一場獵殺AI的殘酷遊戲：把槍口對準人工智能，是爲了嚇退黑暗叢林中的對手

來源｜淺黑科技

作者｜史中

人工智能就像林妹妹

大自然只有兩種劇本：我喫掉各位，或者被各位喫掉。

於是在漫長的演化中，動物們學會了欺騙。從亞馬遜叢林裏的昆蟲，到高樓大廈裏的人類，多多少少都掌握這個藝能。

連人工智能也逃不出這片江湖。在科幻電影《2001漫遊太空中》，一部名叫 HAL9000 的中控電腦就學會了騙人，把飛船上的宇航員套路得幾乎團滅，這劇情着實讓不少觀衆毛骨悚然。

但諷刺的是，目前現實中的人工智能並沒有科幻電影裏那麼爭氣——不僅沒有上街行騙，反倒被人騙得找不着北。

不信的話，咱們和人工智能一起做個遊戲。

這是個啥？

沒錯，你覺得它是個河豚。人工智能也能判斷出它是個河豚，信心度是96.93%。

這是個啥？

沒錯，雪山。人工智能也答對了，信心度是94.56%。

接下來我們增加一點難度。

這是什麼？

你肯定會說，這不還是剛纔那兩張圖嗎？？你在逗我嗎？

但是，問題來了。這次你和人工智能出現了分歧。

人工智能“改主意”了，判斷兩張圖分別是狗和螃蟹，而且還很篤定，有99.99%的信心。

這是爲啥？事情的真相是，黑客僅僅在原始的圖片上疊加了一些肉眼難以分辨的“噪聲”，就讓人工智能SAN值狂掉，指鹿爲馬。。。

你看，人工智能這貨是不是比你想象中弱雞？

當然在學術界不用“弱雞”這種虎狼之詞，我們叫它“魯棒性”差。魯棒是一個音譯詞，英語叫做 Robust，魯棒性也翻譯爲強壯性，指一個系統在困難環境中不掉鏈子的能力。

魯棒性差，正是人工智能的“阿喀琉斯的腳後跟”。

這是個壞消息：既然黑客有辦法讓人工智能把一座雪山識別成一隻狗，那說不定就有辦法讓人工智能把路人甲錯認爲你，刷臉登錄你的 App，幫你花掉賬戶的錢。

更壞的消息是：這個世界上，由人工智能守衛的關口越來越多。

你每天解鎖手機都依賴人臉識別系統，客服電話那頭坐着機器人妹子，汽車靠芯片裏的一堆算法就能開上街，銀行仰仗 AI 風控引擎來決定放款額度，工業零件需要 AI 視覺檢驗質量，等等。

但凡任何一個人工智能系統被黑客忽悠瘸，都會帶來意想不到的酸爽結果。

這就導致了一個有趣的現象：哪家公司人工智能系統承擔的任務重，他們就會特別擔心人工智能的魯棒性出問題。就像你的老闆特別怕你猝死一樣。

在中國，最期望人工智能不要掉鏈子的公司名單裏，阿里巴巴肯定名列前茅。

阿里巴巴有人工智能嗎？不僅有，而且很多。其實老淺友都會知道，從“商品打假”到“好物推薦”，從“智能客服”到“規劃路線”，從“自動運維”到“視頻混剪”，阿里這部龐大按機器的日常運轉已經被人工智能接管得七七八八了。只不過很多智能系統性情低調，我們感覺不出來而已。（我在另一篇文章《淘寶的祕密戰爭》裏詳細講過三個淘寶人工智能的故事，你可以去看看。）

於是，看着人工智能像林妹妹一樣身輕體柔易推倒，阿里這羣技術宅早就坐不住了，他們決定搞事情。

人工智能要變成孫二孃

講故事之前，先跟我們的老朋友錢磊問個好吧。

錢磊是阿里安全的首席架構師，他和同事們組成了一支兇猛的禁衛軍，用代碼和數據守護着阿里巴巴這個萬億經濟體和在其中穿行的無數商戶和顧客，一手打擊假貨，一手保護數據，一手攔住刷單客，一手還要防着羊毛黨，簡直就像千手觀音。（要了解阿里安全的光榮與夢想，強烈建議你複習《阿里巴巴是座城》）

