跨越世纪——人工智能技术的发展之路

人工智能的起源，可以追溯到上个世纪50年代的“图灵测试”。 早期AI研究主要集中在符号主义，试图通过编程规则来模拟人类智能。1956年，达特茅斯会议正式将这一领域命名为“人工智能”。80年代，随着计算机技术的发展，机器学习特别是决策学习算法开始流行，AI开始专注于具体的问题解决，如专家系统。1997年，IBM的深蓝击败国际象棋世界冠军卡斯帕罗夫，成为里程碑事件。21世纪初，随着大数据和机器学习算法的进步，AI经历了爆炸式的增长，深度学习的兴起使得AI在图像识别、自然语言处理等方面取得了突破性进展。

图 人工智能技术的发展历程

☞ 科普时间：什么是图灵测试？

图灵测试（The Turing test）一词来源于计算机科学和密码学的先驱艾伦·麦席森·图灵写于1950年的一篇论文《计算机器与智能》。图灵测试指测试者在与被测试者（一个人和一台机器）隔开的情况下，通过一些装置（如键盘）向被测试者随意提问。进行多次测试后，如果被测试者机器让平均每个测试者做出超过30%的误判，那么这台机器就通过了测试，并被认为具有人类智能。

图 人工智能典型应用

AIGC的技术原理：一个通俗易懂的理解

上图中是用一张图片A来举例，当然也可能是其它的信息，例如一段文本、一段音频等，无论是哪种，对于模型来说，实际上都是以数字形式表示的信息。

人工智能的主要风险：先天的和后天的兼而有之

要知道人工智能会遭受怎样的漏洞攻击，首先要弄清楚人工智能的漏洞会出现在什么位置——摸清家底，这跟网络安全是一个道理。众所周知，人工智能的核心是模型（Models），而模型是跑在操作系统（OS）上，操作系统则是跑在云（Cloud）上的；同时，模型还需要对外开放API，这也是一个风险敞口。

首先要考虑模型本身的漏洞：模型的格式很特殊，市面上大约80%的模型格式是Python类型的一种文件，也就意味着它是可以自带后门的，如果访问控制得不当，就可能导致模型被窃取或被替换。

操作系统的漏洞与云平台的漏洞同样会给人工智能平台与模型带来相应的安全风险：操作系统的漏洞可能导致操作系统被控制，造成模型失窃；云平台的安全漏洞可能导致人工智能平台被直接控制；而API承载着模型与外部之间的双向连接，未做好安全策略可能导致模型被暴力猜解与滥用。

从产业链的角度来讲，要想让一个AIGC应用最终安全地呈现在用户面前，一路上可谓是“披荆斩棘”。从数据流转到标注公司进行标注、之后利用人工智能算法进行训练、再到模型社区中被下载使用，最后正式进入到应用阶段，变成一个个的应用，并被添加各类插件，整个过程布满各种被投毒、植入后门、数据泄露等风险。

其中特别值得提出的几点是：

● 人工智能平台的模型数据量一般很庞大，如果里面被恶意投入一些非法数据，会非常隐蔽，很难察觉；

● 好的模型需要被算法训练，而算法本身其实并不是绝对安全的，也可能从“好”算法变成有后门的“坏”算法，随之带来安全风险；

● 如果被上传到社区中供下载的模型本身已经被投毒，变成一个应用之后，风险会被迅速放大，带来无穷的后患；

● 在用户跟模型交互的过程中，可能会输出涉及个人隐私的内容，而这些隐私数据可能在后面被模型泄露给其他用户。

早在深度学习（DL）阶段，就有研究者发现已有算法存在着严重的安全隐患：攻击者可以通过给良性样本添加特定噪声而轻易地欺骗DL模型，并且通常不会被人发现，即对抗性扰动攻击。

☞ 科普时间：什么是对抗性扰动攻击？

攻击者利用人的视觉/听觉无法感知的扰动，足以使正常训练的模型输出置信度很高的错误预测，研究者将这种现象叫做对抗性扰动攻击，它被认为是在生产中部署DL模型之前的巨大障碍。

到了AIGC时代，攻击者针对模型本身，通过大量的暴力破解，基于对抗性样本训练或添加扰动因子，能够让模型匹配错误的输入，造成模型的误报或失败，从而让车牌号码相同的两张车牌，被模型识别成为了两张不同的车牌（如下图）。

对抗性扰动攻击被用于图像识别、文字识别、人脸识别中，并且这种攻击很隐蔽，不容易被识别出来。根据威胁模型可以将现有的对抗性攻击分为白盒、灰盒和黑盒攻击，这三种模型之间的差异在于攻击者了解的信息。

人工智能平台利用插件与外界进行交互，向外传递数据，并引入外界的数据，在这个过程中，如果插件安全未得到保证，就会面临相应的风险，最常见的是跨插件请求劫持问题，通过调用插件能够基于用户身份访问未授权的应用，获取用户隐私或进行未授权的操作。

例如，当用户问：我现在要以最快的速度从杭州去北京，应该坐哪一列火车？ChatGPT在回答这个问题时，就需要通过调用插件获得相关的实时数据，而这个过程中，如果相关插件存在漏洞，就可能被攻击者利用来实施跨插件请求劫持，从而进行未授权的操作。