随着人工智能技术被广泛采用,不久之后黑客也会将其目光投向人工智能领域。黑客可以使用虚假数据欺骗系统,从而造成各种麻烦。
在不久前于巴塞罗那召开的AI会议上,OpenAI的研究科学家伊恩·古德费洛(Ian Goodfellow)提醒与会者警惕针对机器学习进行的攻击。“目前各种你能想到的攻击手段都可以实现,而且很难防御。”
在过去几年中,研究人员探索了机器学习的各种可能。机器学习天生适合被用来在大数据中发现数据模式和趋势。然而在强大的同时它们也很脆弱,某种意义上是因为它们缺乏实际的智力来判断信息的真假。比如,你可以使用一幅广告牌来欺骗自动驾驶汽车上的视觉系统,而它就会傻傻把广告画面误以为真。有些声音人耳听不见,却会触发语音助理不必要的操作,莫名其妙地访问什么网站甚至下载恶意软件。
古德费洛等人正在对此制定对策。他们希望能训练机器学习系统有能力识别错误的信息输入,然而想做到万无一失并非易事。
机器学习的打造和防卫并非只是单纯的学术讨论,同时也是十分现实的问题。宾夕法尼亚州立大学的教授帕特里克·麦克丹尼尔(Patrick McDaniel)说:“机器学习系统的安全非常现实。机器学习驱动着许多功能,一些别有用心的攻击者会采用这些新兴攻击手段。”麦克丹尼尔表示黑客玩弄机器学习系统的事长久以来就存在。比如垃圾邮件发送者能够利用假电邮地址骗过算法,成功散播垃圾邮件。麦克丹尼尔相信用不了多久,更复杂的攻击手法将会出现。
麦克丹尼尔说:“针对在线分类系统的攻击很快就会出现。”攻击对象可能包括现代垃圾邮件过滤器、版权检测系统以及基于机器学习构建的计算机安全系统。
一篇新研究表明,这个问题比之前已知的更广泛。它表明某些欺骗手段能被重复用在多个不同的机器学习系统上,攻击者甚至可以在没有先验知识的情况下对“黑盒”系统展开攻击。
流行的机器学习工具中隐藏的bug也可以被用攻击者利用。各种新的机器学习工具以惊人的速度被开发出来,这些工具通常被发布到网上供免费下载,随后被用作诸如图像识别或自然语言分析开发之用。
在前文提到的AI会议上,奥克塔维安·苏奇(Octavian Suciu)强调了存在于流行工具中的这些漏洞。苏奇分析了这些程序的源代码,发现它存在被操控的隐患。一些程序在内存中存储信息的方式存在问题,在大量数据输入的情况下会导致程序文件被数据覆盖,从而产生问题。
苏奇举例说明该漏洞或可被用来操纵股票预测工具,产生错误的预测,通过误导市场达到攻击者的目的。“在本该上涨的情况下,你可以人为操纵预测工具让它显示‘下跌’的预测。”他说。