▲錢磊

錢磊告訴我一個“內幕消息”：對於人工智能算法來說，最害怕的是“供應鏈攻擊”。

啥是供應鏈攻擊？聽我給你舉個例子。

你去飯店點菜，整整一本菜單，川菜魯菜淮揚菜一應俱全，但原料無非就是雞鴨魚豬牛羊這麼幾種。

雞鴨魚豬牛羊肉就是菜品的供應鏈。

如果有個殺手想在菜裏下毒，那麼他甚至不用混進飯店，只需要找機會在生肉裏下毒就好。

這就叫供應鏈攻擊，你品品。

同樣的道理，雖然人工智能的應用看上去千奇百怪，但是其中使用的核心算法種類並不多——最好用的數來數去就是那麼幾種，而且這些算法還全是公開的，任何人都可以拿來研究。

這意味着，壞人想要攻擊一個關鍵的人工智能系統，並不用冒險直接去這個系統裏尋找漏洞，而是可以在家自己喝着可樂喫着薯片慢慢研究系統中的核心算法，一旦找到致命漏洞就可以一擊得逞。

這就是人工智能算法的供應鏈攻擊。

這種情況對阿里來說有點憋屈——對手在家裏天天對着沙袋練拳，研究怎麼揍你，每天進步一點點；而你卻像霧裏看花，明知道有人暗地裏憋着要搞你，但你連他在哪兒，拳法練到了什麼段位都不清楚。

與其惶恐地等待，還不如勇敢地面對。

錢磊他們決定，除了自己人日常對人工智能安全性做研究以外，還要組織一波慘絕人寰的“賞金大賽”——邀請天下豪傑用各種姿勢爆錘人工智能系統，主動發現它們漏洞的可能性，讓AI在逆境中成長，從孱弱的林妹妹變成剁餡兒的孫二孃。

這場比賽的大名叫“安全AI挑戰者計劃”。

注意，這並不是讓人直接進攻阿里巴巴的系統。有兩個原因：1、阿里巴巴的系統承載着對十幾億人日常服務的重要職能，屬於重要基礎設施，攻擊它當然是不行的。2、阿里巴巴的實戰防護系統已經加了最強的 Buff，就憑已有的裝甲，一般導彈真的打不動它。

所以，“安全AI挑戰者計劃”採用了折中的做法：在通用算法的基礎上模擬一個（簡化版）AI 系統作爲挑戰對象，就像訓練飛行員的模擬駕駛倉那樣。

這個比賽堪比美劇，還一季連着一季，到2020年10月爲止，已經是第五期了。這五期的挑戰題目還各不相同，分別是：人臉識別對抗算法、ImageNet圖像分類對抗算法、辱罵本識別算法、通用目標檢測的對抗攻擊算法、證件文檔類圖像僞造檢測算法。

薛暉是阿里安全圖靈實驗室的負責人，他的日常就是帶着一羣大牛專門研究人工智能應用的安全性，這次他也順理成章地客串了第一期比賽的出題人。

▲薛暉

薛暉給我描繪了一下人臉識別攻防大戰的刀光劍影。

比賽需要：戰場，隊伍，規則

戰場：他們從一個公開數據集 LFW（Labeled Faces in the Wild）裏選擇了712張人臉圖片，再根據業內流行的算法模擬一套人臉識別系統。

隊伍：來參賽的隊伍們負責對這些照片進行“魔改”，目標是突破算法，讓人臉識別系統產生錯誤，就像破門的足球前鋒。

規則：1、改動後的圖片必須看起來和之前大體相似（每個像素的修改程度都必須在限定值內）；2、人工智能識別錯誤視爲攻擊成功；3、在攻擊成功的前提下，對原圖改動越少攻擊方得分越高。

於是，選手們要做的事情很簡單——在線上提交答案，到比賽截止時，看誰的分數最好。

幹掉人工智能的行動聽上去華麗麗，但實際操作起來是很枯燥的。作爲旁觀者，我們看到的就是一幫技術宅在一個冗長複雜的公式上一點點調整參數，參數每改變一絲一毫，都能帶動結果發生微妙的變化。

