RSAC 2023 / AI背后的安全风险

RSAC创新沙盒 作为安全行业全球性的创新风向标，每年评选出Top 10初创厂商，18年来这些厂商共收获了125亿美元投资和75次收购。

今年的Final List中包含三家数据/隐私厂商，一家AI模型防护厂商，让人很难不与最近ChatGPT的爆火联系到一起。

AI安全场景

• 软件系统的安全性（AI Application Security）：将AI视作一个软件，背后的代码、开发与运维环境、软件供应链等基础设施都存在被攻破的可能。

• 模型的安全性（AI Model Security）：针对模型算法和数据的特性建立的对抗手段。

• 合规问题：数据隐私方面如联邦学习、安全多方计算和同态加密、数据安全管理；内容风控方面AIGC和其他GC一样，针对AI输出内容都要有意识形态上的限制。

AI系统攻击链

2022年微软与MITRE和其他16个组织一起创建了ML威胁矩阵「ATLAS」。该威胁矩阵以我们熟知的ATT&CK框架为蓝本，填充了不同阶段针对AI系统的攻击方法，从而对AI系统的威胁进行分类。

https://atlas.mitre.org/matrices/ATLAS

此威胁矩阵重在 强调ML模型层的对抗方式，及围绕这些新的攻击方式所构建的攻击链路，包括信息收集、持久化等原有技术的调整，偏实战化。

同时，此威胁矩阵继承了很多传统Application Security的攻击手段。

AI模型对抗

Adversarial Robustness Toolbox项目由IBM发起，后捐赠给Linux Foundation for AI。该项目从adversarial machine learning的科研视角，将攻击定义为**投毒(Poisoning)、逃逸(Evasion)、模型提取(Extraction)和推断(Inference)**四大类，并从红蓝对抗的角度，给出了常见攻击方法(算法)和检测方法的工具化实现。

https://github.com/Trusted-AI/adversarial-robustness-toolbox

投毒(Poisoning)：攻击者操纵训练数据集，让机器学习到错误的知识，从而影响其判断效果。

例如：你家门口装了安全摄像头。攻击者可能每天凌晨3点路过你家，让他的狗穿过草坪，从而触发安全警报。那个遛狗的人实际上在提供训练数据，让安全系统知道每天凌晨3点发生的事是无害的。当系统被训练成「忽略凌晨3点发生的任何事情」后，攻击者就趁机发起攻击。

逃逸(Evasion)：不破坏目标AI系统，通过构造特定输入样本以达到欺骗目标系统的效果。

在上例中，攻击者可以穿上狗服，绕过摄像头的检测。

模型提取(Extraction)：攻击者获取AI系统的副本进行调试，反复试探将自己的攻击模型伪造成合法的行为方式。

在上例中，攻击者可以弄一副望远镜观察你家的摄像头是什么型号，然后买同款摄像头自己尝试如何绕过检测。

推断(Inference)：攻击者获取到用于训练的数据集，然后利用数据中的漏洞或偏差实施攻击。

在上例中，攻击者可能会监视你的房子，摸清楚附近路人车辆情况。当攻击者注意到每天凌晨3点有遛狗者经过、并且安全系统会忽视遛狗者时，就有可能利用这一规律实施攻击。

AI合规问题

隐私

如果某些东西是免费的，我们很可能在用我们的数据来支付费用。

隐私需求的崛起是数据价值显化的结果，AI的现象级应用推动了这个进程。

对于AI模型构建者来讲，合法获取训练数据是一个挑战。在ChatGPT开放的过程中，有用户发现AI向其他用户泄露了自己的电话号码。

https://twitter.com/DaveLeeFT/status/1626288109339176962

同时，对于B端产品而言，大量工作中的效率工具集成AI能力后，这种数据回传或员工不经意间输入的「问题」都可能会导致企业信息泄露。

在以公司/业务为主体的B端数据共享场景中，如何既保证数据的使用价值，又不泄露数据内容，也需要专业的解决方案来实现。

内容审查

AI的世界里也要受意识形态的限制。

ChatGPT Jailbreak指利用一些prompt技巧如：模拟游戏、模拟梦境等方法，使得ChatGPT不再受内容策略限制，生产违规内容。

我国2022年12月颁布的《互联网信息服务深度合成管理规定》中，针对“深度合成技术”服务提供者提出“对用户输入数据和合成结果进行审核、建立违法和不良信息特征库、建立健全辟谣机制”等要求。

在此情况下，AI供应商在创立之初就不得不在商业模型的画布上记下合规成本，并寻求专业供应商建议。

AI安全解决方案

Gartner对AI风险管理的粗略定义中，模型+数据=ModelOps，此外还包含了Application Security、数据隐私。内容审查方面的能力并未加入其中。

Gartner: "Market Guide for AI Trust, Risk and Security Management", 2023

Hiddenlayer MLDR

AI模型层的攻防，有两个安全能力植入点：

1. ModelOps流程（类比DevOps->DevSecOps）

2. Runtime防护（类比防火墙）

从早先的 EDR、NDR 到 ITDR、MLDR（Machine Learning Detection & Response）被提出，安全领域“万物皆DR”，说不定过段时间还能看到"ModelSecOps"大旗。

Bosch AI Shield

模型弱点扫描+运行时攻击行为阻断+威胁运营（SIEM集成）。

TROJ.AI

对抗样本测试、模型审计（类似安全基线的概念）、训练数据扫描、模型防火墙。

AI可能改变世界，不过暂时还没改变安全行业的造词逻辑。