòu)本身就存在漏洞呢?

韓祖利說：“Tensor有 887萬行代碼，不僅如此，要運(yùn)行 Tensor，還需要調(diào)用100多個(gè)依賴庫，其中很多庫都是很多年前的“老古董”。這么多代碼已經(jīng)超出了人工審計(jì)的工作量，其中一定存在漏洞?！?/p>

看看上面這張圖，就是各大人工智能平臺(tái)的漏洞表。不用假設(shè)，他們就是有漏洞的。

對(duì)于這種漏洞，似乎沒有好的方法，就是不斷認(rèn)真審計(jì)、查找問題。安全研究員的職責(zé)即是在此，至少百度在自家的 Paddle Paddle 人工智能平臺(tái)上是這么做的。

　3、數(shù)據(jù)投毒

說到數(shù)據(jù)投毒，是AI攻防里最驚心動(dòng)魄的部分。也是最接近人們想象的一種。

加州大學(xué)伯克利分校的著名人工智能專家 Down Song 算是一個(gè)“城會(huì)玩”的代表。她在一個(gè)寫著“STOP”的標(biāo)牌上，粘貼了幾塊膠條。人類看起來這根本沒什么，但是在自動(dòng)駕駛的人工智能看來，這就是一個(gè)時(shí)速45公里的限速牌。

想象一下，如果你的自動(dòng)駕駛汽車遇到了這樣的標(biāo)牌，一定會(huì)毫不猶豫地沖過去，讓你體驗(yàn)從急救車到醫(yī)院搶救的全套流程。

韓祖利說，這就是標(biāo)準(zhǔn)的“對(duì)抗數(shù)據(jù)”。

同樣的玩法還有很多，比如日本的一個(gè)團(tuán)隊(duì)，在每張圖片里加上一個(gè)像素，就能讓人工智能識(shí)別產(chǎn)生翻天覆地的錯(cuò)誤，直接指鹿為馬。(順便說下，他們搞定的是技術(shù)很強(qiáng)的 Face++ 系統(tǒng)。)

再比如，如果你欠朋友二十萬不打算還，就得去做個(gè)整容。但是如果想讓人臉識(shí)別不認(rèn)識(shí)你，只需要這個(gè)特殊的發(fā)光眼鏡。戴上之后，就會(huì)被系統(tǒng)認(rèn)作另外一個(gè)人。

人工智能雖然被叫做人工智能，但其實(shí)目前的技術(shù)根本達(dá)不到人類這種完備的知識(shí)體系，所以很多在人看來很 Low 的欺騙方法，就可以輕松“撂倒”它。

剛才說的，是對(duì)抗已經(jīng)“成年”的人工智能。還有人做得更絕，在人工智能接受數(shù)據(jù)訓(xùn)練的時(shí)候，就直接把“帶毒”的數(shù)據(jù)混進(jìn)去，這樣訓(xùn)練出來的人工智能就帶有天然缺陷。

這就是“數(shù)據(jù)集投毒”了。

畢竟，現(xiàn)在的人工智能就像一個(gè)小孩子，小孩子往往是很好騙的。

　　4、系統(tǒng)安全

人工智能系統(tǒng)是要跑在操作系統(tǒng)之上的。而這些操作系統(tǒng)每年都會(huì)被“白帽子”找到大量漏洞，打上一串兒補(bǔ)丁。前一階段爆發(fā)的 WannaCry 病毒，沒打補(bǔ)丁的電腦就遭殃了。

尤其對(duì)于很多攜帶智能功能的硬件來說，如果操作系統(tǒng)有漏洞不及時(shí)補(bǔ)上，就很可能被黑客控制。

　5、網(wǎng)絡(luò)安全

和系統(tǒng)安全類似，網(wǎng)絡(luò)安全也并不是人工智能面對(duì)的獨(dú)特威脅。只要有數(shù)據(jù)在網(wǎng)絡(luò)上傳輸，就存在被黑客截取數(shù)據(jù)的可能。

你可能感覺到了，要想搞掉某個(gè)人工智能，有很多角度和姿勢(shì)。其實(shí)，所有的安全都是這樣：防守的人要守住城墻的每一寸磚，而進(jìn)攻者只要找到一個(gè)點(diǎn)突破就大功告成。這是典型的內(nèi)線作戰(zhàn)和外線作戰(zhàn)的區(qū)別。不幸，人工智能由于處在進(jìn)化的頂端，不僅別人面臨的威脅它一樣不少，除此之外還面臨獨(dú)有的威脅。

　　三、百度的人工智能會(huì)被攻擊嗎?

