美國智庫安全和新興技術(shù)中心（CSET）4月發(fā)表了題為《對抗性機(jī)器學(xué)習(xí)和網(wǎng)絡(luò)安全-----風(fēng)險、挑戰(zhàn)和法律影響》的報告。該報告基于去年7月CSET和斯坦福大學(xué)網(wǎng)絡(luò)政策中心召開的一次關(guān)于地緣政治、技術(shù)和治理項目的專家研討會，研究人工智能（AI）系統(tǒng)中的漏洞和更傳統(tǒng)類型的軟件漏洞之間的關(guān)系。討論的主題包括在標(biāo)準(zhǔn)網(wǎng)絡(luò)安全流程下可以處理AI漏洞的程度，目前阻止準(zhǔn)確共享AI漏洞信息的障礙，與對AI系統(tǒng)的惡意攻擊相關(guān)的法律問題，以及政府支持可以改善AI漏洞管理和緩解的潛在領(lǐng)域。

概述

研討會與會者包括網(wǎng)絡(luò)安全和AI紅隊角色的行業(yè)代表；有開展對抗性機(jī)器學(xué)習(xí)研究經(jīng)驗的學(xué)者；網(wǎng)絡(luò)安全監(jiān)管、AI責(zé)任和計算機(jī)相關(guān)刑法方面的法律專家；以及負(fù)有AI重大監(jiān)督責(zé)任的政府代表。本報告總結(jié)了研討會關(guān)于對抗性機(jī)器學(xué)習(xí)的普遍共識，并提供了改進(jìn)未來響應(yīng)的建議。這些建議分為四個部分：

（1）關(guān)于在現(xiàn)有網(wǎng)絡(luò)安全流程下可以處理AI漏洞的程度的建議。

（2）關(guān)于組織文化和信息轉(zhuǎn)變的建議。分享給積極參與AI模型建設(shè)的組織和個人，在商業(yè)產(chǎn)品中集成模型并使用AI系統(tǒng)。

（3）關(guān)于AI漏洞的法律問題的建議。

（4）關(guān)于未來研究領(lǐng)域和政府支持的建議，可以導(dǎo)致更安全的AI系統(tǒng)的發(fā)展。

人工智能(AI)技術(shù)，特別是機(jī)器學(xué)習(xí)，正在廣泛的商業(yè)和政府背景下迅速部署。這些技術(shù)容易受到一系列廣泛的操縱，這些操縱可能會觸發(fā)錯誤、從訓(xùn)練數(shù)據(jù)集推斷私人數(shù)據(jù)、降低性能或泄露模型參數(shù)。研究人員已經(jīng)證明了許多AI模型中的主要漏洞，包括許多已經(jīng)部署在面向公眾的環(huán)境中的模型。正如安德魯·摩爾(Andrew Moore)2022年5月在美國參議院武裝部隊委員會作證時所說，保護(hù)AI系統(tǒng)免受敵對攻擊“絕對是目前正在進(jìn)行的戰(zhàn)斗?！?/p>

然而，AI漏洞可能不會直接映射到傳統(tǒng)的補(bǔ)丁修復(fù)網(wǎng)絡(luò)安全漏洞的定義上。AI漏洞和更標(biāo)準(zhǔn)的補(bǔ)丁修復(fù)漏洞之間的差異已經(jīng)產(chǎn)生了關(guān)于AI漏洞和AI攻擊狀態(tài)的模糊性。這反過來提出了一系列企業(yè)責(zé)任和公共政策問題：AI漏洞可以用傳統(tǒng)的網(wǎng)絡(luò)風(fēng)險補(bǔ)救或緩解方法來解決嗎？開發(fā)和使用機(jī)器學(xué)習(xí)產(chǎn)品的公司是否做好了充分保護(hù)它們的準(zhǔn)備？AI系統(tǒng)的開發(fā)者或破壞它們的攻擊者需要承擔(dān)什么法律責(zé)任？政策制定者如何支持創(chuàng)建更安全的AI生態(tài)系統(tǒng)？

該報告旨在完成兩件事。首先，它提供了對AI漏洞的高級別討論，包括它們與其他類型漏洞的不同之處，以及關(guān)于AI漏洞的信息共享和法律監(jiān)督的當(dāng)前狀態(tài)。第二，它試圖闡明研討會大多數(shù)與會者贊同的廣泛建議。這些建議分為以下四個主題:

主題1:針對AI漏洞擴(kuò)展傳統(tǒng)網(wǎng)絡(luò)安全

對AI系統(tǒng)的攻擊從許多意義上講并不新鮮。幾十年來，惡意行為者一直試圖逃避基于算法的垃圾郵件過濾器或操縱推薦算法。但在過去十年中，機(jī)器學(xué)習(xí)模型的流行程度急劇上升，包括越來越多的高風(fēng)險環(huán)境。與此同時，研究人員已經(jīng)多次證明，機(jī)器學(xué)習(xí)算法和訓(xùn)練過程中的漏洞是普遍存在的，并且難以修復(fù)?；跈C(jī)器學(xué)習(xí)的圖像和語音識別系統(tǒng)受到了人類察覺不到的干擾，數(shù)據(jù)集受到了毒害，導(dǎo)致系統(tǒng)輸出失真或變得不可靠，原本應(yīng)該保密的敏感數(shù)據(jù)被重新構(gòu)建。

迄今為止，這些攻擊大多發(fā)生在研究環(huán)境中，盡管有一些證據(jù)表明現(xiàn)實世界的黑客利用了深度學(xué)習(xí)系統(tǒng)的漏洞。此外，人們普遍預(yù)期，隨著AI模型不斷融入更廣泛的用例，基于深度學(xué)習(xí)的攻擊頻率將會增長。研討會參與者懷疑，只要擊敗機(jī)器學(xué)習(xí)模型會帶來明顯的經(jīng)濟(jì)利益（這會激發(fā)私人黑客）或戰(zhàn)略優(yōu)勢（會激發(fā)民族國家），這些攻擊就可能最常見。

建議1：構(gòu)建或部署人工智能模型的組織應(yīng)該使用一個風(fēng)險管理框架來解決整個人工智能系統(tǒng)生命周期中的安全問題。

建議2：敵對的機(jī)器學(xué)習(xí)研究人員、網(wǎng)絡(luò)安全從業(yè)者和人工智能組織應(yīng)該積極嘗試擴(kuò)展現(xiàn)有的網(wǎng)絡(luò)安全流程，以覆蓋AI漏洞。

建議3：對抗性機(jī)器學(xué)習(xí)領(lǐng)域的研究人員和從業(yè)者應(yīng)該咨詢那些解決AI偏見和魯棒性的人，以及其他具有相關(guān)專業(yè)知識的社區(qū)。

主題2:改善信息共享和組織安全意識

有幾個結(jié)構(gòu)特征使得精確評估對AI系統(tǒng)的攻擊威脅有多大變得困難。首先，關(guān)于現(xiàn)有AI漏洞的大部分信息來自理論或?qū)W術(shù)研究機(jī)構(gòu)，來自網(wǎng)絡(luò)安全公司或來自內(nèi)部研究人員，他們將組織的AI系統(tǒng)紅隊化。其次，缺乏一種系統(tǒng)化和標(biāo)準(zhǔn)化的手段來跟蹤AI資產(chǎn)（如數(shù)據(jù)集和模型）及其相應(yīng)的漏洞，這使得很難知道易受攻擊的系統(tǒng)有多普遍。第三，對于AI系統(tǒng)的某些類型攻擊，攻擊檢測可能需要有意義的機(jī)器學(xué)習(xí)或數(shù)據(jù)科學(xué)專業(yè)知識來實現(xiàn)，或者至少熟悉可能預(yù)示基于AI的攻擊的行為模式。由于許多網(wǎng)絡(luò)安全團(tuán)隊可能不具備檢測此類攻擊的所有相關(guān)專業(yè)知識，因此組織可能缺乏識別和披露確實發(fā)生的AI攻擊的能力，或許也缺乏動機(jī)。

即使發(fā)現(xiàn)漏洞或觀察到惡意攻擊，這些信息也很少會傳遞給其他人，無論是同行組織、供應(yīng)鏈中的其他公司、最終用戶，還是政府或民間社會觀察員。雖然存在一些傳播信息的潛在機(jī)制，但缺乏一個在受保護(hù)的基礎(chǔ)上共享事故信息的可信的專門論壇。來自行業(yè)和政府組織的一些研討會與會者指出，他們將受益于定期的信息交流，但目前不存在信息共享網(wǎng)絡(luò)，官僚、政策和文化障礙目前阻礙了這種共享。

建議1：部署AI系統(tǒng)的組織應(yīng)該尋求信息共享安排計劃，以促進(jìn)對威脅的理解。

建議2：AI部署者應(yīng)該強(qiáng)調(diào)在產(chǎn)品生命周期的每個階段建立嵌入人工智能開發(fā)的安全文化。

建議3：高風(fēng)險AI系統(tǒng)的開發(fā)者和部署者必須優(yōu)先考慮透明度。

主題3：澄清AI漏洞的法律地位

這些條件意味著，在當(dāng)前的安排下，問題很可能會一直不被注意，直到攻擊者成功利用漏洞很久以后。為了避免這種結(jié)果，我們建議開發(fā)AI模型的組織采取重要措施來規(guī)范或利用信息共享安排，以監(jiān)控對人工智能系統(tǒng)的潛在攻擊，并提高透明度。

