当AI被“蒙蔽”，犯罪分子能做些什么？

在被强制“退役”前，人工智能复制人Roy发出的这段独白，成为了为世人所铭记的一段经典台词。星际、战舰、光明、幽暗……所有的恢弘与奇观，在时间面前不过是沧海一粟。当我们用肉眼来审视这个世界时，AI机器人也通过“眼中所见”来感受整个寰宇。

与人类眼中的世界不同，AI能将亿万年时光的诸般纷纭并发眼底，能帮助人类在极短时间内辨别和处理海量图片。无可否认，AI目前在计算视觉领域的飞速发展令人惊喜。

然而，当AI踏着科幻般的脚步在现实中一步步向我们走来，安全风险与挑战也随之而至。我们不妨来思考一个问题： 有没有一种可能，机器所看到的并非是现实？AI会不会欺骗了我们？

看见不存在的东西？这张照片轻松骗过了机器

在威廉•吉布森的科幻小说中有这么一个情节：人们发明了一件奇丑无比的T恤，但神奇之处在于，这是一件能在监控摄像下“隐身”的衣服。因此，只要穿上这件T恤，就能神乎其技地躲开监控。归根结底，是这件T恤完美“蒙骗”了机器。

如今，这已经不完全是科幻概念了。像科幻作品中“丑T恤”这样的发明，在目前的AI攻防研究中已经有了具体表现。这里先举个例子：

图1（出自 Adversarial Examples In The Physical World ）

当我们以肉眼辨别图1中的事物，应该绝大多数的人都对“这是洗衣机”没有异议。安平基研团队通过Google图像识别工具对图1进行测试，结果也是显示为“洗衣机（89%可信）”。看来对于图1，人类与AI基本达成了一致。

我们再来看看下面图2：

图2（出自 Adversarial Examples In The Physical World ）

乍看之下，图2只是比图1模糊了一点，我们人类仍可看出是洗衣机。但当我们用Google图像识别工具去测试，得到的结果却截然不同——“家具（53%可信）”。这一次恐怕我们难以同意AI了，图中事物顶多是家电，说是家具实在有点牵强。

从“洗衣机”到“家电”，为何两张看似相同的照片，得到的结果会大相径庭？实际上，只要对图像进行细微的改变，算法就会认为这个图像包含了一些实际上没有的东西。这些改变是人类肉眼难以察觉到的。因此， 你甚至可以改变蛋糕照片的几个像素，然后欺骗机器让它认为这是一枚炸弹。

图：Google将大熊猫“变为”长臂猿

这就是人类看起来还是相同的图片，但AI却会识别错误的原因 。 当AI自信满满地指着大熊猫的照片说：“嗨，人类朋友们，这是一只长臂猿。”我们当然没法接受这个结果。

如此一来，复制人Roy所说的“我曾见过你们人类绝对无法置信的事物”，也就一语成谶了。

当AI被“蒙蔽”，坏人能够做出哪些事？

我们知道，在安全过滤系统、自动驾驶汽车、工业机器人这些领域里，AI的图像识别能力至关重要，一点点差错就能酿成大祸。 一旦犯罪分子通过各种方式来“蒙蔽”AI机器，甚至可以进行传播黄暴恐、蓄意谋杀等犯罪活动， 想想都不寒而栗。下面我们举几个例子，来看看坏人能够做出哪些坏事：

1、传播黄暴恐

我们知道，无论鉴黄师的功力有多深厚，都无法人工审核平台上的所有照片和视频。所以在目前的信息安全工作中，除了鉴黄老司机，AI也是一股不可忽视的强大力量。但我们试想一下，一旦坏人利用欺骗性图像来攻破AI算法，就能让机器把色情图片识别为正常图片，从而绕过色情审核，大肆传播色情淫秽信息以获利。同理， 除了小黄图以外，犯罪分子还能利用这种技术来传播暴力、反动、恐怖主义宣传图片。

图：变造图片后，某平台检测的涉黄程度从接近100%大幅下降

2、用于谋杀

坏人利用这种欺骗性图像的手法，还可以使科幻作品中的“自动驾驶汽车杀人事件”变成现实。试想一下，如果犯罪分子恶意篡改交通标志，比如把“弯道指示”改成“直行”，就能蒙骗无人驾驶汽车，直接危害人们的生命安全。尽管攻防研究表明，这些图像对于AI算法的欺骗率还难以达到百分百， 但如果发生在无人驾驶汽车上，即使是10%的欺骗率也足以产生致命的后果。

图：变造图片后，某平台的正确识别率从99%降至50%

以上所举例的场景只是冰山一角，尽管这些情形暂时只是假设，但研究测试表明这完全能够成为现实。值得注意的是， 这种攻击手法不仅仅表现在图像上，音频、视频等都是潜在的攻击形式。

人与人之间的战争

人类和AI的不解之缘，从上世纪50年代就拉开了序幕，并将一直延续下去。与其说这是人类与人工智能之间的博弈，不如说这是好人与坏人之间的对抗战。 因为在人工智能上的任何一丝可乘之隙，都会被黑产或恐怖分子深挖成贪欲和犯罪的深渊。 不可否认，这是黑产分子一个潜在的、杀伤力强大的攻击手段。

研究这里面的安全风险对抗，有助于提高机器学习算法的准确性，帮助我们发现并解决潜在的安全威胁。这一条路还很漫长，还有很多未知值得我们去不断探索，钻坚研微。