導讀：當我們一直在討論AI能給互聯網安全帶來什麽影響的時候，可能一直都忽略了一個問題： AI本身也不安全。

　　這兩天的新聞恰如其分地提醒了我們這一點。近日，穀歌被曝其機器學習框架TensorFlow中存在的嚴重安全風險，可被黑客用來製造安全威脅，穀歌方麵已經確認了該漏洞並做出了整改回應。

　　雖然是提前發現，這些漏洞本身沒有帶來實質威脅，但這條消息還是讓一些人感到了不安。TensorFlow、Torch、Caffe這些機器學習開發框架，差不多是如今AI開發者與研究者的標準配置，但這些平台最近卻紛紛被曝光存在安全漏洞和被黑客利用的可能性。



　　某種意義上來說，這些消息在提醒我們同一個問題： 當我們急切的將資金與用戶關係聚集在機器學習上時，也可能是將巨大的安全性問題捆綁在了身上。

　　更重要的是，麵臨AI安全問題，我們中的大部分人還處在很傻很天真的“懵懂狀態”，對它的邏輯和危害性近乎一無所知。

　　本文希望科普一下這些內容，畢竟防患於未然。另外必須提醒開發者和企業的是，在穀歌這些大公司不遺餘力地推廣自家機器學習平台，並且為了吸引使用者而快速迭代、大量發布免費資源時，開發者本身一定要留個心眼，不能不假思索地使用。

　　比起心血毀於一旦，更多的審查機製和更嚴密的安全服務是非常值得的。

　　盲點中的魔鬼：機器學習框架的安全隱患

　　說機器學習平台的漏洞，有可能讓開發者的心血付諸東流，這絕不是開玩笑。在今年上半年的勒索病毒事件裏，我們已經見識過了如今的黑客攻擊有多麽恐怖，而勒索病毒本身就是利用了Windows中的漏洞，進行針對式攻擊鎖死終端。



　　可以說，在勒索病毒的洗禮之後，信息產業已經進入了“漏洞霸權時代”。隻要擁有了更多漏洞，就擁有了大範圍的控製權與支配權。隨著黑客攻擊的工具化和門檻降低，能力一般的攻擊者也可以利用平台漏洞發動廣泛攻擊。

　　但在我們愈發重視“漏洞產業”帶給今天世界的安全隱患時，卻不自主地產生了一個視線盲區，那就是人工智能。

　　當下大部分AI開發任務的基本流程是這樣的：一般來說，一個開發者想要從頭開始開發深度學習應用或者係統，是一件極其麻煩且幾乎不可能的事。所以開發者會選擇利用主流的開發框架。比如這次被曝出安全隱患的穀歌TensorFlow。

　　利用這類平台，開發者可以用平台提供的AI能力，結合開源的算法與模型，訓練自己的AI應用。這樣速度快效率高，也可以吸收最先進的技術能力。這種“不能讓造車者從開發輪子做起”的邏輯當然是對的，但問題是，假如輪子裏麵本身就有問題呢?

　　由於大量開發者集中利用機器學習框架訓練AI是近兩年的事情，此前也沒有曝出過類似平台存在安全問題，所以這個領域的安全因素一直沒有被重視過，可能大部分AI開發者從來都沒有想過會存在安全問題。

　　但這次被發現的漏洞卻表明：利用TensorFlow本身的係統漏洞，黑客可以很容易地製造惡意模型，從而控製、篡改使用惡意文件的AI應用。

　　由於一個投入使用的深度學習應用往往需要複雜的訓練過程，所以惡意模型的攻擊點很難短時間被察覺。但由於智能體內部的邏輯關聯性，一個點被黑客攻擊很可能將會全盤受控。這種情況下造成的安全隱患，顯然比互聯網時代的黑客攻擊更加嚴重。

　　理解了這些，我們可能會達成一個並不美好的共識： 我們一直在擔心的AI失控，可能根本不是因為AI太聰明想奪權，而是居心不良的黑客發動的。

　　AI“失控”：一個今天不得不麵對的問題

　　相比於經典計算的信息存儲與交互模式，人工智能，尤其是機器學習類任務，最大的改變之一就是展現出了信息處理的整體性和聚合性。比如著名AlphaGo，它不是對每種棋路給出固定的應對模式，而是對棋局進行預判和自我推理。它的智慧不是若幹信息組成的集合，而是一個完整的“能力”。

