人工智能的真實世界中的應(yīng)用增長得如此之快，并且變得如此普遍，以至于很難在日常生活中遇到。例如開車或發(fā)短信的朋友，并沒有看到它們的影響。網(wǎng)絡(luò)安全領(lǐng)域也是如此，攻擊者和捍衛(wèi)者都希望AI能夠占上風(fēng)。它的崛起恰逢數(shù)據(jù)本身的激增， 隨著我們越來越依賴于用人工智能來理解這個以數(shù)據(jù)為中心的全新世界，我們還需要對其安全性進行了解和認識。

幾十年來，防御者通過檢測簽名或指示惡意活動的特定模式來抵御攻擊。這種自下而上的方法是被動的。新的攻擊需要部署新的簽名，所以攻擊者總是在數(shù)字混戰(zhàn)中領(lǐng)先一步。下一代，基于人工智能的解決方案通過采用自上而下的方法并將大量活動數(shù)據(jù)集提供給統(tǒng)計模型來解決這個問題。從簽名到統(tǒng)計數(shù)據(jù)的這種轉(zhuǎn)變意味著防御措施可以是積極主動的，并可以更好地推廣到新的攻擊。

人工智能防御技術(shù)蓬勃發(fā)展，現(xiàn)在普遍應(yīng)用于垃圾郵件過濾，惡意文件或URL檢測等經(jīng)典問題。這些模型通常依賴于受監(jiān)督的機器學(xué)習(xí)算法，該算法將來自它們輸入的函數(shù)(例如，“https://google.com”或“http:// google phishpage.com”的域名)映射到輸出(例如，“良性“或”惡意“)。雖然監(jiān)督式學(xué)習(xí)可能清晰地映射到辯護人區(qū)分良性和惡意的需要，但由于其依賴于預(yù)先存在的標簽，實施起來也很昂貴和耗時。數(shù)據(jù)標簽需要前期努力，要求領(lǐng)域?qū)I(yè)知識，并且不能在其他地方重新使用，這意味著構(gòu)建有效的基于AI的防御存在根本瓶頸。

進攻性AI的結(jié)構(gòu)優(yōu)勢

基于人工智能的防御遭受其他可利用的弱點。由于模型的準確性受其標簽保真度的控制，當(dāng)模型的創(chuàng)建者在由有目的地損壞的標簽注入的數(shù)據(jù)集上訓(xùn)練它時，攻擊者可以毒害模型。這允許攻擊者構(gòu)建繞過檢測的特定樣本。其他模型系統(tǒng)地容易受到輕微干擾的輸入，導(dǎo)致它們產(chǎn)生令人尷尬的高置信度的錯誤。所謂的對抗例子最好通過物理攻擊來說明，比如在停車標志上放置貼紙來欺騙自動駕駛汽車中使用的物體識別器，以及植入隱藏的聲音命令來欺騙智能揚聲器中使用的語音識別器來報警。

雖然這些例子可能接近普通公民的家，但對于網(wǎng)絡(luò)安全專業(yè)人員來說，類似的錯誤可能意味著違規(guī)和促銷之間的差異。攻擊者越來越多地轉(zhuǎn)向自動化，他們很快就會轉(zhuǎn)向AI來利用這些弱點。簡而言之，“紅隊”攻擊者可以像“藍隊”防御者一樣從數(shù)據(jù)中受益。

圍繞魚叉式網(wǎng)絡(luò)釣魚，密碼破解，Captcha顛覆，隱寫術(shù)，Tor去匿名和防毒回避的理論，基于人工智能的紅色團隊工作流程日益增多。在每次模擬中，攻擊者都可以利用易于訪問的數(shù)據(jù)，這表明數(shù)據(jù)標簽瓶頸使得基于AI的攻擊比他們的防御對手更容易取消。

乍一看，這可能看起來像歷史重演。攻擊者一直享有優(yōu)勢，僅僅是因為攸關(guān)什么。藍隊只有在檢測接近100%成功時才真正獲勝，而紅隊在100人中僅獲得一次成功的情況下獲勝。

這次的不同是一個更廣泛的行業(yè)趨勢，不幸的是，這對紅隊有利。我們在諸如圖像識別等問題上取得如此巨大進展的原因之一是其研究人員因協(xié)作而獲得獎勵。另一方面，網(wǎng)絡(luò)安全研究人員常常受到限制，因為他們的數(shù)據(jù)太敏感，甚至是非法分享，或者被視為知識產(chǎn)權(quán)，這是讓供應(yīng)商在激烈競爭的網(wǎng)絡(luò)安全市場中站穩(wěn)腳跟的秘密武器。攻擊者可以利用這種分散的格局和缺乏數(shù)據(jù)共享來超越防御。

加劇這種不對稱的情況下，進入應(yīng)用AI退出博士學(xué)位的障礙只是時間問題。對高中教室的論文，免費的教育資源，可用的數(shù)據(jù)集和預(yù)先訓(xùn)練的模型，對GPU等強大的基于云計算資源的訪問以及開源軟件庫都降低了AI新手的攻擊條件，并因此成為攻擊者。深度學(xué)習(xí)實際上比舊的范例對用戶更加友好，并且在許多情況下，它不再像以前那樣需要的專家手工設(shè)計才能產(chǎn)生最新的精度。

暴風(fēng)雨前的平靜……

鑒于這些現(xiàn)實情況，“一美元的進攻擊敗一美元的防守”這句話似乎對惡意使用人工智能的情況進行有效的總結(jié)。到目前為止，良好的老式手動攻擊仍然占據(jù)統(tǒng)治地位，并沒有可靠的證據(jù)記錄證明受到大量基于AI的攻擊。但是，正是在這個時候，我們應(yīng)該考慮如何改善數(shù)據(jù)標簽瓶頸問題，用以減少對未來影響的可能性。

雖然賠率可能與它們相疊加，但防御者確實有可用的工具來幫助他們降低標注數(shù)據(jù)的成本和時間。眾包標簽服務(wù)提供便宜的按需勞動力，其共識可以接近專家的準確性。該行業(yè)的其他重要技巧包括通過以下策略加速部署基于人工智能的防御：

主動學(xué)習(xí)，相對較慢的人類專家只標記最豐富的數(shù)據(jù)。

半監(jiān)督學(xué)習(xí)，其中訓(xùn)練有限標記數(shù)據(jù)的模型從可用的未標記數(shù)據(jù)中學(xué)習(xí)問題結(jié)構(gòu)。

轉(zhuǎn)移學(xué)習(xí)，其中先前針對具有豐富可用標記數(shù)據(jù)的問題進行訓(xùn)練的模型針對具有有限標記數(shù)據(jù)的新問題而定制。

最后，最好的防守是一個很好的進攻。如果謹慎處理，公司可以制作對抗性樣本，加強基于人工智能的防御，這意味著防御者可以先發(fā)制人攻擊自己的模型，以幫助堵塞任何漏洞。

盡管數(shù)據(jù)標簽瓶頸使基于AI的攻擊成為戰(zhàn)術(shù)優(yōu)勢，但是防御者現(xiàn)在可以也應(yīng)該采取措施在攻擊者釋放這些威脅之前對賽場進行調(diào)整。