這個過程有點像《我和我的祖國》裏那個小男孩舉着天線找電視信號的過程：往前一步是模糊，退後一步是清楚。。。

這次比賽的冠軍隊伍名叫firefly，給你一張圖片感覺一下他們的攻擊效果。。

不過，薛暉提醒我，這其實是一個簡化版的人臉識別系統。在真實世界中，人臉識別系統一般不會比對兩個照片，而是用你的真臉和照片作比對，這會使得攻擊的難度陡增。

原因很簡單：在虛擬世界，你可以隨意 PS 一張人臉照片；但是在物理世界中，在攝像頭面前，你沒辦法 PS 你的臉。（而且還會受光照等等環境噪聲的影響。）

不過，這絲毫擋不住全世界研究者想要花式幹掉人臉識別系統的衝動，過去幾年，已經有很多猛士開始在自己臉上做“物理 PS”了。

例如下面這位老哥，把自己臉上弄滿圖騰，據說就可以讓某些人臉識別系統檢測不到人臉。

2019年，華爲的研究團隊也發表了論文，在腦門上貼個彩虹糖一樣的貼紙也能讓人工智能認不出來自己。

客觀地說，這些攻擊方法目前都會受現場光線、人臉角度的影響，有很高的失敗機率。但是這種可能性卻帶給普通人一絲真實的恐慌。

你可能還記得著名的北大弒母案兇手吳謝宇。他就是潛逃多年以後精神微微鬆懈，在機場送人的時候被監控探頭人臉識別而落網的。

想象一下，假如壞人用一個腦門貼紙就能在攝像頭裏消失，這就會成爲他的“隱身符”，對社會主義社會的安檢事業造成巨大的技術衝擊。

當然，現有的攻擊方法確實還有點糙，你到哪都腦門上貼一大張紙，警察叔叔估計會直接過來讓你解釋一下。

但別忘了，在遠處的黑暗森林裏，壞人一直在對着沙袋練拳，說不定什麼時候就會搞出更隱蔽、更穩定的攻擊技術。

這種攻擊一旦成熟，可就不是錢的事兒了，它可能直接終結一個產業。我們正義的力量絕對不能掉以輕心。

薛暉說。

▲這是第一期選手在領獎，第一名獎金是30000元。

狂虐人工智能

比賽的運營負責人花姝告訴我，第一場比賽雖然低調，但卻意外被很多業內大咖點贊。

來自清華大學的朱軍教授是當時線下賽的評委。在答辯的時候，他非常認真地詳細詢問每一個選手的技術細節。看到人工智能的領軍人物都這麼感興趣，阿里安全的同學們有了信心，花姝乾脆去清華找到了朱軍，盛情邀請清華和阿里巴巴一起聯合舉辦接下來的比賽。

有了清華的加持，安全AI挑戰者計劃再也不能低調，實力不允許了。

這是比賽的獎盃，據花姝說每個重達十幾斤，日常練舉重砸釘子都行，非常實惠。

第二期比賽的題目被定爲：分類賽。

其實所有智能體的一個“標配”能力就是分類。每個人一出生就要學會分辨花鳥魚蟲，絕對不會對着爸爸叫二姨夫。人工智能也是如此——在上個世紀50年代，人工智能的前輩羅森布拉特就把50臺計算機連接成神經網絡，讓機器學會區分“左箭頭”和“右箭頭”，這就是 AI 最早的分類能力。

