人工智能的真實(shí)世界中的應(yīng)用增長得如此之快，并且變得如此普遍，以至于很難在日常生活中遇到。例如開車或發(fā)短信的朋友，并沒有看到它們的影響。網(wǎng)絡(luò)安全領(lǐng)域也是如此，攻擊者和捍衛(wèi)者都希望AI能夠占上風(fēng)。它的崛起恰逢數(shù)據(jù)本身的激增， 隨著我們?cè)絹碓揭蕾囉谟萌斯ぶ悄軄砝斫膺@個(gè)以數(shù)據(jù)為中心的全新世界，我們還需要對(duì)其安全性進(jìn)行了解和認(rèn)識(shí)。

幾十年來，防御者通過檢測簽名或指示惡意活動(dòng)的特定模式來抵御攻擊。這種自下而上的方法是被動(dòng)的。新的攻擊需要部署新的簽名，所以攻擊者總是在數(shù)字混戰(zhàn)中領(lǐng)先一步。下一代，基于人工智能的解決方案通過采用自上而下的方法并將大量活動(dòng)數(shù)據(jù)集提供給統(tǒng)計(jì)模型來解決這個(gè)問題。從簽名到統(tǒng)計(jì)數(shù)據(jù)的這種轉(zhuǎn)變意味著防御措施可以是積極主動(dòng)的，并可以更好地推廣到新的攻擊。

人工智能防御技術(shù)蓬勃發(fā)展，現(xiàn)在普遍應(yīng)用于垃圾郵件過濾，惡意文件或URL檢測等經(jīng)典問題。這些模型通常依賴于受監(jiān)督的機(jī)器學(xué)習(xí)算法，該算法將來自它們輸入的函數(shù)(例如，“https://google.com”或“http:// google phishpage.com”的域名)映射到輸出(例如，“良性“或”惡意“)。雖然監(jiān)督式學(xué)習(xí)可能清晰地映射到辯護(hù)人區(qū)分良性和惡意的需要，但由于其依賴于預(yù)先存在的標(biāo)簽，實(shí)施起來也很昂貴和耗時(shí)。數(shù)據(jù)標(biāo)簽需要前期努力，要求領(lǐng)域?qū)I(yè)知識(shí)，并且不能在其他地方重新使用，這意味著構(gòu)建有效的基于AI的防御存在根本瓶頸。

進(jìn)攻性AI的結(jié)構(gòu)優(yōu)勢

基于人工智能的防御遭受其他可利用的弱點(diǎn)。由于模型的準(zhǔn)確性受其標(biāo)簽保真度的控制，當(dāng)模型的創(chuàng)建者在由有目的地?fù)p壞的標(biāo)簽注入的數(shù)據(jù)集上訓(xùn)練它時(shí)，攻擊者可以毒害模型。這允許攻擊者構(gòu)建繞過檢測的特定樣本。其他模型系統(tǒng)地容易受到輕微干擾的輸入，導(dǎo)致它們產(chǎn)生令人尷尬的高置信度的錯(cuò)誤。所謂的對(duì)抗例子最好通過物理攻擊來說明，比如在停車標(biāo)志上放置貼紙來欺騙自動(dòng)駕駛汽車中使用的物體識(shí)別器，以及植入隱藏的聲音命令來欺騙智能揚(yáng)聲器中使用的語音識(shí)別器來報(bào)警。

雖然這些例子可能接近普通公民的家，但對(duì)于網(wǎng)絡(luò)安全專業(yè)人員來說，類似的錯(cuò)誤可能意味著違規(guī)和促銷之間的差異。攻擊者越來越多地轉(zhuǎn)向自動(dòng)化，他們很快就會(huì)轉(zhuǎn)向AI來利用這些弱點(diǎn)。簡而言之，“紅隊(duì)”攻擊者可以像“藍(lán)隊(duì)”防御者一樣從數(shù)據(jù)中受益。

圍繞魚叉式網(wǎng)絡(luò)釣魚，密碼破解，Captcha顛覆，隱寫術(shù)，Tor去匿名和防毒回避的理論，基于人工智能的紅色團(tuán)隊(duì)工作流程日益增多。在每次模擬中，攻擊者都可以利用易于訪問的數(shù)據(jù)，這表明數(shù)據(jù)標(biāo)簽瓶頸使得基于AI的攻擊比他們的防御對(duì)手更容易取消。

