自人臉識別設(shè)備進(jìn)入民用市場以來，就一直備受爭議——它安全嗎？這個答案在一場大會中得到解釋。“我們最終可以在一些人臉識別設(shè)備中實現(xiàn)任意人員都能通過驗證的效果。”360 AI安全研究院研究員劉昭在ISC 2020大會上講到。

據(jù)了解，360 AI安全研究院隸屬于360未來安全研究院，一直專注于人工智能與安全的前沿技術(shù)研究，涉及AI基礎(chǔ)設(shè)施安全、AI算法安全、AI數(shù)據(jù)安全等方向的研究工作。在AI基礎(chǔ)設(shè)施安全方面，目前已累計發(fā)現(xiàn)100多個人工智能基礎(chǔ)軟硬件漏洞。

此外，360 AI安全研究院曾聯(lián)合清華、西安交大的研究人員發(fā)現(xiàn)AI應(yīng)用中圖像縮放模塊存在的漏洞，提出了一種新型的數(shù)據(jù)流降維攻擊方法，影響了國內(nèi)外主流的AI云服務(wù)。這一研究成果發(fā)表在信息安全領(lǐng)域頂級國際會議USENIX Security上。

在此次ISC 2020 大會的人工智能與安全論壇上，劉昭以某款人臉識別設(shè)備能讓任意人通過為例，說明不僅AI算法存在漏洞，其所依賴的關(guān)鍵基礎(chǔ)設(shè)施也同樣會被攻擊，并進(jìn)一步揭露了AI關(guān)鍵基礎(chǔ)設(shè)施存在的安全風(fēng)險。

白帽黑客“騙過”人臉識別設(shè)備

2017年底，工業(yè)和信息化部發(fā)布的《促進(jìn)新一代人工智能產(chǎn)業(yè)發(fā)展三年行動計劃(2018-2020年)》中提出，2020年，復(fù)雜動態(tài)場景下人臉識別有效檢出率超過97%，正確識別率超過90%。

也是在這一年，刷臉支付入選《麻省理工科技評論》的全球十大突破性技術(shù)榜單，蘋果新品iPhoneX發(fā)布的FaceID，更是將人臉識別技術(shù)推向高潮。

3年來，對人臉識別技術(shù)的安全風(fēng)險討論已經(jīng)不計其數(shù)。在ISC 2020大會上，360 AI安全研究院介紹了某款人臉識別設(shè)備存在的諸多安全問題，比如給終端特定的端口發(fā)送一些后門指令，終端設(shè)備在接收云端數(shù)據(jù)時存在棧溢出問題，以及在云端服務(wù)器部分存在未授權(quán)訪問、目錄穿越等風(fēng)險。

正是通過攻擊上述漏洞，最終可以在某人臉識別設(shè)備中實現(xiàn)任意人員都能通過驗證的效果。

值得關(guān)注的是，這種攻擊不是針對AI算法的攻擊，而是對AI算法所依賴的基礎(chǔ)設(shè)施進(jìn)行的攻擊。“針對基礎(chǔ)設(shè)施攻擊，最終可能會更快達(dá)到攻擊效果。”劉昭在演講中表示，大多數(shù)研究人員偏向于對算法安全的研究，比如對抗樣本攻擊、后門攻擊等。雖然AI基礎(chǔ)設(shè)施安全風(fēng)險巨大，其嚴(yán)重性卻容易被忽視。

這正是劉昭在ISC 2020 大會上演講的主題——AI關(guān)鍵基礎(chǔ)設(shè)施安全風(fēng)險。據(jù)介紹，AI基礎(chǔ)設(shè)施主要分為三個關(guān)鍵部分：首先是深度學(xué)習(xí)框架，包含框架自身代碼實現(xiàn)、第三方圖象處理庫、算子庫等；其次是硬件相關(guān)，包含GPU驅(qū)動、芯片安全等；最后是云平臺，包含虛擬化、web平臺等。

AI關(guān)鍵基礎(chǔ)設(shè)施面臨三重風(fēng)險

據(jù)介紹，AI關(guān)鍵基礎(chǔ)設(shè)施的三個層面都面臨一定安全風(fēng)險。

針對深度學(xué)習(xí)框架安全風(fēng)險。劉昭解釋稱，深度學(xué)習(xí)框架主要可以劃分為云端學(xué)習(xí)框架和終端學(xué)習(xí)框架。云端框架安全風(fēng)險主要來自于自身代碼的實現(xiàn)以及第三方的依賴庫問題；終端框架安全風(fēng)險主要存在于模型網(wǎng)絡(luò)參數(shù)、模型網(wǎng)絡(luò)結(jié)構(gòu)，以及模型轉(zhuǎn)換過程。據(jù)了解，360 AI安全研究院已經(jīng)在多個深度學(xué)習(xí)框架及其依賴組件中發(fā)現(xiàn)了100多個漏洞，如OpenCV，hdf5，numpy等。

針對硬件相關(guān)的安全風(fēng)險。據(jù)英偉達(dá)官網(wǎng)統(tǒng)計，截至今年7月，關(guān)于GPU驅(qū)動漏洞的數(shù)目達(dá)到數(shù)百個；芯片漏洞以幽靈、熔斷為例，幽靈漏洞可以造成泄露敏感數(shù)據(jù)、執(zhí)行特定代碼，熔斷漏洞導(dǎo)致用戶態(tài)獲取特權(quán)內(nèi)存的數(shù)據(jù)，這些漏洞影響了Intel、部分ARM的處理器。

針對云平臺的安全風(fēng)險。360 AI安全研究院表示，用于深度學(xué)習(xí)任務(wù)的節(jié)點性能強大，因此總會有一些攻擊者想要非法使用這些資源進(jìn)行挖礦。比如，今年6月，微軟通報部分Kubeflow存在未授權(quán)訪問的問題，導(dǎo)致大量設(shè)備被非法挖礦。攻擊者可以未授權(quán)訪問Kubeflow的控制面板，通過各種方法部署帶有挖礦程序的容器。

隨著AI技術(shù)的不斷發(fā)展，AI系統(tǒng)存在的漏洞風(fēng)險給安全行業(yè)帶來巨大挑戰(zhàn)，其中AI關(guān)鍵基礎(chǔ)設(shè)施存在容易被忽視的安全問題，但同時，AI系統(tǒng)的安全問題也給安全行業(yè)帶來機會。

“只有在確保AI系統(tǒng)的安全，才有可能放心享受AI的便利，那么保證系統(tǒng)中AI關(guān)鍵基礎(chǔ)設(shè)施的安全至關(guān)重要。”360 AI安全研究院表示，AI關(guān)鍵基礎(chǔ)設(shè)施的安全問題可以通過權(quán)限控制、訪問隔離、參數(shù)過濾等措施進(jìn)行緩解，針對AI關(guān)鍵基礎(chǔ)設(shè)施的安全問題，需要建立多維度、一體化風(fēng)險評估方法以及對應(yīng)防御措施。

未來，360 AI安全研究院將聚集國內(nèi)外頂尖人工智能安全創(chuàng)新要素，研究人工智能系統(tǒng)各個環(huán)節(jié)安全問題，突破人工智能安全攻防重大關(guān)鍵共性技術(shù)，構(gòu)建自動化安全風(fēng)險評測平臺，從而占領(lǐng)人工智能安全技術(shù)高地，形成國際領(lǐng)先的的人工智能安全評估和管控能力。