機器之心報道
作者:力琴
2020 年是 AI 逐漸深入生活,倒逼各行業數字化轉型的一年。與此同時,隨著新技術的產生,也開始帶來不少麻煩與問題。如何正確理解新技術,并像解題一樣,解決與之相伴的新問題,成為一項考驗。
2020 年,盡管面臨疫情帶來經濟與社會層面的不確定性,人工智能技術仍在加速發展。今年 Gartner 發布的 AI 技術成熟度曲線里增加了包括生成型 AI、復合型 AI、負責型 AI、嵌入式 AI 和人工智能增強設計等在內的多個新技術類別,
其中,生成型 AI 首次出現在「成熟度曲線」中,這是常用于創建「深度偽造」視訊和數字內容的技術,有些心懷不軌的人會試圖利用生成性 AI 創建「深度偽造」的內容,這側面反映,即使是新技術,也會帶來相應的麻煩和問題。
01 人臉識別黑產背后的資訊泄露
人臉識別是應用領域最廣泛及成熟的一項技術,隨著技術的大范圍推廣,背后的問題也隨之而來,去年,僅 8 元兜售 3 萬張人臉照片被傳得沸沸揚揚。讓人細思極恐的是,你并不知道誰在收集人臉,也不知道這些人臉圖片會被用作何用途,
機器之心去年臥底人臉認證群,調查背后的產業鏈狀況。黑灰產從業者將高清正面大頭照、手持身份證照稱之為「料子」,基于「料子」,采用一套特定的過人臉認證技術,通常是面部動畫制作軟硬件的組合,以此通過支付、社交及生活服務類 APP 的人臉認證,
近幾年人臉識別認證應用在互聯網市場得到大規模的應用與推廣,從中牟利的黑灰產也應運而生,在該產業鏈上,上游的需求人群利用實名認證賬戶變現(薅羊毛)、推廣、倒賣實名賬戶;中游的技術服務商以「代人臉識別認證」謀生,當中有不少「傳幫帶」的師徒制工作室或者個體戶,提供過人臉認證服務及軟體;下游則是各類身份證、人臉照片等資訊的提供方。
「只要技術好(代人臉認證),投入成本低,利潤可觀,行情好的時候,一個月賺 3 萬不成問題。」一位黑灰產從業者曾向機器之心表示,他靠傳授過人臉認證技術謀生,一套過 APP 人臉認證技術最低可賣至 800 元,而且包教會。當中,所需要的身份證正反面及半身照成本極低,通常不超過 5 元,而過一次 APP 人臉認證至少需要 40 元。除去成本價及忽略操作費不計,一單至少掙 35 元,對于一些難認證的 APP,牟利空間更大。
人臉識別技術已在多行業、多終端進行應用,由于監管及隱私層面缺乏有力監管,出現不少詐騙事件。今年,據南方都市報報道,廣西南寧有十幾位售房者因為「刷臉賣房」被騙了超千萬元。一位房產中介以房屋查檔為由,對售房者進行了人臉識別認證。隨后,售房者紛紛發現自己的房子已經被買家抵押給了第三方,另據南都記者公開資料查詢,此前全國已有多起利用人臉識別進行詐騙的案子,
通過該事,反映出以人臉等為代表的個人生物識別資訊作為高度敏感的用戶個人資訊,存在一定的隱私泄露和資訊安全風險,據 Juniper Research 研究機構最新研究報告《移動支付認證:2019-2024 年生物識別,監管和預測》發現,面部識別硬件(例如 iPhone 上的 Face ID)將成為智能行動電話生物識別硬件中增長最快的組件,出貨量將在 2024 年達到 8 億多,而 2019 年估計為 9600 萬個。
人臉識別技術無處不在。隨著深度學習技術與生物識別技術的融合,以深度偽造為主的人臉識別技術也帶來不少爭議。以 AI 換臉為例,Al 換臉顧名思義就是在圖像或視訊中把一張臉替換成另一張臉。