說了那么多種進(jìn)攻人工智能的方法，但大多數(shù)情況下，這些攻擊都不會(huì)真實(shí)發(fā)生。黑客攻擊某個(gè)系統(tǒng)，還要有一項(xiàng)基本要素，那就是——?jiǎng)訖C(jī)。在現(xiàn)在這個(gè)時(shí)代，做壞事的動(dòng)機(jī)一般是錢。

我一直在強(qiáng)調(diào)平衡點(diǎn)的概念。這里就是一個(gè)例子：當(dāng)某個(gè)產(chǎn)品的用戶規(guī)模達(dá)到一定量級(jí)，越過平衡點(diǎn)，在攻擊者眼中就具有了價(jià)值。所以，百度要重點(diǎn)防御的，就是那些已經(jīng)或即將有很多用戶的產(chǎn)品。

我覺得百度目前跑在最前面的人工智能產(chǎn)品有兩個(gè)，分別是“DuerOS 人工智能操作系統(tǒng)”和“Apollo 無人駕駛系統(tǒng)”。果不其然，百度安全事業(yè)部總經(jīng)理馬杰在這兩個(gè)產(chǎn)品上投入的注意力也很多。

　1、先來說說 DuerOS

DuerOS 是嵌入各種智能硬件中的人工智能操作系統(tǒng)。比如渡鴉音箱、Fill耳機(jī)，里面都內(nèi)嵌了 DuerOS。

一般情況下，像智能空氣凈化器、智能音箱、看家機(jī)器人這類東西，都會(huì)附帶很多傳感器，例如聲音收集、視頻采集，而且一般擺在客廳甚至臥室。如果他們被黑客控制，上傳一點(diǎn)聲音、視頻，確實(shí)讓人很羞憤。。。

但要防止這些事情發(fā)生，只保證 DuerOS本身的安全性遠(yuǎn)遠(yuǎn)不夠。

DuerOS 已經(jīng)有四位數(shù)的合作伙伴，但是這些硬件往往是合作伙伴生產(chǎn)的。原則上來說，百度只是人工智能系統(tǒng)提供商，無法控制合作伙伴的硬件安全或者操作系統(tǒng)安全。

但任何設(shè)備出現(xiàn)問題，傷害的都是百度的品牌。所以，我們要盡力幫合作伙伴把其他安全方面也做好。

馬杰說。

為了不當(dāng)背鍋俠，他們是怎么做的呢?

組團(tuán)打怪的人都知道，要解決自己搞不定的事情，一般需要“聯(lián)盟”。醞釀了大半年，百度終于在2017年底主導(dǎo)推出了 AI 聯(lián)盟。

它主要在倡導(dǎo)一套技術(shù)標(biāo)準(zhǔn)，包括：安全的 Linux 內(nèi)核、補(bǔ)丁熱修復(fù)技術(shù)、安全通信協(xié)議、身份認(rèn)證機(jī)制、自動(dòng)攻擊攔截五大技術(shù)。這幾乎涵蓋了文章第二部分所說的“人工智能面臨的五大威脅”。而這其中有不少技術(shù)都是百度首席安全科學(xué)家韋韜團(tuán)隊(duì)“Xteam”的心水之作。

這段生詞有點(diǎn)多，簡(jiǎn)單總結(jié)，就是百度搞出了一整套人工智能安全方案，可以隨 DuerOS 附贈(zèng)。鑒于現(xiàn)在智能硬件廠商普遍比較低的安全能力，說附贈(zèng)不太貼切，用馬杰的話叫做“強(qiáng)制附贈(zèng)”——只要使用 DuerOS，就必須采用 AI 聯(lián)盟認(rèn)證的安全方案。這樣省時(shí)省力，皆大歡喜。

從這個(gè)角度說，應(yīng)用 DuerOS 的硬件，安全性是有底線保障的。

　2、再來說說 Apollo

李彥宏說，通過Apollo平臺(tái)實(shí)現(xiàn)無人駕駛車量產(chǎn)的時(shí)間是2019年。

目前，作為開源自動(dòng)駕駛系統(tǒng)的 Apollo 正在按部就班地迭代(懂代碼的可以到Github上監(jiān)督一下他們的進(jìn)度)，而每一次新版本發(fā)布前，都是百度安全同學(xué)熬夜的季節(jié)。因?yàn)樗麄円?fù)責(zé)審核代碼的安全性，找找里面是否存在漏洞。

這就是“軟件安全”。

人人都喜歡老司機(jī)，因?yàn)樗麄儭胺€(wěn)”。在自動(dòng)駕駛世界，人工智能的角色就是司機(jī)。Apollo 如果不“穩(wěn)”，如何齁住秋名山。講真，無人駕駛安全的重要性，要超過臥室里“上傳錄音”的凈化器。