如今有了大數據的加持，人工智能的分類能力已經今非昔比，在2020年甚至可以幫助人查看醫學影像，排查新冠肺炎疑似病例。

這屆比賽就看準了這一點，進攻者會對1216張圖片進行擾動，看誰能造成人工智能“指鹿爲馬”的錯誤最多。

具體的調參過程仍然很枯燥，這裏就不展示了。給你看一下排名比較高的團隊，他們生成的對抗圖片大概是這樣。

▲對抗圖片來自 Green Arrow 團隊

說到這裏，還有個趣聞。

在分類挑戰賽上，有一支參賽隊伍劍走偏鋒——他們沒有按照學術界的慣例，用算法來生成圖片，而是採用了自創的“豹紋攻擊”。。。

事情是這樣的：在一次偶然的嘗試中，他們發現把一張豹紋直接疊加到所有的圖片上，竟然能對分類系統的準確性造成很大幹擾。

他們如獲至寶，又對這個對抗方法做了改進，把“豹紋”改成了“眩暈八卦圖”，把八卦疊加到各張圖片上，效果更拔羣。

不過我得說，這種對抗方式之所以在比賽裏取得了好成績，還是因爲出題方爲了降低難度，對分類系統做了簡化。如果用這種方法來進攻防護更強的真實系統很可能不會成功。

但是，這波操作卻給研究者提供了一個很好的思考方向：在今天的人工智能算法中，沒準仍然存在一些看上去像青銅實則是王者的“通殺”攻擊模式。

第三期比賽是“辱罵文本挑戰賽”。

每個人對“鍵盤俠式”辱罵都不陌生。

在很多內容平臺上都有彈幕或留言過濾系統：人工智能會自動判斷某些話是罵人的，予以屏蔽。

這次挑戰賽，攻擊者的目標就是用各種方法修改出題方給出的辱罵文本，讓它可以既達到了罵人的效果，又不會被系統攔截。。。

以下就是一個示例：

名正言順地罵人，罵得好還有獎金拿，機會屬實難得。

於是，你就看到了如下這種一本正經學術切磋目的的辣眼睛花式罵人。

而且還有選手總結出了一套完整的攻擊經驗。。。

▲點雞可以放大

第四期比賽是“通用目標檢測的對抗攻擊算法挑戰賽”。

目標檢測系統的日常任務就是：在一張圖片裏找到指定的東西。這有點像那種考你眼力的遊戲。

例如，請在下圖裏找出那隻熊貓。

下面的示例是人工智能從圖片中找出牛。

而在圖片上疊加上這種細細的彩條，就有可能欺騙過目標檢測算法。

接下來，就是目前爲止難度最高的第五期比賽。

第五期的題目可謂既出乎意料又在情理之中，那就是“證件文檔類圖像僞造的對抗”。它的出題人是阿里安全的另一位高手渡明。

▲渡明

這個題目並不是他拍腦袋想到的。

渡明是一直走在技術前列線上的男人，他的研究防線正是數字版權保護和內容防僞。這幾年隨着數字基建的發展，很多原本只能在線下辦理的業務（例如資質審覈、社保查詢）都搬到了線上，這意味着原來需要手工查驗的證件，現在只要在網上提交照片就可以了。雖然方便了廣大人民，但也開始有人打起了主意，想用僞造的證件圖片做壞事。

所以，證件圖像識別系統的任務就是開動火眼金睛鑑別出一個圖片“曾經被 PS 過”。

僞造圖像這件事兒，估計你早有耳聞。

如今不僅圖片可以被 PS，連視頻也可以被 PS。比如：普通人不明就裏，老司機直呼內行的 DeepFake 軟件，就可以把一個人臉換到隨便什麼奇怪的視頻上。

▲左邊是真實視頻，右邊是造假視頻。

‍

無獨有偶，前兩年 Adobe 還專門發佈了一個視頻 PS 軟件 Cloak，可以把一個視頻裏的兩個人憑空抹掉，看上去毫無痕跡。

PS 的成本越來越低，連普通人都能方便地搞定，這可不利於社會和諧。

面對這種局面，Fackbook、Amazon、Microsoft 這些小公司也不淡定了，就在2019年，他們還專門舉辦了一個叫做 DFDC 的挑戰賽，請演員表演了一些視頻片段，再用 DeepFake 生成一些假視頻，讓挑戰者來識別真僞。

阿里安全AI挑戰者計劃第五期也是類似的原理，只不過把主題變成了僞造證件。

比賽規則是醬的：給定一個證件圖片，上面已經標註好了幾個修改區域。選手要對它進行P圖，在同時騙過肉眼和機器兩道審覈的情況下，區域以外的地方改動得越少，區域以內的地方改動得越多得分就越高。

渡明給我展示了幾個選手的攻擊樣本：

如果我不告訴你，估計你很難看出來這些證件是僞造的。這要是中哥給自己做個假證：喇嘛道長兼神父，上網招搖撞騙還了得？人工智能就是要在這種越來越困難的情況下，幫人們守住安全的底線。

