程序員也是人,是人就會(huì)犯錯(cuò),所以我們的機(jī)器上充滿安全漏洞太正常不過(guò)。在打造驅(qū)動(dòng)計(jì)算系統(tǒng)的軟件時(shí),他們會(huì)把代碼放到錯(cuò)誤的地方執(zhí)行,或者讓數(shù)據(jù)跑到了不該去的地方,而且常常放進(jìn)來(lái)太多的數(shù)據(jù)。所有這些,都給黑客留下了進(jìn)行攻擊的方便之門(mén)。
即使有人工智能輔助人類(lèi)程序員,風(fēng)險(xiǎn)依然留存。AI也會(huì)犯錯(cuò)。谷歌和馬斯克獨(dú)力支持的人工智能初創(chuàng)公司OpenAI的研究人員發(fā)表了一篇新論文,其中描述稱(chēng),這些風(fēng)險(xiǎn)在正快速重造我們計(jì)算系統(tǒng)的新一類(lèi)AI里十分明顯,隨著AI涌入到安全攝像頭、傳感器和遍布物理世界的其他設(shè)備中,此類(lèi)風(fēng)險(xiǎn)有可能會(huì)造成嚴(yán)重后果。“這真的是每個(gè)人都應(yīng)該認(rèn)真思考的問(wèn)題。”
幻視
作為AI的一種形式,深度神經(jīng)網(wǎng)絡(luò)可以通過(guò)分析海量數(shù)據(jù)學(xué)習(xí)各種任務(wù)。隨著深度神經(jīng)網(wǎng)絡(luò)的興起,我們跨入到了一個(gè)新紀(jì)元,編程計(jì)算服務(wù)逐步讓位于訓(xùn)練計(jì)算服務(wù)。Facebook、谷歌和微軟之類(lèi)的互聯(lián)網(wǎng)巨頭里,這一切已經(jīng)開(kāi)始發(fā)生了。
通過(guò)饋送無(wú)數(shù)照片,小扎及其公司訓(xùn)練神經(jīng)網(wǎng)絡(luò)識(shí)別這個(gè)世界上最流行的社交網(wǎng)絡(luò)上的無(wú)數(shù)人臉。通過(guò)大量口語(yǔ)集,谷歌訓(xùn)練神經(jīng)網(wǎng)絡(luò)識(shí)別安卓手機(jī)“聽(tīng)”到的語(yǔ)音命令。未來(lái),這將是我們打造智能機(jī)器人和自動(dòng)駕駛汽車(chē)的方式。
今天,神經(jīng)網(wǎng)絡(luò)已經(jīng)能很好地識(shí)別人臉和口語(yǔ)了,更不用說(shuō)物件、動(dòng)物、標(biāo)志和其他書(shū)面語(yǔ)。但是,錯(cuò)誤的發(fā)生還是無(wú)法避免,有時(shí)候還會(huì)是驚人的錯(cuò)誤。沒(méi)有哪個(gè)機(jī)器學(xué)習(xí)系統(tǒng)是完美的。某些情況下,甚至可以耍弄這些系統(tǒng)“看到”或“聽(tīng)到”實(shí)際上并不存在的東西。
可以略微修改一幅圖像,讓神經(jīng)網(wǎng)絡(luò)以為里面包含了一些實(shí)際上不存在的東西。這種修改人眼可能發(fā)現(xiàn)不了——就是四處加了點(diǎn)像素。往大象的照片中加幾個(gè)像素,甚至能讓神經(jīng)網(wǎng)絡(luò)以為這是汽車(chē)的照片。這種修改過(guò)的照片被論文作者稱(chēng)作“敵對(duì)例子”。這里面就隱含了安全漏洞。
當(dāng)神經(jīng)網(wǎng)絡(luò)被用于識(shí)別直接從攝像頭或其他傳感器收來(lái)的數(shù)據(jù)時(shí),可能會(huì)引發(fā)問(wèn)題。比如說(shuō),使用神經(jīng)網(wǎng)絡(luò)的人臉識(shí)別系統(tǒng)若用于絕密設(shè)施的訪問(wèn)控制,你可以往臉上畫(huà)幾個(gè)小點(diǎn)來(lái)讓系統(tǒng)認(rèn)為是另一個(gè)。