乍一看，這可能看起來像歷史重演。攻擊者一直享有優(yōu)勢，僅僅是因?yàn)樨P(guān)什么。藍(lán)隊(duì)只有在檢測接近100%成功時(shí)才真正獲勝，而紅隊(duì)在100人中僅獲得一次成功的情況下獲勝。

這次的不同是一個(gè)更廣泛的行業(yè)趨勢，不幸的是，這對(duì)紅隊(duì)有利。我們?cè)谥T如圖像識(shí)別等問題上取得如此巨大進(jìn)展的原因之一是其研究人員因協(xié)作而獲得獎(jiǎng)勵(lì)。另一方面，網(wǎng)絡(luò)安全研究人員常常受到限制，因?yàn)樗麄兊臄?shù)據(jù)太敏感，甚至是非法分享，或者被視為知識(shí)產(chǎn)權(quán)，這是讓供應(yīng)商在激烈競爭的網(wǎng)絡(luò)安全市場中站穩(wěn)腳跟的秘密武器。攻擊者可以利用這種分散的格局和缺乏數(shù)據(jù)共享來超越防御。

加劇這種不對(duì)稱的情況下，進(jìn)入應(yīng)用AI退出博士學(xué)位的障礙只是時(shí)間問題。對(duì)高中教室的論文，免費(fèi)的教育資源，可用的數(shù)據(jù)集和預(yù)先訓(xùn)練的模型，對(duì)GPU等強(qiáng)大的基于云計(jì)算資源的訪問以及開源軟件庫都降低了AI新手的攻擊條件，并因此成為攻擊者。深度學(xué)習(xí)實(shí)際上比舊的范例對(duì)用戶更加友好，并且在許多情況下，它不再像以前那樣需要的專家手工設(shè)計(jì)才能產(chǎn)生最新的精度。

暴風(fēng)雨前的平靜……

鑒于這些現(xiàn)實(shí)情況，“一美元的進(jìn)攻擊敗一美元的防守”這句話似乎對(duì)惡意使用人工智能的情況進(jìn)行有效的總結(jié)。到目前為止，良好的老式手動(dòng)攻擊仍然占據(jù)統(tǒng)治地位，并沒有可靠的證據(jù)記錄證明受到大量基于AI的攻擊。但是，正是在這個(gè)時(shí)候，我們應(yīng)該考慮如何改善數(shù)據(jù)標(biāo)簽瓶頸問題，用以減少對(duì)未來影響的可能性。

雖然賠率可能與它們相疊加，但防御者確實(shí)有可用的工具來幫助他們降低標(biāo)注數(shù)據(jù)的成本和時(shí)間。眾包標(biāo)簽服務(wù)提供便宜的按需勞動(dòng)力，其共識(shí)可以接近專家的準(zhǔn)確性。該行業(yè)的其他重要技巧包括通過以下策略加速部署基于人工智能的防御：

主動(dòng)學(xué)習(xí)，相對(duì)較慢的人類專家只標(biāo)記最豐富的數(shù)據(jù)。

半監(jiān)督學(xué)習(xí)，其中訓(xùn)練有限標(biāo)記數(shù)據(jù)的模型從可用的未標(biāo)記數(shù)據(jù)中學(xué)習(xí)問題結(jié)構(gòu)。

轉(zhuǎn)移學(xué)習(xí)，其中先前針對(duì)具有豐富可用標(biāo)記數(shù)據(jù)的問題進(jìn)行訓(xùn)練的模型針對(duì)具有有限標(biāo)記數(shù)據(jù)的新問題而定制。

最后，最好的防守是一個(gè)很好的進(jìn)攻。如果謹(jǐn)慎處理，公司可以制作對(duì)抗性樣本，加強(qiáng)基于人工智能的防御，這意味著防御者可以先發(fā)制人攻擊自己的模型，以幫助堵塞任何漏洞。

盡管數(shù)據(jù)標(biāo)簽瓶頸使基于AI的攻擊成為戰(zhàn)術(shù)優(yōu)勢，但是防御者現(xiàn)在可以也應(yīng)該采取措施在攻擊者釋放這些威脅之前對(duì)賽場進(jìn)行調(diào)整。shania 譯