如何識別AI安全風(fēng)險(xiǎn)�����?中國工程院院士鄔江興:盡量避免使用單一模型����,要交叉驗(yàn)證
每日經(jīng)濟(jì)新聞
2024-05-21 14:25:31
鄔江興反復(fù)強(qiáng)調(diào)在應(yīng)用中盡量避免使用單一模型�,單一模型如果是在“一本正經(jīng)地胡說八道”,使用者是不能判斷的���?!叭魏稳嗽谀骋粋€(gè)模型����、某一個(gè)數(shù)據(jù)上做手腳是沒用的,它可能對A模型有用�����,但對B模型沒用��,所以我們用交叉印證來驗(yàn)證?���!编w江興說。
每經(jīng)記者 張蕊 每經(jīng)編輯 陳星
參展者登上自行車開始騎行�����,此時(shí)心率計(jì)�、功率計(jì)����、踏頻器等分別采集數(shù)據(jù)并上傳,屏幕上實(shí)時(shí)顯示騎行距離�����、速度�、心率、踏頻等各類隱私數(shù)據(jù)……
這是在5月17日至19日舉行的2024年第十二屆西湖論劍•數(shù)字安全大會數(shù)字安全建設(shè)成果展上的一幕����。該展位工作人員向記者介紹:“我們通過這種形式來展示數(shù)據(jù)分類分級的過程����,以及在傳輸中如何借助大模型檢測潛在的數(shù)據(jù)泄漏����、惡意攻擊等威脅。”
近一段時(shí)間以來��,以大模型為代表的AI(人工智能)技術(shù)持續(xù)火爆����,在驚喜于大模型的“聰明能干”時(shí),很多人也開始隱隱擔(dān)憂:當(dāng)我們在跟大模型對話時(shí)���,會不會造成個(gè)人信息或者商業(yè)機(jī)密的泄露�?AI在帶來便捷與紅利的同時(shí)�,還會帶來哪些安全方面的挑戰(zhàn)?我們又應(yīng)該如何應(yīng)對���?
帶著這些問題���,《每日經(jīng)濟(jì)新聞》記者在大會期間采訪了包括院士���、專家學(xué)者、網(wǎng)絡(luò)安全頭部企業(yè)在內(nèi)的多位業(yè)界人士���。
大會現(xiàn)場 圖片來源:每經(jīng)記者 張蕊 攝
挑戰(zhàn):數(shù)據(jù)安全問題日益凸顯
隨著大模型和生成式AI的興起��,數(shù)據(jù)安全問題日益凸顯�。
“一旦交互�����,肯定會有數(shù)據(jù)泄漏的風(fēng)險(xiǎn)����。比如你的位置、個(gè)人喜好會在不經(jīng)意間被收集�。”浙江大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院副教授��、杭州市人工智能學(xué)會副理事長金小剛接受《每日經(jīng)濟(jì)新聞》記者采訪時(shí)說:“我們使用大模型的方式是跟它對話�����,收集數(shù)據(jù)是肯定存在的����,這就需要大家最好不去使用信譽(yù)不好的企業(yè)平臺�����。”
中國科學(xué)技術(shù)大學(xué)公共事務(wù)學(xué)院��、網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟在接受《每日經(jīng)濟(jì)新聞》記者采訪時(shí)表示:“當(dāng)前����,對生成式AI的安全關(guān)切是多方面的��,包括意識形態(tài)安全和數(shù)據(jù)安全等�。”
他舉例說,在數(shù)據(jù)安全方面���,生成式AI要依靠數(shù)據(jù)來訓(xùn)練��,但數(shù)據(jù)如果被污染了怎么辦����?此外���,人工智能在訓(xùn)練中有時(shí)要用到個(gè)人信息���,甚至是商業(yè)秘密�,相關(guān)方的權(quán)益該怎么保證���?個(gè)人是不是有信息權(quán)益保護(hù)方面的訴求�����?