同類(lèi)型的攻擊可以用在幾乎任何形式的機(jī)器學(xué)習(xí)上,不僅僅是神經(jīng)網(wǎng)絡(luò),決策樹(shù)和支持向量機(jī)之類(lèi)長(zhǎng)盛十幾年的決策輔助型機(jī)器學(xué)習(xí)方法也規(guī)避不了。事實(shí)上,這類(lèi)攻擊或許已經(jīng)在現(xiàn)實(shí)世界中上演了。金融公司就有可能對(duì)競(jìng)爭(zhēng)對(duì)手的交易系統(tǒng)下手。他們可以構(gòu)造一些交易,讓競(jìng)爭(zhēng)對(duì)手的系統(tǒng)在抵御實(shí)際價(jià)值的點(diǎn)位上就大量拋出股票,然后迅速買(mǎi)進(jìn)。
這篇新論文中,通過(guò)將圖像打印到紙上并展現(xiàn)給攝像頭“看”,作者們成功騙過(guò)了神經(jīng)網(wǎng)絡(luò)。不過(guò),更簡(jiǎn)單的方法或許也會(huì)起效,比如前文所述的在臉上畫(huà)點(diǎn)點(diǎn)。現(xiàn)實(shí)世界中這么干行不行尚不能確定,但作者們的研究顯示是有這個(gè)可能的。論文中已展示過(guò)攝像頭可被騙過(guò),其他攻擊方法想必也不少,比如用人眼感覺(jué)不到的印記騙過(guò)人臉識(shí)別系統(tǒng)等。
難點(diǎn)
騙過(guò)AI絕不容易。但也沒(méi)必要懂得神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)的深層知識(shí),也不用知道它是基于什么數(shù)據(jù)訓(xùn)練的。如之前的研究所展現(xiàn)的,如果能構(gòu)建出“敵對(duì)例子”騙過(guò)自家神經(jīng)網(wǎng)絡(luò),那對(duì)其他神經(jīng)網(wǎng)絡(luò)也可能有效。換句話說(shuō),能騙過(guò)一個(gè)圖像識(shí)別系統(tǒng),就可能騙過(guò)其他的。可以用另一個(gè)系統(tǒng)來(lái)構(gòu)造敵對(duì)例子,那會(huì)提升成功率。
說(shuō)這些安全漏洞比較小是很恰當(dāng)?shù)摹K鼈兪抢碚撋系膯?wèn)題,但在現(xiàn)實(shí)世界中,攻擊順利執(zhí)行還是很困難。除非攻擊者發(fā)現(xiàn)了往臉上畫(huà)點(diǎn)點(diǎn)的完美模式,否則不用有所期待。然而,此類(lèi)漏洞真實(shí)存在。隨著神經(jīng)網(wǎng)絡(luò)在現(xiàn)代世界扮演越來(lái)越重要的角色,我們必須堵上這些漏洞。怎么堵呢?打造更好的神經(jīng)網(wǎng)絡(luò)咯。
這事兒絕不是說(shuō)說(shuō)簡(jiǎn)單,但事情已經(jīng)提上了議程。深度神經(jīng)網(wǎng)絡(luò)有意模仿人腦神經(jīng)網(wǎng)的運(yùn)作。這也就是為什么它們被稱(chēng)為神經(jīng)網(wǎng)絡(luò)的原因。但真的實(shí)現(xiàn)時(shí),也不過(guò)是大規(guī)模的數(shù)學(xué)計(jì)算而已——層層疊加的微積分。這些數(shù)學(xué)計(jì)算是由人類(lèi)組織的,也就是論文作者之類(lèi)的研究人員。最終,是由他們控制這些系統(tǒng),而他們已著手找尋清除這些安全漏洞的方法了。
選擇之一,是在神經(jīng)網(wǎng)絡(luò)的訓(xùn)練中集成進(jìn)敵對(duì)例子,教會(huì)它們識(shí)別真品與敵對(duì)例子之間的區(qū)別。不過(guò),其他的選項(xiàng)也在研究人員的考慮之中。他們不是很確定哪些會(huì)起效而哪些完全是無(wú)用功。一如既往,最終還是人類(lèi)自身必須變得更好才行。
京公網(wǎng)安備 11010502049343號(hào)