　　這是AI的優點，但很可能也是AI的弱點。試想，假如AlphaGo中的某個訓練模型被黑客攻擊了，比如讓係統吃掉對方棋子時偏偏就不打。那麽最終展現出的將不是某個棋招運算失當，而是幹脆一盤棋也贏不了。

　　說白了，AI注定是一個牽一發動全身的東西，所以平台漏洞帶來的安全風險才格外可怕。



　　AlphaGo畢竟還隻是封閉的係統，即使被攻擊了大不了也就是下棋不贏。但越來越多的AI開始被訓練出來處理真實的任務，甚至是極其關鍵的任務。那麽一旦在平台層麵被攻克，將帶來無法估計的危險。

　　比如說自動駕駛汽車的判斷力集體失靈、IoT體係被黑客控製、金融服務中的AI突然癱瘓、企業級服務的AI係統崩潰等等情況，都是不出現還好，一旦出現就要搞個大事情。

　　由於AI係統緊密而複雜的連接關係，很多關鍵應用將從屬於後端的AI體係，而這個體係又依賴平台提供的訓練模型。那麽 一旦最後端的平台失守，必然引發規模化、連鎖式的崩盤——這或許才是我們今天最應該擔心的AI失控。

　　AI產業的風險，在於某個黑客一旦攻克了機器學習平台的底層漏洞，就相當於把整個大廈的最下一層給炸掉。這個邏輯此前很少被人關注，卻已經被證明了其可能存在。而最可怕的是，麵對更多未知的漏洞和危險，世界範圍內的AI開發者近乎是束手無策的。

　　家與國：無法逃避的AI戰略角力

　　在認識到AI開發平台可能出現的底層問題，以及其嚴重的危害性之後，我們可能會聯想到國家層麵的AI安全與戰略角力。

　　今年7月，哈佛大學肯尼迪政治學院貝爾弗科學與國際事務中心發布的《人工智能與國家安全》報告裏，就專門指出AI很可能在接下來一段時間內，對多數國民產業帶來革命性的影響，成為產業中的關鍵應用。那麽一旦AI安全受到威脅，整個美國經濟將受到重大打擊。

　　同樣的道理，當然也適用於今天與美國抗衡的AI大國——中國。這次TensorFlow安全漏洞曝光後，我們聯係了一家國內機器視覺方向的創業公司，他們所使用的訓練模型全部來自於TensorFlow中的社區分享。溝通之後的結論是，如果真受到黑客惡意模型的襲擊，他們的產品將瞬間癱瘓。

　　這僅僅是一家創業公司， 據了解國內使用TensorFlow進行訓練的還包括京東、小米、中興等大型企業，以及不少科研院所的研發項目。 未來，很有可能還有更多更重要的中國AI項目在這個平台上進行訓練部署。當這些東西暴露在黑客攻擊的麵前，甚至控製權掌握在別國手中，我們真的可以放心這樣的AI發展之路嗎?

　　這也絕不是杞人憂天。勒索病毒爆發之後，追根溯源就會發現，這些黑客工具的源頭來自美國情報係統研發的網絡攻擊武器。武器這種東西，製造出來就是為了殺傷的，無論是製造者使用，還是被盜後流出，最終吃虧的隻能是沒有防範的那群人。

　　各種可能性之下，AI安全問題在今天已經絕不是兒戲。而中國產業至少能做兩件事： 一是組建專業的AI防護產業，將互聯網安全升級為AI安全;二是必須逐步降低對國外互聯網公司框架平台的依賴度，這裏當然不是民粹主義的閉關鎖國，而是應該給開發者更多選擇，讓整個產業自然而然地向國家AI安全戰略靠攏。

　　總之，AI本身的安全防護，已經成為了開發者必須在意、大平台需要承擔責任、國家競爭需要爭搶的一個環節。希望永遠都不要看到AI失控事件，畢竟吃一塹長一智的事情在互聯網曆史上已經發生太多了。