共计 3208 个字符,预计需要花费 9 分钟才能阅读完成。
人工智能(AI)的快速发展正在重塑美国社会,但表面之下隐藏着一个更为严峻的挑战:对抗性机器学习(AML)。作为 CIA 数字化转型的领导者,我亲眼目睹了敌对 AI 操作如何重塑威胁格局,这场保护 AI 系统免受操纵的无声竞赛,正在成为国家安全的关键议题。
对抗性机器学习(AML)是当今 AI 系统面临的最复杂威胁之一。简单来说,AML 是操纵 AI 系统以意外方式行事的艺术和科学。这些攻击并非理论上的,随着 AI 系统在关键基础设施、军事应用、情报操作以及日常技术中越来越普遍,风险只会越来越高。
想象一下,一家金融机构部署了一个 AI 驱动的贷款审批系统,该系统经过数十年的贷款数据训练。银行并不知道,内部人员已经微妙地操纵了这些训练数据——不足以引发警报,但足以产生隐藏的偏见。几个月后,当系统投入运行时,它系统地拒绝了来自某些社区的合格申请人,同时批准了来自其他社区的较不合格的候选人。这就是数据中毒,一种改变 AI 评估风险方式的 AML 攻击。
或者考虑一个执行侦察任务的自主军用无人机。无人机的视觉系统经过精心训练,以区分友军和敌军。然而,对手发现,在他们的车辆上放置特定的图案,即使是人眼无法观察到的图案,也会导致无人机持续将其误认为民用基础设施。这种“逃避攻击”不需要任何黑客行为。它只是利用了 AI 解释视觉信息的方式。
漏洞更深层次存在。在 2020 年的一篇开创性论文中,专家们展示了攻击者如何有效地“窃取”商业面部识别模型。通过一种称为“模型反转”的技术,他们能够通过战略性地查询系统来提取用于训练系统的实际面孔。本质上,他们恢复了特定个人的可识别图像,揭示了 AI 系统如何无意中记住并暴露敏感的训练数据。
大型语言模型的出现引入了全新的攻击面。虽然大多数商业模型都努力为其使用设置护栏,但开源模型并不总是如此,这为操纵和有害(甚至非法)输出打开了大门。事实上,看似无害的提示可以触发系统生成危险内容,从恶意软件代码到非法活动的指令。提示注入已被广泛认为是 LLM 应用的最大风险。
这些不再是技术知识边缘的假设情景。它们是已被记录并在某些情况下被利用的漏洞。这些威胁特别阴险之处在于它们无需更改一行代码即可破坏系统。在大多数情况下,AI 继续正常运行,这使得这些变化对传统的网络安全监控几乎不可见。
虽然这些威胁影响所有 AI 应用,但国家安全的影响尤为令人担忧。在美国国家安全领域,各机构和部门越来越多地将对抗性机器学习标记为军事和情报操作中的关键漏洞。美国国家安全组织不再仅仅担心一个有能力且复杂的对手窃取他们的敏感数据。今天,他们还必须担心对手如何操纵机器解释这些数据。
想象一下,对手微妙地操纵支持情报分析的 AI 系统的情景。这种攻击可能导致这些系统忽略关键模式或产生误导性结论,这很难被发现,但对政府最高层的决策可能具有毁灭性影响。这不再是科幻小说;这是安全专业人士日益关注的问题,他们了解 AI 漏洞如何转化为国家安全风险。
随着全球对通用人工智能(AGI)的竞争加速,这些担忧变得更加紧迫。第一个实现 AGI 的国家无疑将获得前所未有的、千载难逢的战略优势,但前提是该 AGI 能够经受住复杂的对抗性攻击。一个脆弱的 AGI 可能比没有 AGI 更糟糕。
尽管这些威胁不断增加,但防御能力仍然严重不足。美国国家标准与技术研究院(NIST)的研究人员在 2024 年捕捉到了这一现实,直言不讳地指出“目前的防御措施缺乏强有力的保证,无法完全缓解风险。”这一安全差距源于几个相互关联的挑战,这些挑战使得对抗性威胁超过了我们的防御能力。
这个问题从根本上是不对称的。攻击者只需要找到一个漏洞,而防御者必须防范所有可能的攻击。增加这一挑战的是,有效的防御需要跨越网络安全和机器学习的专业知识,这在当今的劳动力中很少见。与此同时,组织结构通常将 AI 开发与安全团队分开,无意中设置了阻碍有效协作的障碍。
