數據也能“投毒”？它會在不知不覺中威脅我們的安全_風聞

在今年的烏鎮互聯網大會上，某互聯網大佬表示人工智能產業發展需要警惕“數據投毒”的風險。對於普通民眾來説，“數據投毒”還是一個新鮮的概念。但是對於網絡安全從業者來説，數據投毒已經是一種現實的威脅。一旦數據投毒導致人工智能程序發生了致命性的誤判，那麼所帶來的傷害甚至會帶來比現實投毒更大的風險。

對於人類來説，計算機所存儲的數據只是一堆難以理解的數字，但對於計算機來説，這是它學習、判斷、行動的唯一標準。數據的價值在於其完整性、隱私性和可用性。如果數據不完整或相互矛盾，計算機將在運算中出現錯誤、宕機或系統混亂。“數據投毒”就是主要針對數據的完整性開展攻擊，試圖通過在數據裏“摻沙子”、加入“有毒”數據等方式實施網絡攻擊行為。

通常來説，針對人工智能“數據投毒”有以下兩種方式：第一種攻擊模式是採用“模型傾斜”的方式，主要攻擊目標是人工智能的學習訓練的數據樣本。在這種攻擊情況下，黑客會通過對人工智能程序採集的一系列數據和網站展開系統性攻擊，篡改相關數據和參數，使得人工智能程序所抓取的數據出現偏差。由於這種偏差，人工智能所依靠的學習模型就會出現“傾斜”，不能得到正確的學習認知結果。這種做法就像是給人觀看大量偽造的彩票中獎的案例，從而讓這個人誤認為這種小概率事件是一種普遍現象。攻擊者可通過操縱這種傾斜的方向來實現對人工智能的操弄。

第二種攻擊模式是採取反饋武器化的方式，主要攻擊目標是人工智能的學習模型本身。在這種情況下，黑客會直接向人工智能程序“注入”數據或信息，將數據和信息進行偽裝，從而誤導人工智能做出錯誤判斷。例如，攻擊者會將正常的電子郵件“污染成”垃圾郵件，導致人工智能系統對更多正常郵件產生錯誤的反饋，將其誤認為是垃圾郵件。這種做法就像是讓人長期生活在一個目無法紀的社會，這個人即便回到了正常社會，也會有強烈的自我防備心理，無法正常與他人交流。

這種欺騙式網絡攻擊在人工智能出現前就已經非常普遍，但對於人工智能來説，這種攻擊更加危險。人類有較長的反射弧和道德意識，能夠覺察出明顯異常信息所藴含的風險。人工智能則相反，機器學習反應速度極快，不受道德和心理限制，因此會根據錯誤的信息立刻做出錯誤反應。此外，由於人工智能的運算過程並不透明，一旦其所依靠的學習模型被污染，用户很難第一時間發現問題，直至這種問題造成災難性影響。

隨着人工智能輔助的產品走進千家萬户，“數據投毒”所帶來的問題也會更加顯現。例如，攻擊者可以通過在交通標示上做手腳的方式影響自動駕駛汽車的判斷，使其違反交通規則並造成事故。攻擊者也可以通過提供大量錯誤的學習案例來影響人工智能翻譯軟件，使其運作失靈。在金融領域，攻擊者可通過虛假申報交易單的方式，影響人工智能投資系統的決策，製造大規模股市波動。在軍事安全領域，恐怖分子或極端人士也可通過信息偽裝的方式誘導自主性武器啓動或攻擊，從而造成安全危機。

雖然人工智能能夠通過提升識別、糾錯能力的方式減少被“數據投毒”侵犯的幾率，但是人工智能的機器學習模式使得從學習樣本這個環節發動網絡攻擊是最直接有效的方法。更加可怕的是，攻擊者可以通過購買相關產品或盜取類似人工智能決策模型，用實際檢驗來測試攻擊方式是否有效。

這種難以消除風險的存在，是為什麼一批科學界人士對人工智能一直持有謹慎態度的主要原因。在無法從技術本身根除這種風險的情況下，大規模應用人工智能將把這種風險深深植入社會，滋養出一個網絡黑客新的運作平台。尤其在軍事領域，自主性武器最容易成為“數據投毒”攻擊的主要目標，也會帶來最具毀滅性的風險。

當人工智能成為了城市的大腦和我們生活中必不可少的工具，“數據投毒”所產生的影響不亞於一次大規模恐怖襲擊和真實的投毒。在人工智能技術飛速發展的同時，該產業相關的法律約束和行為規則卻明顯滯後，這就像一個快速長大的孩子，卻沒人注意他每天都看了些什麼。