五期比賽的內容就介紹到這，雖然主題各不相同，但是在它們背後卻有一條清晰的主線。那就是：比賽正在一點點向真實世界靠攏。

在第一期的比賽中，人臉識別的照片選用的都是公開數據集，你看那都是老外的臉；而在第五期比賽中，證件的圖片就已經都是真實數據了。（當然爲了合規和安全，渡明團隊對這些證件的關鍵部分都做了脫敏打碼處理。）

人人都知道，貼近真實的比賽更刺激，也更能促進AI安全技術進步。但講真，這對於阿里巴巴來說其實是很糾結。

這裏面有兩個原因：1、如果題目裏的防禦算法過於貼近阿里巴巴的真實防禦算法，就可能暴露出太多的信息，相當於把自家門鎖的結構公之於衆，這會降低阿里巴巴安全防護的水位；2、如果題目裏的數據集直接使用真實數據，就有隱私問題，所以必須非常小心地對數據進行脫敏處理。

只要不明確降低阿里巴巴防護的水位，只要不泄露阿里巴巴的用戶隱私，其他的東西我們都儘量開放。雖說這種平衡特別艱難，但是我們一定會盡最大的努力。

錢磊很坦誠。

▲AI技術在真實的安全場景中得到更深刻的鍛鍊

代碼大遷徙

在錢磊眼中，我們的世界正在經歷一場爆裂無聲的“代碼大遷徙”。

就以阿里巴巴爲例，我們的業務跑在各種代碼上。現在這些代碼中，也許有99%都是工程代碼，只有1%是人工智能算法代碼。與此對應，我們現在面臨的安全威脅，也有99%都是工程問題，只有1%是算法問題。

但是你要看到，在我們的代碼裏算法的比重正在與日俱增，算法的安全威脅也會同時升高。這個遷徙的進程是堅決的，是誰都逃不掉的。

他說。

故事講到這裏，你一定已經笑不出來了，我們在討論的其實是一個巨大而嚴肅的命題。

人工智能正在成爲我們這個世界的磚瓦和基石，如果磚石本身自帶裂縫，將會導致一場怎樣可怕的災難呢？如果放任自流，未來某一天，可能會人類文明大廈的一角都會轟然傾頹。

而讓人捏一把汗的是，人工智能的安全問題廣泛而艱深，根本不可能通過幾家公司或者幾場比賽就一勞永逸地解決的。

保衛一個國家，最有效的方式是一羣熱血滿懷的科學家研究出“導彈防禦系統”；而保衛人工智能的國度，則需要一羣前赴後繼的技術宅，在漫長的歲月裏共同修築一套龐大複雜的“人工智能導彈防禦系統”。

在薛暉這位老司機看來，要想修築“人工智能導彈防禦系統”，至少還有四個巨大的問題需要解決：

第一、AI 防禦系統的數據不平衡。

我們的世界已經進入了數據時代。

結論簡單而殘酷：誰掌握的數據多，誰就能訓練出更智能的系統，誰就能比對手更加掌控局面。（可以參考《大數據時代的狗》）

但是在AI安全的戰場上，我在明敵在暗——日常的場景中，也許提交的十萬個證件中才有一個是試圖造假的，正義的一方可以拿到的攻擊樣本非常少；反而攻擊者每天都可以大大方方地測試這些大公司的系統。

阿里巴巴舉辦AI挑戰賽的目的之一，也是爲了讓大家一起幫忙製造一些攻擊樣本的數據。這對於訓練人工智能的防禦能力至關重要。

第二、AI 防禦系統的遷移能力差。

你知道，運動員都是有專業分工的，踢足球的運動員只能踢足球，打籃球的運動員只能打籃球，如果你讓喬丹跟張怡寧打乒乓球，那必定被虐。

人工智能系統同樣有分工，而且分工非常細緻，隔行如隔山。例如一套“圖像鑑黃”算法，很可能用於鑑定電商裏的違規圖片內很好用，用於鑑定直播裏的不良畫面就不好用，用來鑑定短視頻也不好用。

