隨著政府機構開始把安全重點轉向具備自學能力的自動化系統，網絡安全人士也開始紛紛擔心黑客對這些系統產生的影響，這甚至成為了他們最大的擔憂。

科技網站GCN近日撰文稱，人工智能技術的發展對網絡安全構成了挑戰，因為與防御者相比，黑客更容易操縱機器學習算法，從而獲得自己想要的結果。

根據維基百科的解釋，對抗性機器學習（Adversarial machine learning，以下簡稱“AML”）是一個“機器學習與計算機安全的交叉學科……其目的是在垃圾信息過濾、惡意軟件監測和生物特征識別等對抗性設置中安全部署機器學習技術。”

據賓夕法尼亞州立大學谷歌(微博)安全項目博士尼古拉斯·帕珀諾特（Nicolas Papernot）介紹，AML希望在對抗性環境中應用機器學習算法后，能夠更好地理解這些算法——所謂對抗性設置，指的是“任何一個讓攻擊者因為財務動機或其他動機而迫使機器學習算法采取不端行為的設置。”

“可惜的是，現在的機器學習模型有著很大的攻擊面，因為它們的設計和訓練過程都是為了獲得良好的平均表現，但未必考慮過最差表現。從安全角度來看，這往往是最容易受到攻擊的。”帕珀諾特說。正因如此，這些系統很容易遭受通用攻擊——無論使用何種機器學習模型，也無論需要解決哪些任務，這類攻擊都會經常發起。

范德堡大學電氣工程和計算機科學教授葉夫提尼·沃羅貝琴科（Yevgeniy Vorobeychik）指出，雖然包括美國國防部及其下屬的DARPA在內的政府機構“達到了我們學術界所達不到的復雜度”，但AML只是這一領域的一個開始。例如，很多國家和地區政府以及執法機構都在“認真考慮”用這種技術來預測犯罪活動。

馬里蘭大學助理教授都鐸·杜米特拉斯（Tudor A. Dumitras）表示，在公共領域，機器學習可以有很多用途，包括“網絡攻擊防御技術；分析天文觀測或能源部大型實驗等項目的科研數據；生物學和醫學研究；開發犯罪預測模型，用于制定假釋或量刑決策。”這些系統都很容易遭受AML攻擊。

為了說明這個問題，杜米特拉斯指出，網絡防御系統必須把各種活動或信息（包括可執行程序、網絡流量或電子郵件）區分為善意和惡意兩種模式。

為了達到這個目的，機器學習算法需要首先學習一些已知的善意和惡意例子，以此作為起點，進一步在沒有預定描述信息的情況下學習惡意活動的模式。

“聰明的攻擊者可以顛覆這些技術，使之產生壞的結果。”他說。廣泛來看，杜米特拉斯認為攻擊者可以采取以下三種方式：

——通過操縱例子攻擊訓練模型，導致機器學習算法給某些案例添加錯誤的標簽，或者學會被曲解的模型。

——通過尋找代碼漏洞攻擊實施過程。

——利用機器學習算法的“黑盒子”特性。

“因此，用戶可能會發現，這種模型也有盲點。他們也有可能發現，這種模型的基礎是人為操縱的數據，而非有意義的特征。”杜米特拉斯說，“因為機器學習往往會給出惡意或善意判斷，但卻不會透露這種結論背后的邏輯。”

AML興起

AML在公共和執法領域的重要性逐漸提升，原因在于計算機科學家“在機器學習領域已經足夠成熟，可以在很多有挑戰的任務中讓機器學習模型實現優異表現，有時候能超過入類。”帕珀諾特說，“因此，機器學習在很多應用領域普及開來，而且逐步成為網絡安全領域的新穎候選方案。”

然而，帕珀諾特表示，只要存在沒有被完全理解的缺陷——例如借助対抗性案例找到的那些缺陷——就很難信任機器學習模型給出的預測。

杜米特拉斯表示，過去10年發現了很多專門針對機器學習發起的攻擊。“雖然攻擊者必須解決的問題從理論上看非常困難，但很明顯，完全有可能針對多數實用系統找到實用的攻擊方法。”他說。

例如，黑客已經知道如何入侵基于機器學習的探測器；知道如何破壞訓練過程，從而產生他們想要的結果；知道如何通過反復索取的方式來竊取專有機器學習模型；還知道如何對模型進行調整，從而學習用戶的隱私信息。

與此同時，如何防御這些攻擊仍然沒有確定方案。“已知的防御方式寥寥無幾，”杜米特拉斯說，“而且通常只針對具體的攻擊模式，一旦攻擊者調整戰略，這些方法就會失效。”

例如，他指出，“假新聞”的傳播就會影響政府的公信力。假新聞的傳播面——尤其是在Facebook、Twitter或谷歌上傳播的假新聞——會因為用戶的點擊、評論或點贊而擴大。這種行為構成了“一種毒害，使得推薦引擎使用了并不可靠的數據，有可能推廣更多假新聞。”他說。

AML的興起“導致好人面臨一場極不對稱的戰爭……壞人卻可從中受益。”智能安全公司Anomali首席數據科學家伊萬·懷特（Evan Wright）說，“好人要被迫阻止一些問題。”

然而，“好人”也并非完全不走運。帕珀諾特表示，通過主動地確定其機器學習算法的缺陷，政府機構和執法部門可以向前邁出一大步，逐步繪制自己的攻擊面圖形。他建議這些機構先從cleverhans這樣的軟件開始，這個Phython庫可以用于確定機器學習系統暴露給對抗性例子的缺陷。

“一旦部署了機器學習模型，使得攻擊者可以與之互動——即便只是通過API等有限的方式——那就應該假設有動機的攻擊者有能力對該模型展開反向工程，甚至針對其訓練時使用的數據展開反向工程。”帕珀諾特說。因此，他建議政府機構和執法部門密切關注與模型訓練有關的隱私成本。

沃羅貝琴科建議公共領域的IT專家在這個問題上先行一步，考慮所有潛在缺陷，并針對他們可能使用的機器學習算法展開全面的攻擊演習。“”他說，“全面的攻擊演習對于測試這些自動化程度更高的工具大有裨益。”

雖然系統化的解決方案經常“需要針對攻擊者設定不切實際的假設。”杜米特拉斯說，但卻有可能在具體的案例中阻止AML攻擊。不過，仍然需要開發出有效的防御手段。例如，他認為，如果攻擊者“不能向機器學習系統發出請求，無法訪問訓練集，不知道系統的設計或其使用的特征，而且無法接觸實施過程，那就很難制作對抗性樣本。”

但杜米特拉斯也補充道，這些假設通常不切實際。因為很多政府系統都使用了開源機器學習庫，而攻擊者可以隨意查看其中的代碼，從而尋找可供利用的漏洞。“在這種情況下，很多人可能希望通過不透明的方式來實現安全性，盡可能隱藏跟系統運作方式有關的信息。”他說，“但最近的黑盒子攻擊表明，只需要掌握很少的系統信息，便可制作出有效的對抗性樣本。”

對輸入的數據進行“消毒”同樣可以發揮作用，因為這樣做便有可能在把惡意數據提供給機器學習算法之前將其識別出來，但人工消毒無法大規模部署。“歸根到底，還是需要開發出有效的防御模式來預防對抗性機器學習攻擊。”