意識形態(tài)安全方面����,生成結(jié)果是否符合法律法規(guī)的要求���?這些數(shù)據(jù)的使用是否合法�?這些也是大家密切關(guān)注的���。
談及大模型在數(shù)據(jù)處理�����、分析、生成中可能帶來的數(shù)據(jù)泄露���、濫用等風(fēng)險(xiǎn)���,科技部網(wǎng)絡(luò)空間安全2030計(jì)劃專家組成員����、教育部信息技術(shù)新工科聯(lián)盟網(wǎng)絡(luò)空間安全工委會主任委員�、俄羅斯國家工程院外籍院士胡瑞敏對每經(jīng)記者提到了三大安全隱患:數(shù)據(jù)隱私,包括數(shù)據(jù)泄露�����;模型劫持�����;內(nèi)容的安全以及合規(guī)合法和安全審計(jì)問題����。
“這就要求安全技術(shù)必須跟進(jìn),并且和大模型有機(jī)結(jié)合��。”胡瑞敏說��,據(jù)他了解��,國內(nèi)很多單位已經(jīng)在開展這方面工作。
風(fēng)險(xiǎn):“黑模型”已經(jīng)出現(xiàn)
除了訓(xùn)練�����、使用大模型帶來的安全風(fēng)險(xiǎn)����,不法分子還會利用AI深度偽造行騙。事實(shí)上��,深度偽造技術(shù)早已出現(xiàn)���,最典型的就是AI換臉��。
浙江墾丁律師事務(wù)所聯(lián)合創(chuàng)始人歐陽昆潑在接受《每日經(jīng)濟(jì)新聞》記者采訪時(shí)表示�����,在AI時(shí)代�,深度偽造技術(shù)的濫用使圖片����、視頻的真?zhèn)卧絹碓诫y鑒別。“深度偽造現(xiàn)在已經(jīng)產(chǎn)生了很多刑事案件。”
不僅如此��,現(xiàn)在已經(jīng)出現(xiàn)了“黑模型”——基于一些“黑灰產(chǎn)”數(shù)據(jù)訓(xùn)練出來的大模型�,專門用于詐騙�、竊取隱私、“釣魚”等�����。他舉例說���,以前要做一個(gè)釣魚軟件或者黑客攻擊���,技術(shù)門檻較高,但現(xiàn)在只要輸入指令�����,“黑模型”就可以生成一個(gè)釣魚軟件�,門檻非常低。
中國電信集團(tuán)公司原總經(jīng)理��、全球云網(wǎng)寬帶協(xié)會董事會主席李正茂在大會期間對《每日經(jīng)濟(jì)新聞》記者表示:“我們感到現(xiàn)在對電信網(wǎng)絡(luò)詐騙應(yīng)對起來比較麻煩�����,如果AI技術(shù)被犯罪分子利用,就會變得更加麻煩���。若要依賴第三方幫你甄別�,可能還沒甄別出來就已經(jīng)被騙了�,這是個(gè)大問題,要引起足夠重視���。”
探索:用AI防控�����、治理AI成為安全領(lǐng)域的必選項(xiàng)
每經(jīng)記者注意到�����,多位專家在演講或受訪中都提到安防領(lǐng)域“道高一尺��,魔高一丈”�,那么以AI對抗AI是否是一個(gè)出路��?
對此�,中國工程院院士鄔江興對《每日經(jīng)濟(jì)新聞》記者表示:“同一個(gè)模型����,不能自己檢驗(yàn)自己�,但是可以用別的AI模型來檢驗(yàn)?zāi)愕腁I模型。”
安恒信息董事長范淵在接受《每日經(jīng)濟(jì)新聞》記者采訪時(shí)表示����,隨著AI技術(shù)的發(fā)展���,威脅也愈發(fā)凸顯����。“以AI對AI�����、以AI管AI是數(shù)字治理的必然趨勢�。AI讓網(wǎng)絡(luò)攻擊的門檻更低,更難以防范���。用AI來防控和治理AI����,正在成為安全領(lǐng)域的必選項(xiàng)。”
范淵提到����,現(xiàn)在很多地方開放公共數(shù)據(jù)去訓(xùn)練和支持人工智能產(chǎn)業(yè),但同時(shí)又很擔(dān)心會帶來數(shù)據(jù)和隱私的泄露�。基于機(jī)密計(jì)算的大模型訓(xùn)練與推理�,讓這些問題得以解決。
他還提到�����,在內(nèi)容安全方面���,也有很多大模型的注入�,內(nèi)容的輸入�、輸出安全,都是非常具有挑戰(zhàn)的部分�,數(shù)據(jù)安全、模型安全���、應(yīng)用安全��,這些都是讓人工智能更安全的重要部分���。“一方面是如何及時(shí)發(fā)現(xiàn)與阻斷虛假內(nèi)容���;另一方面是防止侵犯知識產(chǎn)權(quán)、敏感數(shù)據(jù)泄露以及如何防御提示詞的注入�、提示詞的繞過等。”
AI還可以提升安全問題的解決效率�。范淵舉例說,之前600人/天的數(shù)據(jù)分類分級項(xiàng)目�����,結(jié)合AI大模型“恒腦”知識庫��、相關(guān)語義識別能力���、關(guān)聯(lián)推理能力,以及站在業(yè)務(wù)視角的字段理解與注釋�,可以協(xié)助人工快速決策判斷,最后只用20人/天就完成了���,效率提升30倍�。
范淵坦言�,也有很多頑疾始終沒有解決���。“產(chǎn)品不夠、服務(wù)來湊�,海量告警數(shù)據(jù)需要靠海量的人去解決。”
“但是AI為這個(gè)行業(yè)����、為數(shù)字化建設(shè)帶來了巨大變革。”范淵直言�,AI可以把幾百萬個(gè)告警數(shù)量減少到幾萬個(gè),從幾萬個(gè)當(dāng)中智能甄別哪些不構(gòu)成威脅或不需要處理��,解決了誤報(bào)�、待優(yōu)化的內(nèi)容,以及分辨可防御的��、已經(jīng)防御完成的告警�,最后只留下少量告警需要人工研判,這是人力可處理的��。
不過���,在金小剛看來�,AI永遠(yuǎn)是工具���,最終起作用的還是人��。“在安全問題上我永遠(yuǎn)主張創(chuàng)新才是真正解決問題的方法�����。”
應(yīng)對:多維度�、多種AI系統(tǒng)交叉印證
對于AI帶來的安全風(fēng)險(xiǎn),我們?nèi)绾螒?yīng)對���?
