机器之心报道
作者:力琴2020 年是 AI 逐渐深入生活,倒逼各行业数字化转型的一年。与此同时,随着新技术的产生,也开始带来不少麻烦与问题。如何正确理解新技术,并像解题一样,解决与之相伴的新问题,成为一项考验。
2020 年,尽管面临疫情带来经济与社会层面的不确定性,人工智能技术仍在加速发展。今年 Gartner 发布的 AI 技术成熟度曲线里增加了包括生成型 AI、复合型 AI、负责型 AI、嵌入式 AI 和人工智能增强设计等在内的多个新技术类别。
其中,生成型 AI 首次出现在「成熟度曲线」中,这是常用于创建「深度伪造」视频和数字内容的技术。有些心怀不轨的人会试图利用生成性 AI 创建「深度伪造」的内容。这侧面反映,即使是新技术,也会带来相应的麻烦和问题。01 人脸识别黑产背后的信息泄露
人脸识别是应用领域最广泛及成熟的一项技术。随着技术的大范围推广,背后的问题也随之而来。去年,仅 8 元兜售 3 万张人脸照片被传得沸沸扬扬。让人细思极恐的是,你并不知道谁在收集人脸,也不知道这些人脸图片会被用作何用途。
机器之心去年卧底人脸认证群,调查背后的产业链状况。黑灰产从业者将高清正面大头照、手持身份证照称之为「料子」。基于「料子」,采用一套特定的过人脸认证技术,通常是面部动画制作软硬件的组合,以此通过支付、社交及生活服务类 APP 的人脸认证。
近几年人脸识别认证应用在互联网市场得到大规模的应用与推广,从中牟利的黑灰产也应运而生。在该产业链上,上游的需求人群利用实名认证账户变现(薅羊毛)、推广、倒卖实名账户;中游的技术服务商以「代人脸识别认证」谋生,当中有不少「传帮带」的师徒制工作室或者个体户,提供过人脸认证服务及软件;下游则是各类身份证、人脸照片等信息的提供方。
「只要技术好(代人脸认证),投入成本低,利润可观。行情好的时候,一个月赚 3 万不成问题。」一位黑灰产从业者曾向机器之心表示,他靠传授过人脸认证技术谋生,一套过 APP 人脸认证技术最低可卖至 800 元,而且包教会。当中,所需要的身份证正反面及半身照成本极低,通常不超过 5 元,而过一次 APP 人脸认证至少需要 40 元。除去成本价及忽略操作费不计,一单至少挣 35 元。对于一些难认证的 APP,牟利空间更大。
人脸识别技术已在多行业、多终端进行应用,由于监管及隐私层面缺乏有力监管,出现不少诈骗事件。今年,据南方都市报报道,广西南宁有十几位售房者因为「刷脸卖房」被骗了超千万元。一位房产中介以房屋查档为由,对售房者进行了人脸识别认证。随后,售房者纷纷发现自己的房子已经被买家抵押给了第三方。另据南都记者公开资料查询,此前全国已有多起利用人脸识别进行诈骗的案子。
通过该事,反映出以人脸等为代表的个人生物识别信息作为高度敏感的用户个人信息,存在一定的隐私泄露和信息安全风险。据 Juniper Research 研究机构最新研究报告《移动支付认证:2019-2024 年生物识别,监管和预测》发现,面部识别硬件(例如 iPhone 上的 Face ID)将成为智能手机生物识别硬件中增长最快的组件,出货量将在 2024 年达到 8 亿多,而 2019 年估计为 9600 万个。
人脸识别技术无处不在。随着深度学习技术与生物识别技术的融合,以深度伪造为主的人脸识别技术也带来不少争议。以 AI 换脸为例,Al 换脸顾名思义就是在图像或视频中把一张脸替换成另一张脸。
