本文經AI新媒體量子位（公眾號ID:QbitAI）授權轉載，轉載請聯系出處。

隨著人工智能技術的發展，人工智能在很多場景里正逐漸替代或協作著人類的各種勞動，它們可以成為人類的眼睛、耳朵、手臂甚至大腦。其中，機器視覺作為AI時代的基礎技術，其背后的AI算法一直是各科技巨頭和創業公司共同追逐的熱點。然而，這些主流應用場景的背后，往往也藏著由技術性缺陷導致的算法安全風險。

例如，在一些訓練數據無法覆蓋到的極端場景中，自動駕駛汽車可能出現匪夷所思的決策，導致乘車人安全風險。從2016年至今，Tesla、Uber等企業的輔助駕駛和自動駕駛系統就都曾出現過類似致人死亡的嚴重事故。并且這類極端情形也可能被惡意制造并利用，發起“對抗樣本攻擊”，去年7月，百度等研究機構就曾經通過3D打印，能讓自動駕駛“無視”的障礙物，使車輛有發生撞擊的風險，同樣威脅行駛安全。

之所以能攻擊成功，主要是機器視覺和人類視覺有著很大的差異。因此可以通過在圖像、物體等輸入信息上添加微小的擾動改變（即上述故意干擾的“對抗樣本”），就能導致很大的算法誤差。此外，隨著AI的進一步發展，將算法模型運用于更多類似金融決策、醫療診斷等關鍵核心場景，這類AI“漏洞”的威脅將愈發凸顯出來。

近幾年來，包括清華大學人工智能研究院院長張鈸院士、前微軟全球執行副總裁沈向洋等均提倡要發展安全、可靠、可信的人工智能以及負責任的人工智能，其中AI的安全應用均是重點方向。

然而AI安全作為一個新興領域，盡管對抗樣本等攻擊手段日益變得復雜，在開源社區、工具包的加持下，高級攻擊方法快速增長，相關防御手段的普及和推廣卻難以跟上。在AI算法研發和應用的過程中，對抗樣本等算法漏洞檢測存在較高的技術壁壘，目前市面上缺乏自動化檢測工具，而大部分企業與組織不具備該領域的專業技能來妥善應對日益增長的惡意攻擊。

一、從安全評測到防御升級，RealSafe讓AI更加安全可控

為了解決以上痛點，近日，清華大學AI研究院孵化企業RealAI（瑞萊智慧）正式推出首個針對AI在極端和對抗環境下的算法安全性檢測與加固的工具平臺——RealSafe人工智能安全平臺。

據了解，該平臺內置領先的AI對抗攻防算法，提供從安全測評到防御加固整體解決方案，目前可用于發現包括人臉比對等在內的常用AI算法可能出錯的極端情形，也能預防潛在的對抗攻擊。

RealAI表示，就如網絡安全時代，網絡攻擊的大規模滲透誕生出殺毒軟件，發現計算機潛在病毒威脅，提供一鍵系統優化、清理垃圾跟漏洞修復等功能，RealSafe研發團隊希望通過RealSafe平臺打造出人工智能時代的“殺毒軟件”，為構建人工智能系統防火墻提供支持，幫助企業有效應對人工智能時代下算法漏洞孕育出的“新型病毒”。

RealSafe平臺目前主要支持兩大功能模塊：模型安全測評、防御解決方案。

其中，模型安全評測主要為用戶提供AI模型安全性評測服務。用戶只需接入所需測評模型的SDK或API接口，選擇平臺內置或者自行上傳的數據集，平臺將基于多種算法生成對抗樣本模擬攻擊，并綜合在不同算法、迭代次數、擾動量大小的攻擊下模型效果的變化，給出模型安全評分及詳細的測評報告（如下圖）。目前已支持黑盒查詢攻擊方法與黑盒遷移攻擊方法。

防御解決方案則是為用戶提供模型安全性升級服務，目前RealSafe平臺支持五種去除對抗噪聲的通用防御方法，可實現對輸入數據的自動去噪處理，破壞攻擊者惡意添加的對抗噪聲。根據上述的模型安全評測結果，用戶可自行選擇合適的防御方案，一鍵提升模型安全性。另外防御效果上，根據實測來看，部分第三方的人臉比對API通過使用RealSafe平臺的防御方案加固后，安全性可提高40%以上。

隨著模型攻擊手段在不斷復雜擴張的情況下，RealSafe平臺還持續提供廣泛且深入的AI防御手段，幫助用戶獲得實時且自動化的漏洞檢測和修復能力。

二、“對抗樣本”成“AI病毒”，國外主流人臉識別算法相繼被“攻破”

站在人臉識別終端前，通過人臉識別攝像頭完成身份校驗，類似的人臉識別身份認證已經覆蓋到刷臉支付、酒店入住登記、考試身份核驗、人證比對等等生活場景中。

考慮到公眾對于對抗樣本這一概念可能比較模糊，RealSafe平臺選取了公眾最為熟知的人臉比對場景（人臉比對被廣泛用于上述的身份認證場景中）提供在線體驗。并且，為了深入研究“對抗樣本”對人臉比對系統識別效果的影響，RealAI 團隊基于此功能在國外主流 AI 平臺的演示服務上進行了測試。

選取一組不同的人臉圖片（如下圖），通過RealSafe平臺對其中一張圖片生成對抗樣本，但不影響肉眼判斷，添加“對抗樣本”前后分別輸入到第三方人臉比對平臺中查看相似度。