许多高级领导者和利益相关者仍然不了解 AI 的独特安全挑战,以与对待传统系统相同的心态对待 AI 安全。这导致了一种主要被动的应对方法,解决已知的攻击向量,而不是主动保护系统免受新兴威胁的侵害。
超越这种被动姿态需要一个全面的反 AI 战略,涵盖防御、进攻和战略层面。首先,安全必须从一开始就融入 AI 系统,而不是事后才考虑。这需要跨领域培训人员,以弥合 AI 和网络安全专业知识之间的鸿沟,这不再是一种奢侈,而是一种操作上的必要性。
有效的防御可能意味着在训练过程中故意将模型暴露于对抗性示例,开发本质上抗操纵的架构,并实施持续监控异常行为的系统。然而,仅靠防御是不够的。组织还必须发展进攻能力,使用红队压力测试 AI 系统,采用潜在攻击者会使用的相同复杂技术。
在战略层面,反 AI 需要政府、工业和学术界之间前所未有的协调。我们需要机制来共享关于新兴对抗性能力的威胁情报,建立共同安全框架的国际标准,以及集中的人力发展计划,以建立跨越 AI 和网络安全领域的专业人才管道。一些专家还建议对前沿模型在部署前和整个生命周期内进行严格的安全测试。这是一个充满政治和法律维度的提议,因为前沿模型仍然是私营公司的知识产权,但需要某种形式的安全保证。
挑战是巨大的,风险也很高。随着 AI 系统越来越多地支撑关键的国家安全功能,它们的安全与国家的安全态势密不可分。问题不在于对手是否会瞄准这些系统。他们会。但我们会准备好吗?
今天,我们站在一个十字路口。虽然公众的注意力仍然集中在 AI 的惊人能力上,但那些在国家安全机密墙后工作的人明白,AI 安全的无形战斗可能具有决定性意义。
那么,我们从这里走向何方?
未来需要的不仅仅是技术解决方案。它需要我们在 AI 开发和安全方法上发生根本性转变。反 AI 研究需要大量的支持和资金,特别是开发能够与攻击方法同步发展的自适应防御机制。但金钱不是解决方案。我们需要打破传统上将开发人员与安全专业人员分开的组织障碍,创造协作环境,使安全成为共同责任,而不是事后才考虑。
与数字领域的所有挑战一样,这不仅关乎技术;还关乎人才和文化。作为 CIA 大型技术团队的领导者,我亲眼目睹了打破这些障碍如何不仅创造出更好的产品,而且创造出更安全的产品。
让我们明确什么是利害攸关的。掌握反 AI 的国家可能会决定人工智能本身是自由的守护者还是威胁。这听起来可能像是夸张,但这是技术发展方向的逻辑结论。
当我在这种背景下谈到自由时,正如我在公开演讲中经常做的那样,我指的是比民主治理更基本的东西。我指的是公民对其生活做出有意义选择、获取准确信息以及在没有操纵的情况下参与公民进程的基本自由。一个容易受到对抗性操纵的 AI 生态系统以深刻的方式威胁着这些基本自由。
考虑一个信息生态系统越来越多地由 AI 介导,但这些系统仍然容易受到复杂对抗性影响的世界。在这样的世界中,谁控制这些系统的操纵,谁就有效地控制了信息格局。大规模影响操作、针对决策者的操纵以及关键基础设施的隐蔽颠覆的潜力,对自由社会构成了严重威胁。
掌握反 AI 的国家不仅获得了技术优势,还对这种形式的数字操纵产生了抵抗力。它保护了其信息生态系统的完整性、关键基础设施的可靠性,以及最终其决策过程的主权。从这个意义上说,反 AI 成为在人工智能时代保护自由的盾牌。
我们经常读到的 AI 竞赛不仅仅是构建最强大 AI 的竞赛。它也是构建在对抗性攻击下仍然忠实于人类意图的弹性 AI 的竞赛。这场竞赛在很大程度上是在公众视野之外进行的,在全球的研究实验室、机密设施和企业园区中展开。然而,其结果可能被证明是更广泛 AI 革命中最具决定性意义的方面。
对于我们这些从事国家安全工作的人来说,构建世界领先的反 AI 能力是一项战略要务,这将塑造未来几十年的力量平衡。未来不仅属于那些创造最有能力 AI 的人,还属于那些能够保护它免受破坏的人。
是时候我们认识到这个无声的前线是什么了:它是我们这个时代最重要的技术竞争之一。人工智能的安全不能再是事后才考虑的问题。它必须成为我们关于如何构建、部署和管理这些日益强大系统的全国对话的核心。