各类「换脸」技术制造了大量的虚假视频,并形成相应的黑色产业链。该产业链条是,上游提供软件及教程;中游提供视频及照片定制;下游售卖成品视频,以此大大降低行业技术门槛与造假成本。
除深度伪造技术外,还有「反伪造」技术,两者正处于攻防拉锯状态。除了信息隐私泄露,这项技术还带来其他问题,最大的难题在于,针对深度伪造生物识别信息的判定尚无成熟的判定手段与依据。02 「失控」的智能设备
随着物联网、车联网、5G 等技术的发展,身边的一切设备正在变得智能化,但也暗藏风险。尤其在远程办公流行的节点下,一些安全性较差的智能家居产品成为了黑客攻击的重点对象。
最近,来自剑桥大学的研究人员发现,任何可以接收语音命令的智能设备,例如智能音箱或手机,仅通过聆听就可以推断附近智能手机输入的大量信息,包括密码等。
研究表明,音频采集设备所带来的隐私威胁超出监听私密谈话,物理键盘及手机触摸屏键盘上输入的信息同样无法逃脱其监控。研究者通过验证表明,所谓的黑客攻击者可以从位于半米外的语音助手收集的录音中提取 PIN 码(SIM 卡的个人识别密码)和文本消息。
尽管物联网技术给人们的生活带来便利,但不意味着无限安全与可靠。在通信技术领域也暴露了这方面的风险。在 GeekPwn2020 国际安全极客大赛上,腾讯安全玄武实验室高级研究员李冠成、戴戈就演示了一项 5G 安全研究发现。通过 5G 通信协议的设计,黑客可「劫持」同一基站覆盖下的任意一台手机的 TCP 通讯,包括各类短信收发、APP 和服务端的通讯。
这项研究意味着,黑客可以利用 5G 通信协议的 BUG 实施多种形式的攻击,例如给受害者发送已经植入木马的链接,该链接一旦被点击,就可以窃取受害者的银行卡信息,否则不然,也有可能伪造受害者的手机号向家人发短信,提出转账或是其他要求。
随着通信技术的升级迭代,整体上看 5G 在安全性上有了更大的保障,但不意味着这项技术就有更大的安全性,也有可能会带来除技术本身不成熟外的其他原生安全问题。
当所有的东西都发展为智能体,对隐私背后的伤害也更大。车联网下的自动驾驶汽车经常发生宕机、信息泄露事件就是当中最为典型的案例。
今年 5 月,国内特斯拉车主发微博称,特斯拉 App 大面积宕机,导致手机无法与车相连,无法获取车辆信息。
自特斯拉出产以来,很多人把它形容为一辆带轮子的安卓手机,可以用移动应用来解锁和锁定汽车。至少,在车联网时代,网络的便捷性让车辆智能化成为可能。一旦智能联网汽车当中的重要组成,例如车载操作系统、云平台受到网络攻击,轻者会造成数据和信息泄露,重者会导致车辆失控。
类似的「失控」经常被用来当作安全演练的「教材」。在 2020 GeekPwn 大会上,就有这样一场人为制造的特斯拉 Model 3 撞车事故。一位安全研究员制作了小巧的雷达干扰装备,可以扰乱 Model 3 毫米波雷达的探测,让车辆系统无法准确进行刹停,从而制造了一场人为车祸。
在现实生活中,这类人造交通事故不多,但也揭示了自动驾驶车辆存在的安全漏洞。随着车联网建设的成熟与具备自动驾驶车辆的增多,这类安全漏洞带来的风险会越来越大。03 易攻难守的企业数据
随着企业数字化转型进程加速,数据作为重要元素,被视为企业的命脉。即便如此,随着黑客技术的不断侵入,企业数据被盗事件并不鲜见。
今年年初,国内一家 AI 医疗影像公司在疫情间所研发的新冠数据被黑客窃取。他们过去两个月所研发的 AI 辅助系统和该公司所积累的新冠训练数据,被黑客以 4 比特币的价格公开出售。当时这家公司回应称,黑客所获取的数据不涉及源代码和客户数据。尽管损失有限,但也敲醒警钟。
