人工智能安全风险的内外根由与治理路径.docx

人工智能安全风险的内外根由与治理路径

一、导言

党的十九届四中全会明确提出“建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则。推进数字政府建设，加强数据有序共享，依法保护个人信息”。人工智能作为一项新技术，既可赋能安全，又会伴生安全问题。英国技术哲学家大卫?科林格里奇在其《技术的社会控制》一书中阐述的“科林格里奇困境”，一项技术的社会后果不能在技术生命的早期被预料到，然而当不希望看到的后果被发现以后，技术往往已经成为整个经济和社会的一部分，此时想要控制它将会十分困难。人工智能的安全问题伴生效应也会表现在两个方面：一是新技术的脆弱性导致系统自身出现问题，无法达到预设的功能目标，称之为新技术的“内生安全”；另一个是新技术脆弱性并没有给系统自身运行带来风险，但其脆弱性却被利用引发其他领域安全问题，这称之为“衍生安全”。综上所述，人工智能技术具有安全赋能与安全伴生两个效应。其中，安全赋能效应是指人工智能技术系统足够强大，可以提升安全领域的防御能力，也可以被应用于安全攻击；安全伴生效应是指人工智能技术存在问题或其可控性方面存在脆弱性，前者可以导致人工智能系统的运行出现问题，后者可以导致人工智能系统危及到其他领域的安全。本质上说，赋能攻击与衍生安全的外显行为都是人工智能系统会危及到其他领域的安全，差别仅仅是内因的不同：赋能攻击是攻击者利用人工智能技术的强大特性来主动提升破坏性效果；衍生安全是由于人工智能技术的脆弱性被利用，或者人工智能系统在可控性方面的脆弱性导致自身“意外”地形成破坏性效果，或者自主地形成破坏性效果，从而影响到其他领域的安全状况。

二、人工智能安全风险产生的内外根由

人工智能安全风险分为内生与衍生两种。内生安全是指人工智能技术存在问题或其可控性方面存在脆弱性，导致系统运行出现问题，无法达到预设的功能目标；衍生安全是指人工智能技术的脆弱性被利用，导致其危及到其他领域的安全。

（一）人工智能的内生安全

人工智能内生安全指的是人工智能系统自身存在脆弱性。部分原因是因为新技术自身不成熟，存在着一些安全漏洞，包含人工智能框架、数据、算法、模型任一环节都能给系统带来脆弱性，但这些漏洞通常会被发现并且可被改进；还有一种情况是新技术存在着天然的缺陷，使得某些客观存在的问题无法通过改进的方法来解决，此时只能采取其他手段加以防护。例如，在框架组件方面，难以保证框架和组件实现的正确性和透明性是人工智能的内生安全问题。框架是开发人工智能系统的基础环境，相当于人们熟悉的VisualC++的SDK库或Python的基础依赖库，重要性不言而喻。当前，国际上已经推出了大量的开源人工智能框架和组件，并得到了广泛使用。然而，由于这些框架和组件未经充分安全评测，可能存在漏洞甚至后门等风险。一旦基于不安全框架构造的人工智能系统被应用于关乎国计民生的重要领域，这种因为“基础环境不可靠”而带来的潜在风险就更加值得关注。此外，就云计算环境而言，由于云服务商拥有云资源，该资源仅仅是提供给云的租户使用而已，使得计算资源的使用者与拥有者分开，导致可信根的拥有者与需要保障安全的使用者不再是同一个对象，从而使可信根的模式在云计算平台上不再适用。同样，量子的塌陷效应使之难以用于通信，因为一旦出现监听，通信就被中止，致使通信的可靠性成为量子通信系统的软肋，使其大大降低了用量子通信系统构建传输通道的可行性。事实上，这种情况一直伴生在各种技术中。例如，对抗样本就是一种利用算法缺陷实施攻击的技术，自动驾驶汽车的许多安全事故也可归结为由于算法不成熟而导致的。由于互联网上的系统必须通过开放端口来提供服务，而开放端口本质上就相当于引入了一个攻击面，从而形成了脆弱性，这就是互联网服务的内生安全问题。

（二）人工智能的衍生安全

衍生安全其本质就是新技术自身的一些缺陷或脆弱性，并不会影响新技术自身的运行，但却会被攻击者利用而危害到其他的领域。例如既然人工智能模型是一个可复制、可修改的实体文件，就存在被盗取和被植入后门的安全风险，从而导致其他领域的安全问题。再如，物联网的传感部件具有信息辐射的特点，这并不影响物联网的正常运行，却使得信息泄露成为新的风险；社交网络不支持强制实名制时并不影响社交网络的正常运转，但却有可能被利用而助力了谣言的传播，从而无助于抑制负面行为，导致群体性事件的发生；近场通信在帮助人们便捷通信的时候，没有设置强制性通信握手环节以确认通信的发起是否自愿，尽管这并不影响NFC的正常使用，但不法分子却有可能利用这个缺失的环节来近距离盗刷用户的手机钱包等。

如上所述，衍生安全绝大多数情况下指的是新技术的脆弱性被攻击者所利用，从而引发其他领域的安全问题。人工智能技术当然也存在着同样的情况。近几年，智能设备安全事故频发：2018年3月优步（Uber）的自动驾驶汽车在美国亚