中新網(wǎng)8月26日電 自人臉識別設備進(jìn)入民用市場(chǎng)以來(lái)，就一直備受爭議——它安全嗎？這個(gè)答案在一場(chǎng)大會(huì )中得到解釋。“我們最終可以在一些人臉識別設備中實(shí)現任意人員都能通過(guò)驗證的效果。”360 AI安全研究院研究員劉昭在ISC 2020大會(huì )上講到。

　　據了解，360 AI安全研究院隸屬于360未來(lái)安全研究院，一直專(zhuān)注于人工智能與安全的前沿技術(shù)研究，涉及AI基礎設施安全、AI算法安全、AI數據安全等方向的研究工作。在A(yíng)I基礎設施安全方面，目前已累計發(fā)現100多個(gè)人工智能基礎軟硬件漏洞。

　　此外，360AI安全研究院曾聯(lián)合清華、西安交大的研究人員發(fā)現AI應用中圖像縮放模塊存在的漏洞，提出了一種新型的數據流降維攻擊方法，影響了國內外主流的AI云服務(wù)。這一研究成果發(fā)表在信息安全領(lǐng)域頂級國際會(huì )議USENIX Security上。

　　在此次ISC 2020 大會(huì )的人工智能與安全論壇上，劉昭以某款人臉識別設備能讓任意人通過(guò)為例，說(shuō)明不僅AI算法存在漏洞，其所依賴(lài)的關(guān)鍵基礎設施也同樣會(huì )被攻擊，并進(jìn)一步揭露了AI關(guān)鍵基礎設施存在的安全風(fēng)險。

　　白帽黑客“騙過(guò)”人臉識別設備

　　2017年底，工業(yè)和信息化部發(fā)布的《促進(jìn)新一代人工智能產(chǎn)業(yè)發(fā)展三年行動(dòng)計劃(2018-2020年)》中提出，2020年，復雜動(dòng)態(tài)場(chǎng)景下人臉識別有效檢出率超過(guò)97%，正確識別率超過(guò)90%。

　　也是在這一年，刷臉支付入選《麻省理工科技評論》的全球十大突破性技術(shù)榜單，蘋(píng)果新品iPhoneX發(fā)布的FaceID，更是將人臉識別技術(shù)推向高潮。

　　3年來(lái)，對人臉識別技術(shù)的安全風(fēng)險討論已經(jīng)不計其數。在ISC 2020大會(huì )上，360 AI安全研究院介紹了某款人臉識別設備存在的諸多安全問(wèn)題，比如給終端特定的端口發(fā)送一些后門(mén)指令，終端設備在接收云端數據時(shí)存在棧溢出問(wèn)題，以及在云端服務(wù)器部分存在未授權訪(fǎng)問(wèn)、目錄穿越等風(fēng)險。

　　正是通過(guò)攻擊上述漏洞，最終可以在某人臉識別設備中實(shí)現任意人員都能通過(guò)驗證的效果。

　　值得關(guān)注的是，這種攻擊不是針對AI算法的攻擊，而是對AI算法所依賴(lài)的基礎設施進(jìn)行的攻擊。“針對基礎設施攻擊，最終可能會(huì )更快達到攻擊效果。”劉昭在演講中表示，大多數研究人員偏向于對算法安全的研究，比如對抗樣本攻擊、后門(mén)攻擊等。雖然AI基礎設施安全風(fēng)險巨大，其嚴重性卻容易被忽視。

　　這正是劉昭在ISC 2020 大會(huì )上演講的主題——AI關(guān)鍵基礎設施安全風(fēng)險。據介紹，AI基礎設施主要分為三個(gè)關(guān)鍵部分：首先是深度學(xué)習框架，包含框架自身代碼實(shí)現、第三方圖象處理庫、算子庫等；其次是硬件相關(guān)，包含GPU驅動(dòng)、芯片安全等；最后是云平臺，包含虛擬化、web平臺等。

　　AI關(guān)鍵基礎設施面臨三重風(fēng)險

　　據介紹，AI關(guān)鍵基礎設施的三個(gè)層面都面臨一定安全風(fēng)險。

　　針對深度學(xué)習框架安全風(fēng)險。劉昭解釋稱(chēng)，深度學(xué)習框架主要可以劃分為云端學(xué)習框架和終端學(xué)習框架。云端框架安全風(fēng)險主要來(lái)自于自身代碼的實(shí)現以及第三方的依賴(lài)庫問(wèn)題；終端框架安全風(fēng)險主要存在于模型網(wǎng)絡(luò )參數、模型網(wǎng)絡(luò )結構，以及模型轉換過(guò)程。據了解，360 AI安全研究院已經(jīng)在多個(gè)深度學(xué)習框架及其依賴(lài)組件中發(fā)現了100多個(gè)漏洞，如OpenCV，hdf5，numpy等。

　　針對硬件相關(guān)的安全風(fēng)險。據英偉達官網(wǎng)統計，截至今年7月，關(guān)于GPU驅動(dòng)漏洞的數目達到數百個(gè)；芯片漏洞以幽靈、熔斷為例，幽靈漏洞可以造成泄露敏感數據、執行特定代碼，熔斷漏洞導致用戶(hù)態(tài)獲取特權內存的數據，這些漏洞影響了Intel、部分ARM的處理器。

　　針對云平臺的安全風(fēng)險。360 AI安全研究院表示，用于深度學(xué)習任務(wù)的節點(diǎn)性能強大，因此總會(huì )有一些攻擊者想要非法使用這些資源進(jìn)行挖礦。比如，今年6月，微軟通報部分Kubeflow存在未授權訪(fǎng)問(wèn)的問(wèn)題，導致大量設備被非法挖礦。攻擊者可以未授權訪(fǎng)問(wèn)Kubeflow的控制面板，通過(guò)各種方法部署帶有挖礦程序的容器。

　　隨著(zhù)AI技術(shù)的不斷發(fā)展，AI系統存在的漏洞風(fēng)險給安全行業(yè)帶來(lái)巨大挑戰，其中AI關(guān)鍵基礎設施存在容易被忽視的安全問(wèn)題，但同時(shí)，AI系統的安全問(wèn)題也給安全行業(yè)帶來(lái)機會(huì )。

　　“只有在確保AI系統的安全，才有可能放心享受AI的便利，那么保證系統中AI關(guān)鍵基礎設施的安全至關(guān)重要。”360 AI安全研究院表示，AI關(guān)鍵基礎設施的安全問(wèn)題可以通過(guò)權限控制、訪(fǎng)問(wèn)隔離、參數過(guò)濾等措施進(jìn)行緩解，針對AI關(guān)鍵基礎設施的安全問(wèn)題，需要建立多維度、一體化風(fēng)險評估方法以及對應防御措施。

　　未來(lái)，360 AI安全研究院將聚集國內外頂尖人工智能安全創(chuàng )新要素，研究人工智能系統各個(gè)環(huán)節安全問(wèn)題，突破人工智能安全攻防重大關(guān)鍵共性技術(shù)，構建自動(dòng)化安全風(fēng)險評測平臺，從而占領(lǐng)人工智能安全技術(shù)高地，形成國際領(lǐng)先的的人工智能安全評估和管控能力。