新冠肺炎疫情期间,不少黑客组织以「新冠肺炎」为诱导话题,对医疗机构、医护人员的电脑发起网络攻击,从而达到勒索、窃取信息等目的。
据数据显示,2020 年上半年,安全防护能力较弱的市政、医疗、制造行业成为网络攻击的重灾区,而新冠疫情期间对医疗结构的攻击更是危害巨大,包括欧洲最大的私人医院运营商 Fresenlus 都曾遭受勒索软件攻击。
根据 CyberMDX 的研究,由于种种原因,大多数医院都不会修补超过 40% 的易受攻击设备。80% 的医疗设备制造商和医疗机构表示设备非常难以保护,因为缺乏安全开发的知识和培训,以及相关的产品信息安全测试程序。
04 结语
伴随着互联网科学技术的发展,虽然 5G、AI、隐私计算、智能算法、物联网、大数据等技术应用已经深入人们的生活与生产活动,但是我们也需要透过这些热议的社会话题重新正视 AI 时代新技术与新问题共存的问题。
即便新技术带来新问题,也不能就此放弃不使用,甚至不发展新技术。在科技发展的各个阶段,都会衍生不同问题,而问题也会倒逼社会发展。乐观来看,AI 换脸、人脸识别黑产的出现增加了人们对于安全与隐私的讨论,促进立法探索;智能互联车辆故障频出,倒逼自动驾驶技术变革。
AI 应用的普及,加剧了隐私保护、数据安全、伦理道德等安全和道德风险,但是现在各类网络安全产品和解决方案不断涌现,专注解决网络安全问题的安全厂商也发力。
在最近腾讯安全战略研究部携手腾讯安全联合实验室共同发布的《产业互联网安全十大趋势(2021)》,围绕法律法规、产业发展态势、重点安全风险等多个维度,探讨了 2021 年产业安全与安全产业的发展特性。
在当下行业数字化转型的节点,大量的数据在汇集,如何保障安全,成为产业数字化的重要议题。安全作为产业互联网的基座,本身也处于高速变化和演进的阶段。
一是政策法规体系逐渐完善,《民法典》、《数据安全法(草案)》、《个人信息保护法(草案)》等陆续出台,为安全建设明确方向。
二是安全场景日益增多,供应链协同安全、5G 应用安全、黑灰产生态化等成为企业数字化过程中的重要挑战。
三是技术和理念创新活跃,隐私计算、零信任架构、人工智能、云原生安全等正加速在安全场景落地应用,为企业的安全防护体系建设提供支撑。
尤其在产业互联网时代,企业数字业务上云将成常态。但同时云上安全威胁规模快速扩大,黑灰产利用公有云平台发起攻击更具威胁。
云原生安全一方面将构建安全服务全生命周期防护,在业务搭建之初夯实安全底座,从安全工具、产品到服务体系化,伴生业务发展全过程。
另一方面云上安全产品向模块化、敏捷化和弹性化演进,在应对高强度攻击的同时也在平稳期释放多余计算能力,使得企业应用成本降低,提升整体安全水平,成为兼顾成本、效率和安全的「最优解」。
在产业数字化驱动下,智慧医疗、工业互联网、车联网等新应用、新场景不断涌现。这些传统行业数字业务的安全性将直接关系到民众生命财产安全和国家信息安全。对于企业而言,需要在业务构建初期考虑更多的安全隐私,规避风险,以降低解决安全问题的成本。
企业本身除了依托云原生安全外,还需要建立顶层安全思维,对于安全的认知不仅需要企业自身的努力,还需要将其扩大到社会安全认知层面,加强普通用户对于网络威胁、个人数据安全、隐私等的重视。
加速发展的新技术既代表新的力量,同时也给人们带来各种各样的新问题。新问题又需要新技术去解决。看似貌合神离,相互对抗,实际上是一项重大考验。