这其实就是完全借助了深度学习的方式。深度学习这是一个统称,包括像阿尔法狗,卷积神经网络都用了深度学习其中的一个模型。
谷歌猫使用了深度学习技术
这是特斯拉最新的自动驾驶,它标注车、物体都非常地准确,这是非常令人兴奋的应用。但是站在黑客的角度,我们想到了一些事情。大家知道在极棒现场,包括我们安全领域都是在黑掉汽车方面做过一些事情的。
但是,我们黑掉一个 ATM 机和黑掉一个 PC 没有什么区别;我们黑掉无人机和手机也差别不大。我们能否有更酷的方法?你可以看到这辆车行驶的过程中旁边有一个穿白衣服的人。成熟的系统当然认为那是一个人,但是不是我们能够欺骗它,让它认为是一个树桩或是消防拴?如果有人能这样黑掉的话,我特别欢迎。2016年的时候,极棒美国硅谷专场的时候有专家在这方面做了一些研究。
我们调查的时候发现,做 AI 的人对安全的了解不太多,做安全的了解 AI 也不太多。我们去年找到了在谷歌工作的Ian Goodfellow,他验证了我们的想法,他现在做出的这个结果和我们想要的结果类似。我们发现其实人工智能的模型都非常类似:通过大量的学习样本,深度学习作出决策,这是人工智能的学习方法。于是我们挖漏洞的过程就是:
生成大量的样本,交给软件,改变数据流程,最后导致一个错误的决策。
通过这样一个模型,Ian到我们的现场展示了另外一个东西。他在一个离线的状态下,利用了猜测机器学习的过程。
人眼看到的这是一只狗,随便掌握人工智能的系统都可以把它识别成一只狗。
但是这个图经过修整,就骗过了很领先的识别系统,很多系统坚持认为这是一只鸵鸟。
还有一个这张噪点图片,识别系统坚持认为它是一只熊猫。
除了图像识别之外,语音识别同样有这样的威胁。
去年微软推出了人工智能聊天机器人。但是,刚推出一天它就开始说脏话。在它学习了半天的时候,看到很多人跟它说脏话,它认为这是人跟人之间正常的交流沟通方式。
▲微软的聊天机器人 Tay
所以我觉得,到了人工智能时代,人人都可能成为黑客。互联网时代的代表是搜索引擎,搜索结构被污染还是需要技术的,但微软机器人被污染不需要技术和代码,只需要你对它说脏话。
我一直把现在攻破的智能设备很不客气定义为伪智能,它只是替代了我们的手和脚,还不能代替思考。弱智能时代总有一天会变成强智能、超强智能时代。那一天来临的时候,是不是要让它安全的为人类服务呢?
刚才我说了图象和语音,其实我还想再举个例子。
▲上图为人打掉机器狗正在搬运的东西, 通过各种“虐待”来提高机器狗的运输可靠性和反应能力。
大家知道这个波士顿动力出的机器狗。波士顿动力是不同于图象和语音的智能,这是一种行为智能。行走的过程中学习生物保持自身平衡。
看看这个机器狗是怎么被训练的。用脚踹让它维持平衡,为难它。大家也许觉得这个人很恶心,机器狗很可怜。但我们从黑客的角度看到了就脊背发凉。如果这个机器人觉得踹一脚或是给别人一拳是正常的呢?
▲超能查派
有一个电影《超能查派》,这个小机器人刚做出来就被劫匪抢了,他出来以后觉得戴着粗金链子拿着这枪抢钱是正常的工作。我希望如果时代的发展,从伪智能到弱智能到强智能。真的走到哪一天,我们有义务让 AI 为我们安全地服务。