想讓電商鑑黃系統學會直播鑑黃，也不是完全沒辦法，但需要用一些直播的視頻數據給系統“補補課”，這就是遷移學習。

然而不幸的是，以人類目前的科技水平，在安全AI方面遷移學習的技術還不夠成熟。這對於學術研究者來說都是一個很難的命題，需要給大牛們更多的時間。

第三、AI 防禦系統的成本很高。

安全系統是對成本最敏感的。舉個例子你就明白了：

你知道，這些年全國的地鐵陸續增加了安檢系統。如果檢查一個人需要3秒鐘，那麼增加的成本還勉強可以接受；如果檢查一個人需要15秒，那早高峯的時候大家排隊都能排出去二里地，還上什麼班呢？

本質上，這是因爲安全系統的設計理念就是必須假設所有人都是“容疑者”，既然要檢查，就要對所有人無差別地來一遍。這樣一來，即使每一次檢查消耗的資源很少，乘以巨大的總數之後，所消耗的資源總量就是可怕的。

就在今天，很多 AI 安全算法其實非常有效，但卻因爲過於消耗資源而無法實戰。要想讓這些算法發揮作用，就必須從架構到算法做全面的優化，甚至未來很可能出現專門設計的人工智能芯片來爲安全系統做加速。

▲阿里巴巴平頭哥的含光800芯片就是一個人工智能芯片。

第四、AI 安全系統不可解釋。

雖然人工智能是人類親手造出來的，但悲哀的是人類並不總是懂人工智能在想什麼。

這種事情倒不奇怪。你想想你家的小孩，雖然是你生的，但你能知道 Ta 整天腦袋裏想的是什麼嗎？理解本來就是一件艱鉅而遙不可及的事情。

現狀就是：AI可以幫人類得出結論。但卻無法給人類解釋清楚它得出結論的理由。

這種不可解釋性，本質上是 AI 的複雜性決定的。一個 AI 系統，動輒就是幾十臺上百臺服務器連接在一起進行思考，計算空間之大，捲入的參數之多，人類大腦望塵莫及。

恕我直言，人類面對 AI，恰似哈士奇面對人類，拼盡全力也只能理解高級生物的隻言片語，因爲智商是硬傷。

但是問題來了：AI安全系統相當於保安，保安揪出了一個人，說他想偷東西。我們自然會問保安：“你爲什麼說他想偷東西？”保安說：“我解釋不清楚，反正我就是知道他想偷東西，把他抓起來吧。”

人命關天，當你從空中墜落時，如何保證一個你尚不能理解的 AI 一定會托住你呢？

不得不說，以上這麼多問題，有的我們已經有了解決思路，有的我們連頭緒都沒有。由此來看，“人工智能導彈防禦系統”的建設任重而道遠。

錢磊把人工智能的安全體系和建築工程的安全規範做對比：

在建築工程行業，造價標準、材料標準、結構標準各種材料加起來足足有一米高。這是因爲人類已經建了上萬年的房子，才能沉澱出這麼多的經驗。

但軟件行業從誕生之近也只有幾十年，只有從最近幾年我們纔開始沉澱軟件開發的安全標準。

至於軟件領域裏最新的分支人工智能，目前還沒有哪怕一頁安全標準。

既然人工智能的安全沒有統一標準，那總有人要走出長征的第一步。

“我們就是希望能沉澱出來一些東西，對這個世界的未來有一些貢獻。”錢磊說。

黑暗中的眼睛

賽博世界像極了黑暗森林，你只能不時聽到遠處野獸的低吼。

我聽到一個事實：

就在最近，阿里安全協助有關部門打掉了一個專門薅羊毛的黑產集團，他們竟然在對方的隊伍裏發現了專業的算法工程師。要知道一個優秀的算法工程師可是年薪百萬的，他選擇加入犯罪團伙，那一定是因爲比這個賺得多得多。

這裏還有一些事實：

美國國防部下設的高級研究計劃局 DARPA，專門負責把前沿技術的腦洞變成現實，電腦操作系統、隱身飛機、無人機、自動駕駛技術的提出和發展，都和他們相關。讓人細思極恐的是，2021財年，DARPA 有 35.66億美元經費算，他們此刻正在研究的項目，很多都和人工智能攻防相關。（有關 DARPA，可以參考《一羣硬核的人正在讓機器人覺醒》）