鄔江興對每經(jīng)記者表示���,AI目前在科學(xué)上具有不可解釋性�,我們沒辦法對它的數(shù)學(xué)、物理性質(zhì)作出解釋���,這是它基本原理上的缺陷�����,所以很多人想利用這種缺陷進(jìn)行不法行為����。
“我們現(xiàn)在有個(gè)解決辦法,就是通過基于內(nèi)生安全的AI應(yīng)用系統(tǒng)來解決���。”鄔江興說����,這種AI應(yīng)用系統(tǒng)是多維度����、多種AI系統(tǒng)的交叉印證,不法分子在某個(gè)AI系統(tǒng)上做了手腳�,在交叉印證中就會被發(fā)現(xiàn)。
“任何人在某一個(gè)模型�、某一個(gè)數(shù)據(jù)上做手腳是沒用的,它可能對A模型有用����,但對B模型沒用,所以我們用交叉印證來驗(yàn)證�����。”鄔江興說�����,就像盲人摸象一樣,一個(gè)人摸����,可能認(rèn)為象是圓柱體,但是多角度結(jié)合起來看才知道象是什么樣子�。局部的問題我們看不清楚,如果是多個(gè)維度看就能看清問題了����。
鄔江興演講 圖片來源:每經(jīng)記者 張蕊 攝
對于不法分子借助AI工具詐騙的行為,鄔江興表示�����,AI的特異性決定了不法分子可以用某一個(gè)模型詐騙��,但放在另外的模型下可能就不管用�����,就像如果不法分子進(jìn)行黑客攻擊�����,他可以攻擊一個(gè)模型�����,但不能同時(shí)攻擊多個(gè)模型�����。“所以我們要用多樣性印證��。”
鄔江興反復(fù)強(qiáng)調(diào)在應(yīng)用中盡量避免使用單一模型����,單一模型如果是在“一本正經(jīng)地胡說八道”,使用者是不能判斷的��,但是如果其他模型也是這樣的結(jié)果����,使用者就可以大致有個(gè)判斷。
“我們不能機(jī)會主義地去用那些不安全的AI系統(tǒng)����,但也不能理想主義地去用絕對安全的AI系統(tǒng),因?yàn)椴豢赡芙^對安全����。”鄔江興說��,這中間怎么權(quán)衡�����?就是要用多樣性來保證��。使用幾種典型的模型�����,相互之間進(jìn)行印證��。
對于AI��,尤其是深度偽造帶來的安全風(fēng)險(xiǎn)����,胡瑞敏認(rèn)為���,首先要對智能技術(shù)應(yīng)用做一定約束�����,要實(shí)現(xiàn)可信的智能����,對模型的安全等都要進(jìn)行有效監(jiān)管���;其次���,要提升深度偽造的檢測技術(shù),應(yīng)該有全局布局���,確保深度偽造的風(fēng)險(xiǎn)可控����。
這些鑒別技術(shù)普通人是否易得�����?胡瑞敏表示��,我們有很多深度偽造的鑒別技術(shù)�����,很容易做成工具為大眾所使用。“當(dāng)然���,由于智能技術(shù)發(fā)展非?�??�,也越來越成熟����,這也給鑒別技術(shù)提出了新的要求��。”
