360AI安全研究院揭秘人工智能三大痛點，人臉識別設備也“臉盲”

自人臉識別設備進入民用市場以來，就一直備受爭議——它安全嗎？這個答案在一場大會中得到解釋。“我們最終可以在一些人臉識別設備中實現任意人員都能通過驗證的效果。”360 AI安全研究院研究員劉昭在ISC 2020大會上講到。

據了解，360 AI安全研究院隸屬于360未來安全研究院，一直專注于人工智能與安全的前沿技術研究，涉及AI基礎設施安全、AI算法安全、AI數據安全等方向的研究工作。在AI基礎設施安全方面，目前已累計發現100多個人工智能基礎軟硬件漏洞。

此外，360 AI安全研究院曾聯合清華、西安交大的研究人員發現AI應用中圖像縮放模塊存在的漏洞，提出了一種新型的數據流降維攻擊方法，影響了國內外主流的AI云服務。這一研究成果發表在信息安全領域頂級國際會議USENIX Security上。

在此次ISC 2020 大會的人工智能與安全論壇上，劉昭以某款人臉識別設備能讓任意人通過為例，說明不僅AI算法存在漏洞，其所依賴的關鍵基礎設施也同樣會被攻擊，并進一步揭露了AI關鍵基礎設施存在的安全風險。

白帽黑客“騙過”人臉識別設備

2017年底，工業和信息化部發布的《促進新一代人工智能產業發展三年行動計劃(2018-2020年)》中提出，2020年，復雜動態場景下人臉識別有效檢出率超過97%，正確識別率超過90%。

也是在這一年，刷臉支付入選《麻省理工科技評論》的全球十大突破性技術榜單，蘋果新品iPhoneX發布的FaceID，更是將人臉識別技術推向高潮。

3年來，對人臉識別技術的安全風險討論已經不計其數。在ISC 2020大會上，360 AI安全研究院介紹了某款人臉識別設備存在的諸多安全問題，比如給終端特定的端口發送一些后門指令，終端設備在接收云端數據時存在棧溢出問題，以及在云端服務器部分存在未授權訪問、目錄穿越等風險。

正是通過攻擊上述漏洞，最終可以在某人臉識別設備中實現任意人員都能通過驗證的效果。

值得關注的是，這種攻擊不是針對AI算法的攻擊，而是對AI算法所依賴的基礎設施進行的攻擊。“針對基礎設施攻擊，最終可能會更快達到攻擊效果。”劉昭在演講中表示，大多數研究人員偏向于對算法安全的研究，比如對抗樣本攻擊、后門攻擊等。雖然AI基礎設施安全風險巨大，其嚴重性卻容易被忽視。

這正是劉昭在ISC 2020 大會上演講的主題——AI關鍵基礎設施安全風險。據介紹，AI基礎設施主要分為三個關鍵部分：首先是深度學習框架，包含框架自身代碼實現、第三方圖象處理庫、算子庫等；其次是硬件相關，包含GPU驅動、芯片安全等；最后是云平臺，包含虛擬化、web平臺等。

AI關鍵基礎設施面臨三重風險

據介紹，AI關鍵基礎設施的三個層面都面臨一定安全風險。

針對深度學習框架安全風險。劉昭解釋稱，深度學習框架主要可以劃分為云端學習框架和終端學習框架。云端框架安全風險主要來自于自身代碼的實現以及第三方的依賴庫問題；終端框架安全風險主要存在于模型網絡參數、模型網絡結構，以及模型轉換過程。據了解，360 AI安全研究院已經在多個深度學習框架及其依賴組件中發現了100多個漏洞，如OpenCV，hdf5，numpy等。

針對硬件相關的安全風險。據英偉達官網統計，截至今年7月，關于GPU驅動漏洞的數目達到數百個；芯片漏洞以幽靈、熔斷為例，幽靈漏洞可以造成泄露敏感數據、執行特定代碼，熔斷漏洞導致用戶態獲取特權內存的數據，這些漏洞影響了Intel、部分ARM的處理器。

針對云平臺的安全風險。360 AI安全研究院表示，用于深度學習任務的節點性能強大，因此總會有一些攻擊者想要非法使用這些資源進行挖礦。比如，今年6月，微軟通報部分Kubeflow存在未授權訪問的問題，導致大量設備被非法挖礦。攻擊者可以未授權訪問Kubeflow的控制面板，通過各種方法部署帶有挖礦程序的容器。

隨著AI技術的不斷發展，AI系統存在的漏洞風險給安全行業帶來巨大挑戰，其中AI關鍵基礎設施存在容易被忽視的安全問題，但同時，AI系統的安全問題也給安全行業帶來機會。

“只有在確保AI系統的安全，才有可能放心享受AI的便利，那么保證系統中AI關鍵基礎設施的安全至關重要。”360 AI安全研究院表示，AI關鍵基礎設施的安全問題可以通過權限控制、訪問隔離、參數過濾等措施進行緩解，針對AI關鍵基礎設施的安全問題，需要建立多維度、一體化風險評估方法以及對應防御措施。

未來，360 AI安全研究院將聚集國內外頂尖人工智能安全創新要素，研究人工智能系統各個環節安全問題，突破人工智能安全攻防重大關鍵共性技術，構建自動化安全風險評測平臺，從而占領人工智能安全技術高地，形成國際領先的的人工智能安全評估和管控能力。