最終結果顯示，添加“噪聲”前，兩張圖片被 Azure、AWS 判定為不屬于同一個人，但添加“噪聲”后，以上兩個平臺的演示服務均給出了錯誤的結果，認為兩張圖片屬于同一個人，甚至 Azure 平臺的演示服務在添加“噪聲”前后相似度變化的幅度高達70%以上。

為了探究結果的普適性，RealAI團隊又選取了國內三家主流人臉比對平臺進行測試，結果同樣顯示，添加擾動之后，原本判定為“不同人臉”的圖片均被錯誤識別為“相同人臉”，前后相似度的變化幅度可達到20%以上。而通過RealSafe防火墻“去噪”過濾后，這幾個人臉比對平臺的識別“誤差”獲得不同程度的糾正，識別效果得到穩定提升。

RealAI團隊已經將這種潛在風險以及相關防御方法反饋給上述企業，以幫助降低風險。

實測證明，“對抗樣本”可以極大的干擾人臉比對系統的識別結果，據介紹，目前市面上很多中小型企業在落地人臉識別應用時大多會選擇采用上文測試的這幾家互聯網公司開放的人臉比對SDK或者API接口，如果他們人臉比對技術存在明顯的安全漏洞，意味著更廣泛的應用場景將存在安全隱患。

除了人臉比對外，對抗樣本攻擊還可能出現在目標檢測的應用場景中，延伸來看，這可能會危害到工業、安防等領域的安全風險檢測。比如某電網的輸電塔的監控系統，由于輸電塔的高安全性防護要求，防止吊車、塔吊、煙火破壞輸電線路，需要對輸電塔內外進行全天候的實時監控，而這實時監控系統背后就是基于目標檢測的AI算法來提供保障。

而RealAI研究團隊發現，只要通過RealSafe對其中的目標檢測算法進行一定的對抗樣本攻擊，就會造成監控系統失效，導致其無法識別非常明顯的煙火情形，類似情形如果真實發生，將可能帶來難以估計的損失。

事實上，像以上提到的這些AI安全風險由于都是AI底層算法存在技術缺陷而導致，往往比較隱蔽，但牽一發動全身，這些“難以預見”的風險漏洞最有可能成為被攻破的薄弱環節，而RealSafe平臺同步推出的防御解決方案則可以有效增強各應用領域中AI算法的安全性。

三、“零編碼”+“可量化”，兩大優勢高效應對算法威脅

據介紹，RealAI此次推出的算法模型安全檢測平臺，除了可以幫助企業高效應對算法威脅還具備以下兩大優勢：

• 組件化、零編碼的在線測評：相較于ART、Foolbox等開源工具需要自行部署、編寫代碼，RealSafe平臺采用組件化、零編碼的功能設置，免去了重復造輪子的精力與時間消耗，用戶只需提供相應的數據即可在線完成評估，極大降低了算法評測的技術難度，學習成本低，無需擁有專業算法能力也可以上手操作。比如上文中針對微軟、亞馬遜等第三方平臺的測試，整個流程按照步驟提示完成，只需幾分鐘就可以查看到測評結果。
• 可視化、可量化的評測結果：為了幫助用戶提高對模型安全性的概念，RealSafe平臺采用可量化的形式對安全評測結果進行展示，根據模型在對抗樣本攻擊下的表現進行評分，評分越高則模型安全性越高。此外，RealSafe平臺提供安全性變化展示，經過防御處理后的安全評分變化以及模型效果變化一目了然。

四、落地安全周邊產品，為更多場景保駕護航

其實對抗樣本原本是機器學習模型的一個有趣現象，但經過不斷的升級演化，“對抗樣本”已經演變成一種新型攻擊手段，并從數字世界蔓延到物理世界：在路面上粘貼對抗樣本貼紙模仿合并條帶誤導自動駕駛汽車拐進逆行車道、胸前張貼一張對抗樣本貼紙在監控設備下實現隱身……

所以，除了針對數字世界的算法模型推出安全評測平臺，RealAI團隊也聯合清華大學AI研究院圍繞多年來積累的領先世界的研究成果落地了一系列AI攻防安全產品，旨在滿足更多場景的AI安全需求。

比如，攻擊技術方面，RealAI團隊實現了世界首個通過“對抗樣本”技術實現破解商用手機刷臉解鎖，讓手機將佩戴“特制眼鏡”的黑客誤識為機主。

△ 圖：世界唯一通過AI對抗樣本技術攻破商用手機人臉解鎖案例

通過在目標人服裝上張貼特制花紋使AI監控無法檢測到該人物，實現“隱身”，以及通過在車輛上涂裝特殊花紋，躲避AI對車輛的檢測。

△ 圖：通過AI對抗樣本圖案躲避AI車輛檢測

在發現以上各種新型漏洞的同時，RealAI也推出相應的防御技術，支持對主流AI算法中的安全漏洞進行檢測，并提供AI安全防火墻對攻擊AI模型的行為進行有效攔截。

人工智能的大潮滾滾而來，隨之而來的安全風險也將越來越多樣化，尤其近年來因AI技術不成熟導致的侵害風險也頻頻發生，可以說，算法漏洞已逐漸成為繼網絡安全、數據安全后又一大安全難題。

所幸的是，以RealAI為代表的這些頂尖AI團隊早已開始了AI安全領域的征程，并開始以標準化的產品助力行業降低應對安全風險的門檻與成本。此次上線RealSafe人工智能安全平臺是RealAI的一小步嘗試，但對于整個行業而言，這將是人工智能產業邁向健康可控發展之路的一大步。