人工智能的現(xiàn)實應用已經(jīng)發(fā)展得如此之快并且變得如此普遍，以至于很難通過日常工作來完成，例如駕駛或發(fā)送消息，而不會看到他們的影響。在網(wǎng)絡安全領域也是如此，攻擊者和防御者都希望人工智能獲得優(yōu)勢。它的興起恰逢數(shù)據(jù)本身的激增，隨著我們越來越依賴AI來理解這個以數(shù)據(jù)為中心的新世界，我們還需要了解其安全隱患。

幾十年來，維護者通過檢測簽名或指示惡意活動的特定模式來抵御攻擊。這種自下而上的方法是被動的。新的攻擊需要部署新的簽名，因此攻擊者總是在數(shù)字混戰(zhàn)中領先一步。下一代，基于人工智能的解決方案通過采用自上而下的方法并將大型活動數(shù)據(jù)集輸入統(tǒng)計模型來解決這個問題。從簽名到統(tǒng)計的這種轉變意味著防御可以是主動的，并且更好地推廣到新的攻擊。

人工智能防御已經(jīng)蓬勃發(fā)展，現(xiàn)在通常應用于垃圾郵件過濾，惡意文件或URL檢測等經(jīng)典問題。這些模型通常依賴于有監(jiān)督的機器學習算法，這些算法將函數(shù)從其輸入(例如“https://google.com”或“http://g00glephishpage.com”等域名)映射到輸出(例如“良性的“或”惡意的“)。雖然監(jiān)督學習可以明確地映射到防御者區(qū)分良性和惡意的需要，但由于其依賴于預先存在的標簽，因此實施起來也是昂貴且耗時的。數(shù)據(jù)標簽需要前期工作，需要領域?qū)I(yè)知識，并且不能總是在其他地方重新利用，這意味著構建有效的基于AI的防御存在根本瓶頸。

進攻性AI的結構優(yōu)勢

基于人工智能的防御受到其他可利用的弱點的影響。由于模型的準確性受其標簽的保真度控制，因此 當模型的創(chuàng)建者在有目的腐敗標簽注入的數(shù)據(jù)集上訓練模型時，攻擊者 可以使模型中毒。這允許攻擊者構建繞過檢測的特定樣本。其他模型系統(tǒng)地容易受到輕微擾動的輸入，導致它們以極其高的置信度產(chǎn)生錯誤。所謂的對抗性示例最好通過物理攻擊來說明，例如在停車標志上貼上貼紙來欺騙自動駕駛汽車中使用的物體識別器，并植入隱藏的聲音命令來欺騙智能揚聲器中使用的語音識別器來報警。

雖然這些例子可能會讓普通公民接近家鄉(xiāng)，但對于網(wǎng)絡安全專業(yè)人士來說，類似的錯誤可能意味著違規(guī)和促銷之間的差異。攻擊者越來越多地轉向自動化，他們很快就會轉向AI來利用這些弱點。簡而言之，“紅隊”攻擊者可以從數(shù)據(jù)以及“藍隊”防守者那里獲益。

圍繞魚叉式網(wǎng)絡釣魚，密碼破解，Captcha顛覆，隱寫術，Tor去匿名化和防病毒逃避的理論，基于AI的紅色團隊工作流程越來越多。在每次模擬中，攻擊者利用易于訪問的數(shù)據(jù)，證明數(shù)據(jù)標記瓶頸使基于AI的攻擊比防御性攻擊更容易實現(xiàn)。

乍一看，這似乎是歷史重演。攻擊者總是因為利害攸關而享有優(yōu)勢。藍隊只有在檢測達到100%%成功時才真正獲勝，而紅隊即使只有一次成功，也只有100分。

這一次有什么不同是一個更廣泛的行業(yè)趨勢，不幸的是，紅色團隊受益。我們在圖像識別等問題上取得如此大進展的原因之一是其研究人員因協(xié)作而獲得獎勵。另一方面，網(wǎng)絡安全研究人員往往受到限制，因為他們的數(shù)據(jù)過于敏感甚至非法分享，或被視為知識產(chǎn)權，這使得供應商在激烈競爭的網(wǎng)絡安全市場中占據(jù)了一席之地。攻擊者可以利用這種分散的格局和缺乏數(shù)據(jù)共享來超越防御。

加劇這種不對稱性，應用AI退出博士學位的障礙只是一個時間問題。論文到高中課堂。免費的教育資源，可用的數(shù)據(jù)集和預先訓練的模型，訪問強大的基于云的計算資源(如GPU)和開源軟件庫都會降低AI新手的門檻，因此也會成為攻擊者。深度學習本身實際上比舊的范例更加用戶友好，并且在許多情況下，它在沒有先前所需的專業(yè)手工工程的情況下產(chǎn)生最先進的準確性。

暴風雨前的平靜，所以得到你的雨衣

鑒于這些現(xiàn)實，“一美元的進攻勝過一美元的防御”這一短語肯定似乎適用于惡意使用人工智能。至于現(xiàn)在，良好的老式手動攻擊仍然存在，并且沒有可靠的證據(jù)證明在野外發(fā)生基于AI的攻擊。但是，正是在這個精確的時刻，我們應該考慮如何改善數(shù)據(jù)標簽瓶頸并減少未來影響的可能性。

盡管可能存在可能性，但維護者確實有可用的工具來幫助他們減少標記數(shù)據(jù)的成本和時間。眾包標簽服務提供廉價的按需勞動力，其共識可以達到專家的準確性。該交易的其他重要技巧包括通過以下策略加速基于AI的防御部署：

主動學習，相對較慢的人類專家只標記信息量最大的數(shù)據(jù)。

半監(jiān)督學習，其中在有限標記數(shù)據(jù)上訓練的模型從可用的未標記數(shù)據(jù)中學習問題結構。

轉移學習，其中先前針對具有大量可用標記數(shù)據(jù)的問題進行訓練的模型針對具有有限標記數(shù)據(jù)的新問題而定制。

最后，最好的防守是一個很好的進攻。如果小心謹慎，公司可以制作 強化基于AI的防御的對抗性樣本，這意味著防御者可以先發(fā)制人地對自己的模型進行攻擊，以幫助堵塞任何漏洞。

雖然數(shù)據(jù)標記瓶頸為基于AI的攻擊提供了戰(zhàn)術優(yōu)勢，但是在攻擊者釋放這些威脅之前，防御者現(xiàn)在可以而且應該采取措施來平衡競爭環(huán)境。

Philip Tully是ZeroFOX的首席數(shù)據(jù)科學家，該公司在社交，移動，數(shù)字和協(xié)作平臺上檢測并修復企業(yè)及其員工面臨的威脅。