相較于AlphaGo Zero自我進(jìn)化對(duì)人類的威脅,當(dāng)下AI技術(shù)所存在的安全漏洞則更為觸目驚心。
陌生人就能換臉攻破門禁系統(tǒng)闖入公司,一段合成的語(yǔ)音竟能對(duì)聲紋識(shí)別系統(tǒng)實(shí)現(xiàn)“誘騙襲擊”,3D打印機(jī)模仿真人筆跡寫下的欠條難分真假,就連剛剛上市的iPhone 8操作系統(tǒng)也被破解,黑客可以完全控制手機(jī),盜取用戶手機(jī)內(nèi)的照片。
這些場(chǎng)景都真實(shí)的發(fā)生在GeekPwn國(guó)際安全極客大賽上。這些“白帽子”不會(huì)惡意利用計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中安全漏洞,而是通過(guò)提示和公布等方式,促進(jìn)漏洞的修補(bǔ)。
當(dāng)智能無(wú)處不在無(wú)時(shí)不在,包括人工智能、物聯(lián)網(wǎng)智能設(shè)備、基礎(chǔ)設(shè)施安全系統(tǒng)問(wèn)題也逐漸暴露,不同于傳統(tǒng)IT安全攻防技術(shù),AI時(shí)代的安全對(duì)抗已經(jīng)從單純的信息技術(shù)的比拼,上升到人工智能算法的較量。
不到3分鐘破解人臉識(shí)別
在中國(guó)“刷臉”已經(jīng)成為一件日常事務(wù),從移動(dòng)支付、解鎖手機(jī),到公司、學(xué)校、小區(qū)門禁,甚至到火車站乘車、公園領(lǐng)取廁紙都運(yùn)用到了人臉識(shí)別技術(shù),但光環(huán)之下,人臉識(shí)別的安全風(fēng)險(xiǎn)也頻頻遭到質(zhì)疑。
一位畢業(yè)于浙江大學(xué)計(jì)算機(jī)專業(yè)的90后女黑客“tyy”僅僅兩分半的時(shí)間,就利用設(shè)備漏洞,直接修改設(shè)備中的人臉信息,實(shí)現(xiàn)用任意人臉來(lái)“蒙騙”人臉識(shí)別系統(tǒng),打開(kāi)門禁。
“這個(gè)關(guān)于人臉識(shí)別的安全挑戰(zhàn),并不是針對(duì)AI技術(shù)層面的攻擊,而是按照傳統(tǒng)的方法控制設(shè)備,對(duì)設(shè)備進(jìn)行攻擊。”在賽后采訪中,tyy告訴一財(cái)科技。簡(jiǎn)單而言,所有的門禁設(shè)備都會(huì)連接網(wǎng)絡(luò),黑客只需要連入同一個(gè)網(wǎng)絡(luò),并入侵到門禁系統(tǒng)將用戶的臉替換為自己的臉,就可以刷臉打開(kāi)門禁。
如果這只是對(duì)設(shè)備和人臉識(shí)別的攻擊,那么無(wú)需攻擊設(shè)備,包括虹膜、聲紋、指紋在內(nèi)的不同生物特征識(shí)別技術(shù)同樣面臨風(fēng)險(xiǎn)。
來(lái)自百度安全實(shí)驗(yàn)室X-Lab的選手高樹(shù)鵬現(xiàn)場(chǎng)針對(duì)生物密碼進(jìn)行攻擊,通過(guò)復(fù)制測(cè)試者的生物密碼信息解鎖測(cè)試者的手機(jī),而這一列舉動(dòng)并不需要對(duì)測(cè)試者的手機(jī)發(fā)起攻擊。
在現(xiàn)場(chǎng),選手選用了兩款主流品牌的手機(jī),其中一臺(tái)測(cè)試指紋,另一臺(tái)測(cè)試指紋+虹膜+人臉識(shí)別,選手通過(guò)讓測(cè)試者使用偽裝的接線板采集了指紋信息,通過(guò)讓測(cè)試者戴上特制的VR眼鏡采集了虹膜信息,通過(guò)測(cè)試者一張清晰的自拍照采集了人臉信息。最終除了指紋識(shí)別沒(méi)有在規(guī)定時(shí)間25分鐘內(nèi)攻破外,虹膜和人臉識(shí)別都被破解。
高樹(shù)鵬表示,生物識(shí)別其實(shí)并沒(méi)有那么安全,因?yàn)樯镄畔⑹遣豢筛鼡Q的。“只要復(fù)制下來(lái)就成功了一大半,剩下的就是把復(fù)制下來(lái)的信息重新制作出來(lái),包括大家見(jiàn)得最少、公認(rèn)安全性最高的靜脈,其實(shí)也可以被攻破。”
這種化繁為簡(jiǎn)的身份驗(yàn)證方式所帶來(lái)的潛在風(fēng)險(xiǎn)甚至比傳統(tǒng)的密碼技術(shù)更為嚴(yán)重。
“生物特征有一個(gè)特點(diǎn)就是不可逆,指紋一旦交出去,指紋沒(méi)法改。”樂(lè)視云計(jì)算安全中心總經(jīng)理萬(wàn)濤告訴第一財(cái)經(jīng),這也意味著生物識(shí)別技術(shù)資料一旦泄露無(wú)可挽回。
