历史表明,网络安全威胁随着新的技术进步而增加。关系数据库带来了SQL注入攻击,Web脚本编程语言助长了跨站点脚本攻击,物联网设备开辟了创建僵尸网络的新方法。

而互联网打开了潘多拉盒子的数字安全弊病,社交媒体创造了通过微目标内容分发来操纵人们的新方法,并且更容易收到网络钓鱼攻击的信息,比特币使得加密Ransomware勒索软件攻击成为可能。

近年来网络安全事件不断曝光,新型攻击手段层出不穷,安全漏洞和恶意软件数量更是不断增长。2019年VulnDB和CVE收录的安全漏洞均超过了15000条,平均每月高达1200条以上,2019年CNCERT全年捕获计算机恶意程序样本数量超过6200万个,日均传播次数达824万余次,涉及计算机恶意程序家族66万余个。

根据研究集团IDC的数据,到2025年联网设备的数量预计将增长到420亿台;有鉴于此,社会正在进入“超数据”时代。于是,在数据算法大行其道,人工智能方兴未艾的今天,我们也迎来了新一轮安全威胁。

先想象一个超现实场景:未来的恐怖袭击是一场不需要炸弹、铀或者生化武器的袭击,想要完成一场恐怖袭击,恐怖分子们只需要一些胶布和一双健步鞋,通过把一小块胶布粘贴到十字路口的交通信号灯上,恐怖分子就可以让自动驾驶汽车将红灯识别为绿灯,从而造成交通事故。

要了解人工智能的独特攻击,需要先理解人工智能领域的深度学习,深度学习是机器学习的一个子集,其中,软件通过检查和比较大量数据来创建自己的逻辑,机器学习已存在很长时间,但深度学习在过去几年才开始流行。

人工神经网络是深度学习算法的基础结构,大致模仿人类大脑的物理结构。与传统的软件开发方法相反,传统软件开发需要程序员编写定义应用程序行为的规则,而神经网络则通过阅读大量示例创建自己的行为规则。

当你为神经网络提供训练样例时,它会通过人工神经元层运行它,然后调整它们的内部参数,以便能够对具有相似属性的未来数据进行分类。这对于手动编码软件来说是非常困难的,但神经网络却非常有用。

但由于神经网络过分依赖数据,从而引导了神经网络的犯错,一些错误对人类来说似乎是完全不合逻辑甚至是愚蠢的,人工智能也由此变成了人工智障。例如,2018年英国大都会警察局用来检测和标记虐待儿童图片的人工智能软件就错误地将沙丘图片标记为裸体。

当这些错误伴随着神经网络而存在,人工智能算法带来的引以为傲的“深度学习方式”,就成了敌人得以攻击和操控它们的途径。于是,在我们看来仅仅是被轻微污损的红灯信号,对于人工智能系统而言则可能已经变成了绿灯,这也被称为人工智能的对抗性攻击,即引导了神经网络产生非理性错误的输入,强调了深度学习和人类思维的功能的根本差异。

此外,对抗性攻击还可以欺骗GPS误导船只、误导自动驾驶车辆、修改人工智能驱动的导弹目标等,对抗攻击对人工智能系统在关键领域的应用已经构成了真正的威胁。