美国安全与新兴技术中心：《对抗性机器学习和网络安全》

1、在整个人工智能系统生命周期中，使用风险管理框架解决安全性问题。使用风险管理框架的重要问题包括：如何确保该模型可靠且稳健？在什么情况下部署人工智能模型是安全的？有哪些补偿控制可用？是让易受攻击的系统或功能完全脱机，还是将其保留并采取缓解措施？对模型采取应用防御措施和确保整体性能高水平之间应当如何权衡?……

2、尝试扩展现有的网络安全体系，将人工智能风险覆盖在内。网络安全社群已经发展出许多用于跟踪和解决风险、指导事件响应的工具，包括用于枚举已知漏洞的通用漏洞披露(CVE)系统、评估与已知漏洞相关的潜在风险的通用漏洞评分系统(CVSS)以及在安全研究人员和软件供应商之间进行协调的协调漏洞披露(CVD)等系统。

3、向对抗性机器学习领域的研究人员和从业者以及相关知识社群咨询。与传统的软件风险不同，人工智能风险更类似于算法偏差等其他主题。而研究人员和从业者对此进行了深入广泛的研究，因此相关专家组和社群的更多参与非常重要。

评估针对人工智能系统的攻击威胁严重程度并不容易。原因在于：其一，现有人工智能风险信息多来自学术研究环境、网络安全公司或内部研究人员。其次，目前缺乏跟踪人工智能数据集、模型及其相应风险的标准化、系统化方法。其三，某些类型的人工智能系统攻击需要有机器学习或数据科学专业知的人才能识别和检测。

1、部署人工智能系统的组织应改善信息共享机制，以促进对人工智能风险的理解。开放共享信息机制可以采取多种形式，例如主要行业利益相关者的非正式定期会议，或者建立更正式的威胁资源存储库。

2、人工智能部署者应在产品生命周期全阶段强调人工智能系统安全文化。仅在构建模型后才考虑安全问题的产品团队，可能会将不安全因素嵌入其模型的开发过程当中，存在问题的模型一旦经过充分训练，这些潜在隐患可能很难或无法消除。

3、高风险人工智能系统的开发者和部署者必须优先考虑透明度原则。高风险环境中如果存在人工智能漏洞，将会对社会福祉和隐私产生重大影响。为此，当消费者在高风险环境中受人工智能模型影响时，开发者和部署者应该以明示方式告知。此外，模型的设计者应当披露其对于人工智能系统安全性、性能、稳健性或公平性之间的权衡和考虑。

人工智能已经深入日常生活，许多法律领域——包括刑法、消费者保护法、隐私法、民法、政府采购要求、合同法、侵权责任法，甚至美国证券交易委员会关于公有公司的披露义务等——都与人工智能有关。尽管存在困难，人工智能系统及其风险仍应受到现行法律的规制，但法院和监管机构似乎尚未完全阐明监管方式和程度。

报告建议，相比将人工智能安全作为一个独立的主题进行监，现阶段管最好通过扩展和调整网络安全法来处理人工智能风险。

然而，现状是网络安全法本身仍在完善过程中，许多问题仍然悬而未决；部门要求参差不齐，地方和中央规则存在重叠。同时，目前还没有一部全面的网络安全法律（而且短期内不太可能出台），也几乎没有任何案例能够对人工智能风险的责任做出明确裁决。

1、网络安全的问责机构应该向公众释明，其为了解决人工智能安全问题做了哪些尝试，并且各项举措是如何融入其监管结构之中。例如，美国联邦贸易委员会就使用人工智能的公司遵守公平信用原则发布了指导文件；国家标准与技术研究所、网络安全和基础设施安全局也为私营企业提供了网络安全指导。

2、目前没有必要修改反黑客法来专门处理人工智能系统的攻击问题。哪些类型的人工智能攻击行为违法还尚不清楚，因此任何将“人工智能黑客”认定为犯罪的尝试都可能会引发棘手的过度担忧。

安全的人工智能系统的研发，其许多障碍本质上属于社会和文化层面，而不是技术层面。虽然对抗性机器学习是一个快速发展的领域，但据统计，它只占所有人工智能研究的1%以下，而且现有研究主要集中在一小部分攻击类型上，并不代表现实世界的多数攻击场景。

1、对抗性机器学习的研究人员和网络安全从业者应该寻求比过去更加紧密的合作。对现实更可能发生的威胁模型研究目前还没有受到足够的重视。为此，加强学习研究人员和网络安全研究人员之间的进一步合作，可以提高人工智能部署者面临的现实威胁场景的识别效率，以便充分集中精力应对威胁。

2、人工智能研究的投资方向应该更加强调人工智能安全，建议加大对人工智能开源工具的投入。近年来，许多特定于机构的举措或项目都强调为“基础”人工智能研究提供公共资金，而人工智能安全应被视为必要的人工智能基础研究的组成部分。

3、虽然安全标准的编写很重要，但政府决策者也应该更积极地为人工智能模型提供测试和审计平台。此类计划还可以让政策制定者更好地了解现有人工智能产品易受已知攻击的程度，并考虑其模型的潜在安全影响。