無人車是公認(rèn)人工智能的第一個(gè)大戰(zhàn)場(chǎng)。從科學(xué)規(guī)律上來講，無論是哪個(gè)公司的無人車，只有它越普及，才越可能暴露出來安全問題。

在現(xiàn)階段，連業(yè)內(nèi)第一梯隊(duì)的百度無人車都處在研發(fā)中，直接腦補(bǔ)《速度與激情8》里的場(chǎng)景，未免有些脫離現(xiàn)實(shí)。如果你問我，汽車中的人工智能會(huì)面臨怎樣具體的攻擊姿勢(shì)，最科學(xué)的答案就是：我還不知道。

可以說：對(duì)于無人車安全，挑戰(zhàn)更大，但時(shí)間窗口未到。

　四、我們?cè)撚檬裁醋藙?shì)來恐懼?

正如剛才所言，人工智能很多具體的風(fēng)險(xiǎn)可能還未知。而未知天然就會(huì)引發(fā)恐懼。

我們是否該縱容自己的恐懼呢?

文章開頭我提到了汽車代替馬車的故事，其實(shí)這個(gè)故事還有更多細(xì)節(jié)：

150年前，汽車剛被發(fā)明出來，它被認(rèn)為是怪物。

那時(shí)候倫敦城滿街跑的都是馬車，從旁邊冷不丁殺出一輛汽車，經(jīng)常會(huì)挑戰(zhàn)馬兒脆弱的小心臟。受驚的馬引發(fā)了不少事故。汽車本身的安全性也堪憂，翻開一張英國(guó)報(bào)紙，一張漫畫映入眼簾：汽車爆炸，坐車的人血肉橫飛。

用這種危險(xiǎn)的玩意兒代替?zhèn)惗爻莾?yōu)雅又萌萌噠的十萬匹馬，人們不答應(yīng)。

聽取了群眾的呼聲，1858年英國(guó)實(shí)施了“紅旗法”，規(guī)定汽車在郊外的限速是4碼，市內(nèi)的限速是2碼(你沒看錯(cuò)，比走路還要慢)，還要在汽車前面有專人步行手持紅旗，提示大家“危險(xiǎn)將近”。

你看，今天隨處可見的普通汽車，曾經(jīng)被人當(dāng)做洪水猛獸一般對(duì)待。當(dāng)時(shí)人們的恐懼，在后人看來近乎笑談。

隨著技術(shù)的落地，不斷跟進(jìn)研究，才是對(duì)人工智能安全最負(fù)責(zé)任的態(tài)度。就像馬杰所說：“最可怕的問題都來源于沒有意識(shí)到。只要意識(shí)到，最終都能解決?！?/p>

除了百度安全的同學(xué)，在 BSRC(百度安全應(yīng)急響應(yīng)中心)門庭下也有很多白帽子在孜孜不倦地幫百度找到安全問題。所以，和白帽子的合作也是百度人工智能安全重要的部分。

講真，即使對(duì)于白帽子這樣的專業(yè)黑客來說，人工智能也是比較陌生的技術(shù)。而要研究AI的安全，首先需要了解它。

在馬杰心里，安全人員都有一張“技能表”。各項(xiàng)基礎(chǔ)技能，對(duì)于找到漏洞是至關(guān)重要的。例如 CPU 的架構(gòu)、系統(tǒng)內(nèi)核，這些都是高段位白帽子的必備技能。而人工智能，很可能成為“技能表”中下一個(gè)重點(diǎn)。

“無論是用人工智能找漏洞，還是找到人工智能中的漏洞，首先都要對(duì)它有充分的了解。而這種學(xué)習(xí)，越早開始越好?！八f。

說回新技術(shù)。我們的恐懼也許最終不能改變什么，就像“危險(xiǎn)”的汽車最終還是走進(jìn)了每個(gè)人的車庫：

19世紀(jì)末，卡爾·本茨發(fā)明了內(nèi)燃機(jī)汽車。有一次他載著當(dāng)?shù)毓賳T上路。由于和“紅旗法”類似的法規(guī)限制，德國(guó)汽車車速不能超過6公里，所以只能龜速前進(jìn)。

突然后面一輛馬車超了過去，車夫回頭大聲嘲笑他們。

官員大怒，對(duì)本茨大喊：“給我追上去!”

本茨故作無奈：“可是政府有規(guī)定。。?！?/p>

“別管什么規(guī)定!我就是規(guī)定!追!”官員大叫。

聞聽此言，本茨一腳油門踩下去。他們的汽車立刻超越了馬車，從此，再?zèng)]有被追上過。

馬杰所言，無外乎八個(gè)字：與其恐懼，不如擁抱。

songjy