AI春潮涌动 安全时不我待

AI春潮涌动 安全时不我待优质

面对一个人脸识别系统的门禁,一位网络安全高手利用门禁的三个系统漏洞,成功完成了三次攻击,让门禁失效,但这位选手最后只拿到了2万元奖金,每个漏洞才值6000多元。在日前举行的2018中国互联网大会人工智能移动安全高峰论坛上,KEEN CEO、极棒黑客大赛创始人王琦讲到这件事时以遗憾的语气说,一方面表明企业的产品漏洞太不值钱了,另一方面,则说明一些看起来很高大上的人脸识别其实不堪一击。事实上,人工智能(AI)作为一项高赋能技术,其广泛应用正在逐渐成为趋势。不过,透过上面的例子不难看出,在各行各业拥抱人工智能的同时,移动安全领域所面临的新挑战也不容忽视。AI增加了IoT的传统风险对于近年AI的火热,北京大学操作系统实验室的郭耀教授感受颇深。他说,今年招生的时候,有家长问北大有做人工智能的吗?我说都在做,做理论的老师在做人工智能理论,做算法的老师在做人工智能的算法,做系统的老师在做人工智能的系统,做软件的老师在做人工智能的软件开发,做硬件的老师在做智能硬件、智能芯片。“可以说全民都在做AI。”他说。事实上,移动终端类型的多样化,5G即将大规模商用,再加上AI技术的应用,使得人们对AIoT时代充满了期待。由于中国有多个大小不同的移动应用市场,因此移动领域的生态比国外更为复杂一些。泰尔实验室专家、移动安全联盟秘书长杨正军分析认为,AIoT的威胁主要来自三个方面:第一,AI会放大IoT终端面临的传统安全风险。例如在硬件层面,主流芯片公司的产品一旦发现漏洞,将对硬件层面造成巨大的威胁。第二是系统安全,安卓和Linux是主流操作系统,漏洞难以避免,如果修复不及时,就会产生很大问题。第三是网络的安全性比较弱,AI增加了IoT面临的传统风险。据杨正军介绍,今年4月,泰尔终端实验室挑选了600个终端,包括手机等设备,针对300个典型漏洞进行测试,基本结论是每个终端有36个漏洞,最多的设备有158个漏洞,漏洞平均存在的时间是274天,他认为这还是比较可怕的。如果看每个月的漏洞统计情况,IoT设备的安全问题就太多了,360去年发现IoT存在僵尸网络漏洞的设备,有路由器、汽车、手表等。今年初,泰尔终端实验室联合百度对电视做了专门分析,发现所谓的AI主要体现在语音方面,但有好几家厂家的电视语音模块是可以被控制的。杨正军表示,AI在IoT终端上的应用存在安全盲点,重要原因在于目前行业主要关注的是算法功能实现、前景展望等。“客观地讲,前面专家说要注意自己软件的漏洞,实际上对于一个创业公司来讲,首先活下来是第一步。很多互联网公司,即使他们做AI和大数据分析,但活下来是第一步,安全则是一个成本环节。”他说。值得注意的是,隐私与数据安全问题在AIoT设备中凸显。究其原因,杨正军认为,因为AI的基础是海量的数据,基于海量的数据做分析,甚至利用个性化的信息、个人信息来提供定制化服务。有一个做短视频社交的公司,通过收集使用者的照片进行数据分析,如果A的照片库里面有一个人C,B的照片库里面假如也有C,说明A和B两个可能是有关系的,这家公司就会把A的短视频推送给B,因为他们有共同的好友C。同样,对于更敏感的短信内容,如果发现两条短信内容是有关联的,也会做定制化的推送。“这是很可怕的,也许不需要AI都可以做到。AI应用不断创新,会威胁到个人信息的安全。另外,利用大数据技术进行挖掘分析和保护个人隐私之间确实存在天然的矛盾。”杨正军说。让人工智能为安全所用的确,大多数产业都存在类似的情况,即在做技术推进的时候,很少有人考虑安全问题。百度首席安全科学家韦韬表示,现在AI在各个领域推进的速度超乎想象,在一些典型应用场景中,存在极其严峻的安全和隐私现实威胁,安全问题可能会延缓AI的应用。众所周知,智能音箱和智能家居设备一旦出现安全问题,使用者的隐私就直接面临非常严重的泄漏,其破坏能力超出了前两年的手机。“它们埋伏在你的周围,你想逃都逃不掉,手机的麦克是近场的,而智能音箱则是远场的。”他说。小米科技首席安全官陈洋则比较释然,他说:“完全没有必要去恐惧AI带来的安全问题,因为安全永远是一个不断攻防的过程,问题暴露了,就去解决问题,自然也就安全了。”长虹信息安全灯塔实验室首席科学家唐博与陈洋的观点基本一致,他认为,AI不仅提高了产品效率,而且也改善了用户使用体验,同时带来一些安全问题也是正常的。在他看来,AI与安全存在三个发展阶段:第一个阶段是用AI的方法解决一些安全问题,可以用AI的方法识别攻击,可以通过大数据分析,分析流量和终端的一些行为,来识别一些异常流量或者一些攻击行为。第二个阶段就是用安全来保护人工智能,在人工智能的模型被偷时,可以通过安全来加以保护。第三个阶段就是在人工智能的安全或智能设备的安全达到一定程度的时候,AI会有更大的发展,到时候可能会出现跨界甚至跨平台的更广泛的AI应用。泰尔终端实验室的马鑫认为,AI是一把双刃剑,他说:“AI它是一个大系统,是一个负能量很大的技术,同时它需要很大的系统,软件越复杂,它的安全点越需要关注。要考虑AI应用的场景,应用场景比较简单的,它的安全性比较容易满足或得到保障;在AI应用比较复杂的情况下,更需要安全性的保障和研究。”唐博认为,在IoT时代,会有新的芯片和操作系统出现,这对中国企业来说是一个机会,对中国智能家居包括物联网的发展,都会是一个机会。要统一标准加强评测体系建设杨正军认为,当前在AIoT的发展中,政策标准比较杂乱,“比如智能锁,听说有五六个标准都在做,这会让企业崩溃的。”他解释说,“每个制定标准的企业可能会找到一个小的市场,但是行业里面的企业会比较麻烦,觉得找不到方向。”他同时建议,要建立物联网的安全检测体系,促进法律法规的落实,现在这一体系还不是特别明确。针对人工智能移动安全问题,工业和信息化部网络安全管理局副局长杨于燕提出以下四点建议:第一要突破核心技术。核心技术是安全最大的命门,因此要加强技术攻关,提高人工智能产业自主可控的水平。要紧跟最新发展趋势,努力引领人工智能先进技术和颠覆性技术的发展。第二要加强标准的制定,建立并完善基础共性、互联互通、安全隐私、行业应用等技术标准体系,积极探索基于标准开展安全认证。同时,企业要积极参与国际人工智能安全标准的制定工作,将中国标准推向世界。第三要建立网络威胁信息共享机制。各方要加强安全漏洞的管理,共享风险库、案例库等资源,加快安全态势感知、威胁信息共享等系统的建设,并与物理的威胁信息共享平台进行对接,实现网络威胁共享共治。第四要加强应急处置和评测体系的建设。落实公共互联网网络应急预案,健全人工智能移动安全应急机制,同时评测机构、实验室也要进一步完善人工智能产品安全评估评测体系,提升人工智能产品和服务安全保障水平。(记者 王晓涛)

更多热门推荐:
分享到 :
相似文章

发表评论

登录... 后才能评论