针对人工智能系统的攻击并不鲜见。机器学习算法和训练过程中的风险普遍存在,修复起来具有挑战性。此外,随着人工智能模型的应用不断深入,基于深度学习的攻击频率将会增长。
人们在应对人工智能风险方面正面临挑战。一方面,现有的网络安全框架应当足够通用,从而能够解决诸如深度学习漏洞等类型的新风险。项目组认同可以在当前的标准风险管理框架下分析人工智能利用的风险。另一方面,人工智能风险有着不同于传统软件风险的特殊性,有必要对现有的网络安全风险治理框架进行扩展或调整。
从高度抽象的层次看,人工智能风险和传统软件风险存在以下不同:
1、人工智能风险通常源于训练数据和训练算法之间的复杂交互,这使得某些风险高度依赖于训练人工智能模型的特定数据集,从而在完全训练模型之前难以被发现或修复。
2、要修复人工智能模型中的风险,可能需要对模型进行再训练,成本巨大且可行性不高。
3、许多情况下,人工智能系统中的漏洞可能是暂时性的,会随着模型数据的更新而更新,抑或高度依赖于场景/环境。无论何种情况,找到通用的风险防御或修复方法都不容易。
4、关于人工智能系统风险的认定通常存在很大的不确定性。例如很难区分恶意攻击和中立的用户操作。虽然这个问题不一定是人工智能独有,但它确实令定义人工智能风险的过程变得复杂化。
1、在整个人工智能系统生命周期中,使用风险管理框架解决安全性问题。使用风险管理框架的重要问题包括:如何确保该模型可靠且稳健?在什么情况下部署人工智能模型是安全的?有哪些补偿控制可用?是让易受攻击的系统或功能完全脱机,还是将其保留并采取缓解措施?对模型采取应用防御措施和确保整体性能高水平之间应当如何权衡?……
2、尝试扩展现有的网络安全体系,将人工智能风险覆盖在内。网络安全社群已经发展出许多用于跟踪和解决风险、指导事件响应的工具,包括用于枚举已知漏洞的通用漏洞披露(CVE)系统、评估与已知漏洞相关的潜在风险的通用漏洞评分系统(CVSS)以及在安全研究人员和软件供应商之间进行协调的协调漏洞披露(CVD)等系统。
3、向对抗性机器学习领域的研究人员和从业者以及相关知识社群咨询。与传统的软件风险不同,人工智能风险更类似于算法偏差等其他主题。而研究人员和从业者对此进行了深入广泛的研究,因此相关专家组和社群的更多参与非常重要。
评估针对人工智能系统的攻击威胁严重程度并不容易。原因在于:其一,现有人工智能风险信息多来自学术研究环境、网络安全公司或内部研究人员。其次,目前缺乏跟踪人工智能数据集、模型及其相应风险的标准化、系统化方法。其三,某些类型的人工智能系统攻击需要有机器学习或数据科学专业知的人才能识别和检测。
由于许多网络安全团队不具备检测此类攻击的所有相关专业知识,因此组织可能缺乏识别、监测人工智能攻击的能力和动力。1、部署人工智能系统的组织应改善信息共享机制,以促进对人工智能风险的理解。开放共享信息机制可以采取多种形式,例如主要行业利益相关者的非正式定期会议,或者建立更正式的威胁资源存储库。
2、人工智能部署者应在产品生命周期全阶段强调人工智能系统安全文化。仅在构建模型后才考虑安全问题的产品团队,可能会将不安全因素嵌入其模型的开发过程当中,存在问题的模型一旦经过充分训练,这些潜在隐患可能很难或无法消除。
3、高风险人工智能系统的开发者和部署者必须优先考虑透明度原则。高风险环境中如果存在人工智能漏洞,将会对社会福祉和隐私产生重大影响。为此,当消费者在高风险环境中受人工智能模型影响时,开发者和部署者应该以明示方式告知。此外,模型的设计者应当披露其对于人工智能系统安全性、性能、稳健性或公平性之间的权衡和考虑。
人工智能已经深入日常生活,许多法律领域——包括刑法、消费者保护法、隐私法、民法、政府采购要求、合同法、侵权责任法,甚至美国证券交易委员会关于公有公司的披露义务等——都与人工智能有关。尽管存在困难,人工智能系统及其风险仍应受到现行法律的规制,但法院和监管机构似乎尚未完全阐明监管方式和程度。
报告建议,相比将人工智能安全作为一个独立的主题进行监,现阶段管最好通过扩展和调整网络安全法来处理人工智能风险。
然而,现状是网络安全法本身仍在完善过程中,许多问题仍然悬而未决;部门要求参差不齐,地方和中央规则存在重叠。同时,目前还没有一部全面的网络安全法律(而且短期内不太可能出台),也几乎没有任何案例能够对人工智能风险的责任做出明确裁决。
1、网络安全的问责机构应该向公众释明,其为了解决人工智能安全问题做了哪些尝试,并且各项举措是如何融入其监管结构之中。例如,美国联邦贸易委员会就使用人工智能的公司遵守公平信用原则发布了指导文件;国家标准与技术研究所、网络安全和基础设施安全局也为私营企业提供了网络安全指导。
2、目前没有必要修改反黑客法来专门处理人工智能系统的攻击问题。哪些类型的人工智能攻击行为违法还尚不清楚,因此任何将“人工智能黑客”认定为犯罪的尝试都可能会引发棘手的过度担忧。
安全的人工智能系统的研发,其许多障碍本质上属于社会和文化层面,而不是技术层面。虽然对抗性机器学习是一个快速发展的领域,但据统计,它只占所有人工智能研究的1%以下,而且现有研究主要集中在一小部分攻击类型上,并不代表现实世界的多数攻击场景。
1、对抗性机器学习的研究人员和网络安全从业者应该寻求比过去更加紧密的合作。对现实更可能发生的威胁模型研究目前还没有受到足够的重视。为此,加强学习研究人员和网络安全研究人员之间的进一步合作,可以提高人工智能部署者面临的现实威胁场景的识别效率,以便充分集中精力应对威胁。
2、人工智能研究的投资方向应该更加强调人工智能安全,建议加大对人工智能开源工具的投入。近年来,许多特定于机构的举措或项目都强调为“基础”人工智能研究提供公共资金,而人工智能安全应被视为必要的人工智能基础研究的组成部分。
3、虽然安全标准的编写很重要,但政府决策者也应该更积极地为人工智能模型提供测试和审计平台。此类计划还可以让政策制定者更好地了解现有人工智能产品易受已知攻击的程度,并考虑其模型的潜在安全影响。