美國沒有全面的人工智能立法（也不太可能很快出臺）。然而，許多法律領(lǐng)域——包括刑法、消費者保護(hù)法規(guī)、隱私法、民權(quán)法、政府采購要求、普通法合同規(guī)則、過失和產(chǎn)品責(zé)任，甚至美國證券交易委員會關(guān)于上市公司披露義務(wù)的規(guī)則——都與AI的不同方面相關(guān)。正如人工智能雖然不太適合傳統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險框架，但也適用于現(xiàn)有法律，但法院和監(jiān)管機(jī)構(gòu)尚未完全澄清其方式和程度。迄今為止，對人工智能的政策關(guān)注主要集中在偏見和歧視方面。美國聯(lián)邦貿(mào)易委員會（FTC）、美國平等就業(yè)機(jī)會委員會和消費者金融保護(hù)局等都發(fā)布了自己的指導(dǎo)意見，涉及在可能違反聯(lián)邦民權(quán)法、反歧視法和消費者保護(hù)法的情況下使用AI模型。

建議1：有權(quán)管理網(wǎng)絡(luò)安全的美國政府機(jī)構(gòu)應(yīng)該澄清基于AI的安全問題如何融入他們的監(jiān)管結(jié)構(gòu)。

建議2：目前沒有必要修改反黑客法律來專門解決攻擊AI系統(tǒng)的問題。

主題4:支持提高人工智能安全性的有效研究

開發(fā)安全AI系統(tǒng)的許多障礙本質(zhì)上是社會和文化層面的，而不是技術(shù)層面的。學(xué)術(shù)界、行業(yè)專業(yè)人士和政府研究人員面臨的激勵都在某種程度上鼓勵將匯總績效指標(biāo)的邊際改善作為進(jìn)步的主要標(biāo)志。雖然對抗性機(jī)器學(xué)習(xí)是一個快速發(fā)展的領(lǐng)域，但根據(jù)一些統(tǒng)計，它占所有AI學(xué)術(shù)研究的不到1%——而且現(xiàn)有的研究主要集中在攻擊類型的一小部分，如對抗性示例，這些示例可能不代表真實世界的攻擊場景。對于希望部署機(jī)器學(xué)習(xí)模型的組織來說，安全性通常是次要的考慮因素。只要這一點保持不變，技術(shù)干預(yù)充其量只能在總體上有限地提高人工智能系統(tǒng)的安全性。

與此同時，研究界關(guān)于對抗性機(jī)器學(xué)習(xí)的知識水平仍然很低。雖然研究人員探索的成功攻擊策略數(shù)量激增，但從技術(shù)上消除這些漏洞的可行性尚不確定；特別是，目前還不清楚針對多種類型攻擊的通用防御能力有多大。我們在本報告中多次提到安全性和性能之間的潛在權(quán)衡。盡管權(quán)衡的存在是顯而易見的，但很難評估它們的程度，建立應(yīng)對方案，讓所有相關(guān)的利益攸關(guān)方參與風(fēng)險管理，以及描述不同目標(biāo)之間相互權(quán)衡的程度。我們不知道這些權(quán)衡考慮的既定過程。

雖然這種情況要求在AI安全研究方面進(jìn)行更多投資，但它特別代表了政府決策者產(chǎn)生相當(dāng)大影響的地方。安全是一個行業(yè)可能投資不足的領(lǐng)域，這為公共資助的研究創(chuàng)造了機(jī)會。研討會參與者認(rèn)為，資助AI安全的額外研究應(yīng)該是一個重要的優(yōu)先事項，政策制定者可以采取一些具體行動來最有效地推動這一領(lǐng)域的研究。

建議1：對立的機(jī)器學(xué)習(xí)研究人員和網(wǎng)絡(luò)安全從業(yè)者應(yīng)該尋求比過去更緊密的合作。

建議2：推動AI研究的公共努力應(yīng)該更加重視AI安全，包括通過資助可以促進(jìn)更安全的AI開發(fā)的開源工具。

建議3：政府決策者應(yīng)該超越編寫標(biāo)準(zhǔn)，為評估AI模型的安全性提供測試平臺或進(jìn)行審計。

在高層次上講，我們強(qiáng)調(diào)——盡管對抗性機(jī)器學(xué)習(xí)是一個具有高度技術(shù)性工具的復(fù)雜領(lǐng)域——AI漏洞帶來的問題可能既是技術(shù)性的，也是社會性的。我們的一些建議強(qiáng)調(diào)了行業(yè)和政府決策者通過投資技術(shù)研究來促進(jìn)人工智能安全的機(jī)會。然而，我們的大部分建議集中在過程、機(jī)構(gòu)文化和人工智能開發(fā)者和用戶意識的改變上。雖然我們希望這些建議將促使使用人工智能的組織主動思考圍繞AI系統(tǒng)的安全問題，但我們也強(qiáng)調(diào)，個別作者持有廣泛的觀點，不一定孤立地贊同每個特定的建議。

編輯：黃飛

?