就问你怕不怕！新型AI让黑客行为变合法了……

全文共2663字，预计学习时长5分钟

图片联盟/Getty图片社

想象一下，你正在一辆新型特斯拉自动驾驶汽车中兜风，突然感觉身体猛然转向，于是赶紧一把抓住了方向盘躲避迎面驶来的车辆。车停在了路边，自己仍惊魂未定，看一眼现场，并未发现什么异常。但再仔细一看，会发现一列半透明的痕迹从虚线分车道上延伸出来。对于特斯拉汽车而言，这些印记就如同马路上不存在的弯道，可能会夺走你的生命。

今年4月，科技巨头腾讯公司（中国）的一个研究团队发现，单单在路上添加特定模式的印记就可诱使特斯拉S型车的自动驾驶模式做出改变，朝着不存在的弯道轨迹驶去。早前美国的实验已经表明“停车”标识稍作改动，无人驾驶汽车就会将其视为限速指示牌。另一项研究发现，当蓄意攻击者播放人类无法理解的音频时，亚马逊智能音箱却可以处理信息并下单购买一些不需要的产品。

对抗性机器学习的研究逐渐增多，以上发现只是其中的一部分。随着更多机器的人工智能化，计算机科学家认识到AI是可操控的，它会错误地感知世界，而方式有时会很危险。由于这些技术是“蒙骗”而非“攻击”系统，所以联邦法律和安全标准也许不能保护人们远离这种新的恶意行为—这是最坏的结果。

机器学习（ML）作为AI的主要分支，在确定数据模式时会历经两个阶段。第一个阶段，会根据特定对象训练模型，例如浏览多封邮件检测垃圾邮件。第二个阶段，模型会面对新的数据实例，此时必须推测出数据类别。这种所谓的深度学习是ML的一部分，会逐层处理数据分类的问题，每一层都归属于分类的某一方面。所以试图检测“停车”标识的深度学习系统可能先检测形状，其次是颜色，再然后是······

对抗性机器学习利用机器学习的局限性来制造错误或发现隐藏信息。该领域仍在不断发展，这其中有三项核心技巧。第一个技巧是“毒害”模型，即在推理阶段强行制造错误，比如有意地给图片标记错误信息；第二个是“欺骗”模型，通过了解模型特征，对新输入的内容进行分类并模仿这些特征。特斯拉汽车的潜在危险就源于这第二类。第三个是系统性地查询训练模型，尝试发现其中潜在的私人数据或敏感数据。

对抗性机器学习正迅速成为安全研究的重点对象，而目前的法律尚不完善。

在美国，对于黑客的法律要追溯到上世纪80年代中期，大约就是电影《战争游戏》上映的时候。根据最多的说法，里根政府的工作人员看这部电影时非常恐慌，因为其中一名叫大卫的少年（由年轻的马修·布罗德里克扮演），在自家卧室里攻进了五角大楼的电脑系统，并且差一点就引发了一场核战争。

1986年，不管出于何种原因，美国国会通过了《计算机欺诈和滥用法案》（CFAA），遏制相关刑事和民事行为的发生，防止政府系统或其他防护系统受攻击。该法案本身也存在问题，比如对检察官越权的指控。但是在历经30多年的科技变化后，该法案对于黑客行为的基本定义还是保留了下来：根据联邦法律，黑客行为是指在没有得到明确许可的情况下，忽视安全协议并造成严重危害的行为。该定义沿用至今，而且已经扩展到其他范围，如国际法和国际标准。

但问题在于对抗性机器学习并不会那样攻入机器。这些技术利用模型的知识诱导系统做出异常反应，并且这一过程中也并未违反任何安全协议。此外，它们也没有以典型的“拒绝服务”方式使系统关闭。如此一来，对抗性机器学习不会构成“黑客”行为，而且法律也开始接受这个名词。

威胁计算机安全的方式正不断演变，而反黑客法律却并未随之做出改变。公众担心反黑客法的适用性不够广泛，让许多明显的危险行为成为漏网之鱼，比如危害自动驾驶汽车的安全行驶。5年前，一家赌场试图向法院起诉，声称有人按特定的顺序按下一排按钮，欺骗数字扑克机来赢钱。在没有相关公开且具有约束力的法律条例下，联邦法院驳回了赌场的起诉，因为被告没有“侵入”系统，也没有违反任何安全协议。其实通过外部环境的改变诱使车辆加速或改变行驶路线也是如此。

当然，损坏道路或道路标识让驾驶员受到生命威胁已经算违法行为了。也许至少在生命受威胁时，当地的法律可以处理对抗性机器学习的案例。但那些能够控制多台机器的技术呢？比如收音机放的某个音调就有可能导致全世界所有的Alexa智能音箱都自动下单购买亚马逊商品。此类欺骗机器的途径不仅影响范围广，而且可以越过地区法律的管辖线。

有些人可能还会担心，现有反黑客法律不成熟完善，可能会对无辜或相似行为做出误判。假如法庭把欺骗车辆和智能房屋一概视为黑客行为，界线又在哪呢？机场的监控系统不仅是保护对象，更是政府保护的计算机系统，破坏分子会面临更严重的惩罚。那么化妆是否就意味着破坏面部识别系统，从而“侵入”系统当中呢？

同样，问责制研究带来的寒蝉效应也令人不安。学者、媒体或独立研究人员测试系统的安全漏洞，以及种族和性别歧视等问题。与《数字千年版权法案》用于保护内容数字锁的反规避条款不同，《计算机欺诈和滥用法案》没有讨论豁免问题。此前，调查新闻网Pro Publica发布了一项调查报告，强有力地揭示了保释风险评估算法中普遍存在的种族歧视现象；若法庭开始将这类新闻调查也视作黑客行为，那对抗性机器学习和算法公正性就会面临风险。

那么诱导系统的开发人员呢？一些公司会负责保证系统的安全性，并且国家法律要求企业上报个人数据泄露的黑客行为。如果由于安全问题而使大量客户受到影响，那么联邦贸易委员会和其他一些政府机构就会及时介入。目前推特、优步在内的数家大型企业因未能保护好消费者数据，与联邦贸易委员会签订了协议。

对于如何应对对抗性机器学习，现在仍然没有一个标准答案。在那之前，很难想象如何才能激励企业去加固系统，以防遭受攻击。不过任何时候，只要机器还在为人类及其机遇做决定，这种关心和责任感都要存在。

不光智能机器会受骗，就连特别聪明的人也会受骗。目前，计算机安全研究领域向人们传达的信息是，高智商的黑客会按照意图操控AI从而误导其对世界的感知，最终带来经济危害，甚至很有可能威胁到人类的生存环境。反黑客法律没有涉及对抗性技术，意味着消费者和研究人员面临着许多不确定性，AI开发人员在工作时也蹑手蹑脚的。我们现在需要做的是对黑客行为进行全面反思。

留言 点赞 关注

我们一起分享AI学习与发展的干货
欢迎关注全平台AI垂类自媒体 “读芯术”

（添加小编微信：dxsxbb，加入读者圈，一起讨论最新鲜的人工智能科技哦～）