而來(lái)自長(zhǎng)亭科技團(tuán)隊(duì)的安全研究員 “slipper@0ops”,則現(xiàn)場(chǎng)演示iPhone 8的破解操作。
在20分鐘內(nèi),他通過(guò)利用iPhone8手機(jī)最新系統(tǒng)漏洞,獲得手機(jī)的最高權(quán)限,實(shí)現(xiàn)了針對(duì)iPhone 8 的遠(yuǎn)程越獄破解,在獲取手機(jī)中照片的同時(shí),成功獲得主持人在現(xiàn)場(chǎng)寫下的密碼。
據(jù)稱,這一漏洞將會(huì)影響從iPhone6到iPhone8甚至更早期型號(hào)的iPhone用戶。“slipper@0ops表示,希望能進(jìn)一步研究攻破機(jī)制,再將漏洞提供給蘋果公司,也同時(shí)承諾“不會(huì)利用它做壞事”。
AI偽造真人字跡以假亂真
AI還可以模仿人類筆跡,達(dá)到以假亂真的地步。
來(lái)自中國(guó)金融認(rèn)證中心選手使用AI機(jī)械臂成功復(fù)制中國(guó)科幻作家陳楸帆提供筆跡學(xué)習(xí)樣本,寫下一張真假難分的“欠條”。
事實(shí)上,由于個(gè)人書(shū)寫習(xí)慣等因素影響,AI機(jī)械臂在學(xué)習(xí)過(guò)程中,需要學(xué)習(xí)和模仿字跡特有的筆觸、線條寬度、書(shū)寫習(xí)慣、字體傾斜程度等,才能成功復(fù)制人的書(shū)寫筆跡。
據(jù)選手介紹,這種技術(shù)稱之為GAN(生成對(duì)抗網(wǎng)絡(luò)),會(huì)提前輸入真的書(shū)寫數(shù)據(jù),讓AI進(jìn)行學(xué)習(xí),隨后利用生成算法來(lái)模擬生成一部分假數(shù)據(jù),再把兩個(gè)數(shù)據(jù)交由判別算法進(jìn)行辨別,這個(gè)機(jī)器裁判就像人類筆跡鑒定專家,直到機(jī)器裁判都判斷不出真假時(shí)訓(xùn)練才停止。
今年2月份,OpenAI 在發(fā)表的最新研究中就曾指出AI安全領(lǐng)域的另一大隱憂對(duì)抗樣本。在圖像識(shí)別問(wèn)題中,攻擊者將對(duì)抗樣本輸入機(jī)器學(xué)習(xí)模型,讓機(jī)器在視覺(jué)上產(chǎn)生幻覺(jué),從而讓系統(tǒng)產(chǎn)生誤判。
筆跡在日常生活中廣為使用,一旦不法分子可以成功將其仿造,將可能導(dǎo)致盜刷銀行卡、簽署文件造假等一系列的安全問(wèn)題。
機(jī)器人是否會(huì)學(xué)壞?
人工智能既然可以模仿人類筆跡,學(xué)習(xí)人類的行為,是否同樣會(huì)自我學(xué)習(xí)做壞手段?
“我們將人工智能安全分為兩部分,今天更多展示的是把人工智能技術(shù)手段放在安全場(chǎng)景里引起破壞的情況,用AI的技術(shù)去搞破壞,本質(zhì)上仍是人在做壞。而真正的難點(diǎn)在于,AI仍舊是一個(gè)嬰兒,成長(zhǎng)過(guò)程中是否會(huì)自己學(xué)壞,說(shuō)臟話、干壞事。“針對(duì)一財(cái)科技的提問(wèn),KEEN公司CEO、GeekPwn發(fā)起者王琦如此答復(fù),這也成為下個(gè)月美國(guó)GeekPwn大賽關(guān)注的焦點(diǎn)。
事實(shí)上由于機(jī)器人自身程序運(yùn)行異常而制造的混亂在全球范圍內(nèi)不斷出現(xiàn)。
2016年,俄羅斯彼爾姆市一個(gè)智能銷售機(jī)器人跑出了實(shí)驗(yàn)室并跑到馬路上,后來(lái)澄清是由于工程師外出工作忘記關(guān)閉院子里的大門所致。同年7月份,美國(guó)硅谷斯坦福購(gòu)物中心一個(gè)安保機(jī)器人擊打了只有16個(gè)月大的小孩的頭部,導(dǎo)致小孩撲倒在地。
根據(jù)美國(guó)食品藥品監(jiān)督管理局統(tǒng)計(jì),2000年到2013年間手術(shù)機(jī)器人相關(guān)死亡事件至少144起,超過(guò)1000個(gè)造成了傷害案例,其中包括脫落的零件調(diào)入患者體內(nèi),電火花引起的組織燒傷以及系統(tǒng)故障導(dǎo)致的手術(shù)時(shí)間過(guò)長(zhǎng)等。
在王琦看來(lái),人工智能領(lǐng)域的安全之所以有難度,原因在于機(jī)器進(jìn)行深度學(xué)習(xí)的時(shí)候,運(yùn)行過(guò)程就像一個(gè)“黑匣子”,人類無(wú)法論證它是怎么成功的,也反推不過(guò)來(lái)它是怎么失敗的。
“如果有一天他被干擾了,修復(fù)起來(lái)會(huì)很困難,不會(huì)像今天這樣把漏洞修補(bǔ)就可以了。”這也意味著人工智能時(shí)代必須安全先行。