各類「換臉」技術制造了大量的虛假視訊,并形成相應的黑色產業鏈,該產業鏈條是,上游提供軟體及教程;中游提供視訊及照片定制;下游售賣成品視訊,以此大大降低行業技術門檻與造假成本,
除深度偽造技術外,還有「反偽造」技術,兩者正處于攻防拉鋸狀態,除了資訊隱私泄露,這項技術還帶來其他問題,最大的難題在于,針對深度偽造生物識別資訊的判定尚無成熟的判定手段與依據。
02 「失控」的智能設備
隨著物聯網、車聯網、5G 等技術的發展,身邊的一切設備正在變得智能化,但也暗藏風險。尤其在遠程辦公流行的節點下,一些安全性較差的智能家居產品成為了黑客攻擊的重點對象。
最近,來自劍橋大學部的研究人員發現,任何可以接收語音命令的智能設備,例如智能音箱或行動電話,僅通過聆聽就可以推斷附近智能行動電話輸入的大量資訊,包括密碼等,
研究表明,音頻采集設備所帶來的隱私威脅超出監聽私密談話,物理鍵盤及行動電話觸摸屏鍵盤上輸入的資訊同樣無法逃脫其監控,研究者通過驗證表明,所謂的黑客攻擊者可以從位于半米外的語音助手收集的錄音中提取 PIN 碼(SIM 卡的個人識別密碼)和文本消息,
盡管物聯網技術給人們的生活帶來便利,但不意味著無限安全與可靠。在通信技術領域也暴露了這方面的風險。在 GeekPwn2020 國際安全極客大賽上,騰訊安全玄武實驗室高級研究員李冠成、戴戈就演示了一項 5G 安全研究發現。通過 5G 通信協議的設計,黑客可「劫持」同一基站覆蓋下的任意一臺行動電話的 TCP 通訊,包括各類短信收發、APP 和服務端的通訊,
這項研究意味著,黑客可以利用 5G 通信協議的 BUG 實施多種形式的攻擊,例如給受害者發送已經植入木馬的鏈接,該鏈接一旦被點擊,就可以竊取受害者的銀行卡資訊,否則不然,也有可能偽造受害者的行動電話號向家人傳簡訊,提出轉賬或是其他要求。
隨著通信技術的升級迭代,整體上看 5G 在安全性上有了更大的保障,但不意味著這項技術就有更大的安全性,也有可能會帶來除技術本身不成熟外的其他原生安全問題,
當所有的東西都發展為智能體,對隱私背后的傷害也更大。車聯網下的自動駕駛汽車經常發生宕機、資訊泄露事件就是當中最為典型的案例,
今年 5 月,大陸特斯拉車主發微博稱,特斯拉 App 大面積宕機,導致行動電話無法與車相連,無法獲取車輛資訊。
自特斯拉出產以來,很多人把它形容為一輛帶輪子的安卓行動電話,可以用移動應用來解鎖和鎖定汽車。至少,在車聯網時代,網路的便捷性讓車輛智能化成為可能,一旦智能聯網汽車當中的重要組成,例如車載操作系統、云平臺受到網路攻擊,輕者會造成數據和資訊泄露,重者會導致車輛失控。
類似的「失控」經常被用來當作安全演練的「教材」。在 2020 GeekPwn 大會上,就有這樣一場人為制造的特斯拉 Model 3 撞車事故。一位安全研究員制作了小巧的雷達干擾裝備,可以擾亂 Model 3 毫米波雷達的探測,讓車輛系統無法準確進行剎停,從而制造了一場人為車禍。
在現實生活中,這類人造交通事故不多,但也揭示了自動駕駛車輛存在的安全漏洞。隨著車聯網建設的成熟與具備自動駕駛車輛的增多,這類安全漏洞帶來的風險會越來越大。
03 易攻難守的企業數據
隨著企業數字化轉型進程加速,數據作為重要元素,被視為企業的命脈,即便如此,隨著黑客技術的不斷侵入,企業數據被盜事件并不鮮見,
今年年初,大陸一家 AI 醫療影像公司在疫情間所研發的covid19數據被黑客竊取,他們過去兩個月所研發的 AI 輔助系統和該公司所積累的covid19訓練數據,被黑客以 4 比特幣的價格公開出售,當時這家公司回應稱,黑客所獲取的數據不涉及源代碼和客戶數據,盡管損失有限,但也敲醒警鐘,
