相较于AlphaGo Zero自我进化对人类的威胁,当下AI技术所存在的安全漏洞则更为触目惊心。
陌生人就能换脸攻破门禁系统闯入公司,一段合成的语音竟能对声纹识别系统实现“诱骗袭击”,3D打印机模仿真人笔迹写下的欠条难分真假,就连刚刚上市的iPhone 8操作系统也被破解,黑客可以完全控制手机,盗取用户手机内的照片。
这些场景都真实的发生在GeekPwn2017国际安全极客大赛上。GeekPwn是主要关注智能生活的安全极客(黑客)赛事,这些“白帽子”不会恶意利用计算机系统或网络系统中安全漏洞,而是通过提示和公布等方式,促进漏洞的修补。
当智能无处不在无时不在,包括人工智能、物联网智能设备、基础设施安全系统问题也逐渐暴露,不同于传统IT安全攻防技术,AI时代的安全对抗已经从单纯的信息技术的比拼,上升到人工智能算法的较量。
行走的活体密码
在中国“刷脸”已经成为一件日常事务,从移动支付、解锁手机,到公司、学校、小区门禁,甚至到火车站乘车、公园领取厕纸都运用到了人脸识别技术,光环之下人脸识别的安全风险也频频遭到质疑。
在活动现场,毕业于浙江大学计算机专业的90后女黑客“tyy”仅仅两分半的时间,就利用设备漏洞,直接修改设备中的人脸信息,实现用任意人脸来“蒙骗”人脸识别系统,打开门禁。
“这个关于人脸识别的安全挑战,并不是针对AI技术层面的攻击,而是按照传统的方法控制设备,对设备进行攻击。”在赛后采访中tyy告诉第一财经。简单而言,所有的门禁设备都会连接网络,黑客只需要连入同一个网络,并入侵到门禁系统将用户的脸替换为自己的脸,就可以刷脸打开门禁。
如果这只是对设备和人脸识别的攻击,那么无需攻击设备,包括虹膜、声纹、指纹在内的不同生物特征识别技术同样面临风险。
在比赛现场来自百度安全实验室X-Lab的选手高树鹏针对生物密码进行攻击,通过复制测试者的生物密码信息解锁测试者的手机,而这一列举动并不需要对测试者的手机发起攻击。
在现场,选手选用了两款主流品牌的手机,其中一台测试指纹,另一台测试指纹+虹膜+人脸识别,选手通过让测试者使用伪装的接线板采集了指纹信息,通过让测试者戴上特制的VR眼镜采集了虹膜信息,通过测试者一张清晰的自拍照采集了人脸信息。最终除了指纹识别没有在规定时间25分钟内攻破外,虹膜和人脸识别都被破解。
高树鹏表示,生物识别其实并没有那么安全,因为生物信息是不可更换的。“只要复制下来就成功了一大半,剩下的就是把复制下来的信息重新制作出来,包括大家见得最少、公认安全性最高的静脉,其实也可以被攻破。”
这种化繁为简的身份验证方式所带来的潜在风险甚至比传统的密码技术更为严重。
“因为生物特征有一个特点就是不可逆,指纹一旦交出去,指纹没法改。”乐视云计算安全中心总经理、IDF 极安客实验室、益云社会创新中心联合创始人万涛告诉第一财经,这也意味着生物识别技术资料一旦泄露无可挽回。
AI伪造真人字迹以假乱真
除此之外AI还可以模仿人类笔迹,达到以假乱真的地步。来自中国金融认证中心选手使用AI机械臂成功复制中国科幻作家陈楸帆提供笔迹学习样本,写下一张真假难分的“欠条”。
事实上,由于个人书写习惯等因素影响,AI机械臂在学习过程中,需要学习和模仿字迹特有的笔触、线条宽度、书写习惯、字体倾斜程度等,才能成功复制人的书写笔迹。
据选手介绍,这种技术称之为GAN(生成对抗网络),会提前输入真的书写数据,让AI进行学习,随后利用生成算法来模拟生成一部分假数据,再把两个数据交由判别算法进行辨别,这个机器裁判就像人类笔迹鉴定专家,直到机器裁判都判断不出真假时训练才停止。
今年2月份,OpenAI 在发表的最新研究中就曾指出AI安全领域的另一大隐忧对抗样本。在图像识别问题中,攻击者将对抗样本输入机器学习模型,让机器在视觉上产生幻觉,从而让系统产生误判。
笔迹在日常生活中广为使用,一旦不法分子可以成功将其仿造,将可能导致盗刷银行卡、签署文件造假等一系列的安全问题。
机器人是否会学坏?
人工智能既然可以模仿人类笔迹,学习人类的行为,是否同样会自我学习做坏手段。
“我们将人工智能安全分为两部分,今天更多展示的是把人工智能技术手段放在安全场景里引起破坏的情况,用AI的技术去搞破坏,本质上仍是人在做坏。而真正的难点在于,AI仍旧是一个婴儿,成长过程中是否会自己学坏,说脏话、干坏事。“针对第一财经的提问,KEEN公司CEO、GeekPwn大赛发起和创办人王琦如此答复,这也成为下个月美国GeekPwn大赛关注的焦点。
事实上由于机器人自身程序运行异常而制造的混乱在全球范围内不断出现。
2016年俄罗斯彼尔姆市一个智能销售机器人跑出了实验室并跑到马路上,后来澄清是由于工程师外出工作忘记关闭院子里的大门所致。同年7月份,美国硅谷斯坦福购物中心一个安保机器人击打了只有16个月大的小孩的头部,导致小孩扑倒在地。
根据美国食品药品监督管理局统计,2000年到2013年间手术机器人相关死亡事件至少144起,超过1000个造成了伤害案例,其中包括脱落的零件调入患者体内,电火花引起的组织烧伤以及系统故障导致的手术时间过长等。
在王琦看来,人工智能领域的安全很难,原因在于机器进行深度学习的时候,运行过程就像一个“黑匣子”,人类无法论证它是怎么成功的,也反推不过来它是怎么失败的。“如果有一天他被干扰了,修复起来会很困难,不会像今天这样把漏洞修补就可以了。”这也意味着人工智能时代必须安全先行。