covid19肺炎疫情期間,不少黑客組織以「covid19肺炎」為誘導話題,對醫療機構、醫護人員的電腦發起網路攻擊,從而達到勒索、竊取資訊等目的。
據數據顯示,2020 年上半年,安全防護能力較弱的市政、醫療、制造行業成為網路攻擊的重災區,而covid19疫情期間對醫療結構的攻擊更是危害巨大,包括歐洲最大的私人醫院運營商 Fresenlus 都曾遭受勒索軟體攻擊,
根據 CyberMDX 的研究,由于種種原因,大多數醫院都不會修補超過 40% 的易受攻擊設備。80% 的醫療設備制造商和醫療機構表示設備非常難以保護,因為缺乏安全開發的知識和培訓,以及相關的產品資訊安全測試程式。
04 結語
伴隨著互聯網科學技術的發展,雖然 5G、AI、隱私計算、智能算法、物聯網、大數據等技術應用已經深入人們的生活與生產活動,但是我們也需要透過這些熱議的社會話題重新正視 AI 時代新技術與新問題共存的問題。
即便新技術帶來新問題,也不能就此放棄不使用,甚至不發展新技術,在科技發展的各個階段,都會衍生不同問題,而問題也會倒逼社會發展。樂觀來看,AI 換臉、人臉識別黑產的出現增加了人們對于安全與隱私的討論,促進立法探索;智能互聯車輛故障頻出,倒逼自動駕駛技術變革,
AI 應用的普及,加劇了隱私保護、數據安全、倫理道德等安全和道德風險,但是現在各類網路安全產品和解決方案不斷涌現,專注解決網路安全問題的安全廠商也發力,
在最近騰訊安全戰略研究部攜手騰訊安全聯合實驗室共同發布的《產業互聯網安全十大趨勢(2021)》,圍繞法律法規、產業發展態勢、重點安全風險等多個維度,探討了 2021 年產業安全與安全產業的發展特性,
在當下行業數字化轉型的節點,大量的數據在匯集,如何保障安全,成為產業數字化的重要議題,安全作為產業互聯網的基座,本身也處于高速變化和演進的階段。
一是政策法規體系逐漸完善,《民法典》、《數據安全法(草案)》、《個人資訊保護法(草案)》等陸續出臺,為安全建設明確方向。
二是安全場景日益增多,供應鏈協同安全、5G 應用安全、黑灰產生態化等成為企業數字化過程中的重要挑戰。
三是技術和理念創新活躍,隱私計算、零信任架構、人工智能、云原生安全等正加速在安全場景落地應用,為企業的安全防護體系建設提供支撐。
尤其在產業互聯網時代,企業數字業務上云將成常態,但同時云上安全威脅規模快速擴大,黑灰產利用公有云平臺發起攻擊更具威脅。
云原生安全一方面將構建安全服務全生命周期防護,在業務搭建之初夯實安全底座,從安全工具、產品到服務體系化,伴生業務發展全過程。
另一方面云上安全產品向模塊化、敏捷化和彈性化演進,在應對高強度攻擊的同時也在平穩期釋放多余計算能力,使得企業應用成本降低,提升整體安全水平,成為兼顧成本、效率和安全的「最優解」,
在產業數字化驅動下,智慧醫療、工業互聯網、車聯網等新應用、新場景不斷涌現。這些傳統行業數字業務的安全性將直接關系到民眾生命財產安全和國家資訊安全,對于企業而言,需要在業務構建初期考慮更多的安全隱私,規避風險,以降低解決安全問題的成本,
企業本身除了依托云原生安全外,還需要建立頂層安全思維,對于安全的認知不僅需要企業自身的努力,還需要將其擴大到社會安全認知層面,加強普通用戶對于網路威脅、個人數據安全、隱私等的重視。
加速發展的新技術既代表新的力量,同時也給人們帶來各種各樣的新問題,新問題又需要新技術去解決,看似貌合神離,相互對抗,實際上是一項重大考驗,
