如何打造安全可信的人工智能

人工智能的穩(wěn)定問(wèn)題引起了持續(xù)而廣泛的研究

人工智能作為新一輪科技革命和產(chǎn)業(yè)變革的重要驅(qū)動(dòng)力量，正在對(duì)經(jīng)濟(jì)發(fā)展、社會(huì)進(jìn)步、國(guó)際政治經(jīng)濟(jì)格局等諸方面產(chǎn)生重大而深遠(yuǎn)的影響。2020年人工智能產(chǎn)業(yè)保持平穩(wěn)增長(zhǎng)，根據(jù)IDC（互聯(lián)網(wǎng)數(shù)據(jù)中心）測(cè)算，全球人工智能產(chǎn)業(yè)規(guī)模為1565億美元，同比增長(zhǎng)12%;根據(jù)中國(guó)信息通信研究院測(cè)算，我國(guó)人工智能產(chǎn)業(yè)規(guī)模達(dá)到約434億美元，同比增長(zhǎng)15%。人工智能在帶來(lái)巨大機(jī)遇的同時(shí)，也蘊(yùn)含著風(fēng)險(xiǎn)和挑戰(zhàn)。習(xí)近平總書記高度重視人工智能治理工作，強(qiáng)調(diào)要“確保人工智能安全、可靠、可控”，倡議推動(dòng)落實(shí)二十國(guó)集團(tuán)人工智能原則，引領(lǐng)全球人工智能健康發(fā)展。

隨著社會(huì)各界對(duì)人工智能信任問(wèn)題的不斷關(guān)注，安全可信的人工智能技術(shù)已成為研究領(lǐng)域的熱點(diǎn)。研究的焦點(diǎn)主要是提升人工智能系統(tǒng)穩(wěn)定性、可解釋性、隱私保護(hù)、公平性等，這些技術(shù)構(gòu)成了安全可信人工智能的基礎(chǔ)支撐能力。

人工智能系統(tǒng)穩(wěn)定性技術(shù)

人工智能系統(tǒng)面臨著特有的干擾，這些干擾來(lái)自于針對(duì)數(shù)據(jù)和系統(tǒng)的多種攻擊方式，包括中毒攻擊、對(duì)抗攻擊、后門攻擊等。這些攻擊技術(shù)既可互相獨(dú)立也可以同時(shí)存在。例如，中毒攻擊通過(guò)按照特殊的規(guī)則進(jìn)行惡意評(píng)論等方式，向訓(xùn)練數(shù)據(jù)集投入干擾數(shù)據(jù)，繼而影響推薦系統(tǒng)的準(zhǔn)確度;對(duì)抗攻擊通過(guò)在道路交通標(biāo)志牌上貼上特殊設(shè)計(jì)的圖案，可以誤導(dǎo)自動(dòng)駕駛系統(tǒng)使其錯(cuò)誤識(shí)別路牌上的信息，進(jìn)而造成交通事故;后門攻擊具有隱蔽性，可能會(huì)被用于對(duì)AI供應(yīng)鏈發(fā)動(dòng)攻擊。相比于傳統(tǒng)軟件系統(tǒng)，此類干擾對(duì)人工智能系統(tǒng)的穩(wěn)定性提出了更高要求。

人工智能的穩(wěn)定問(wèn)題引起了持續(xù)而廣泛的研究。針對(duì)人工智能模型的對(duì)抗攻擊與中毒攻擊早在2012及2013年就已出現(xiàn)。其中，對(duì)抗攻擊的目的在于通過(guò)構(gòu)造針對(duì)性樣本來(lái)誘使人工智能系統(tǒng)決策出錯(cuò);而中毒攻擊的目的在于通過(guò)向人工智能模型的訓(xùn)練數(shù)據(jù)集注入中毒樣本來(lái)劣化訓(xùn)練得到的模型的性能。在此之后，對(duì)抗攻擊相繼發(fā)展出了FGSM（快速梯度下降法）、Carlini-Wagner（卡里尼-瓦格納攻擊法）及PGD（投影梯度下降法）等攻擊方法;中毒攻擊的發(fā)展同樣十分迅速，在其基礎(chǔ)上出現(xiàn)了后門攻擊。后門攻擊通過(guò)后門樣本向人工智能系統(tǒng)植入后門，從而達(dá)到定向操縱人工智能系統(tǒng)的目的。該攻擊與中毒攻擊存在一定相似性，且常通過(guò)中毒攻擊的方式來(lái)向系統(tǒng)植入后門。為抵御這些攻擊，一些工作提出各類異常數(shù)據(jù)檢測(cè)方法來(lái)檢出并清除對(duì)抗樣本、中毒樣本、后門樣本等惡意數(shù)據(jù)，從而減輕惡意攻擊帶來(lái)的干擾;通過(guò)在對(duì)抗樣本上進(jìn)行對(duì)抗訓(xùn)練來(lái)抵抗對(duì)抗攻擊;利用模型剪枝、后門檢測(cè)等技術(shù)抵抗后門攻擊。

人工智能的穩(wěn)定性仍然面臨著較大的挑戰(zhàn)。一方面，各種干擾手段層出不窮、持續(xù)演進(jìn)，而新的攻擊方法容易讓舊的防御方法失效;另一方面，干擾的形式正在逐步從數(shù)字世界向物理世界蔓延，例如通過(guò)打印對(duì)抗樣本等手段能夠直接對(duì)自動(dòng)駕駛和人臉識(shí)別系統(tǒng)造成物理層面的干擾。未來(lái)在人工智能穩(wěn)定性技術(shù)方面的研究將持續(xù)增多。

人工智能可解釋性增強(qiáng)技術(shù)

目前，以深度學(xué)習(xí)算法為核心的人工智能系統(tǒng)的運(yùn)作就像是一個(gè)黑箱，人們只能看到數(shù)據(jù)的導(dǎo)入和輸出，而不清楚內(nèi)部的工作原理和判斷依據(jù)。一方面，人們對(duì)訓(xùn)練得到的人工智能模型為何能具有極高的性能尚不清楚;另一方面，人工智能系統(tǒng)在做出決策時(shí)具體依賴哪些因素，人們也不清楚。

針對(duì)人工智能算法可解釋性的研究仍處在初期階段，部分算法的理論框架有待完善。例如，優(yōu)化算法的有效性在決策樹、支持向量機(jī)等一些簡(jiǎn)單的人工智能模型上已被很好地證明。然而，對(duì)于隨機(jī)梯度下降算法為何能高效優(yōu)化深度神經(jīng)網(wǎng)絡(luò)，學(xué)術(shù)界已經(jīng)開展了大量的研究，但目前對(duì)于該問(wèn)題的討論仍未有定論。又如，針對(duì)人工智能模型如何利用數(shù)據(jù)特征做出預(yù)測(cè)，學(xué)術(shù)界已通過(guò)實(shí)驗(yàn)取得了一定的成果，但還缺乏理論支撐。為了使人工智能模型具有更好的可解釋性，研究學(xué)者提出，可以通過(guò)建立適當(dāng)?shù)目梢暬瘷C(jī)制嘗試評(píng)估和解釋模型的中間狀態(tài);通過(guò)影響函數(shù)來(lái)分析訓(xùn)練數(shù)據(jù)對(duì)于最終收斂的人工智能模型的影響;通過(guò)Grad-CAM（梯度加權(quán)類激活映射）方法分析人工智能模型利用哪些數(shù)據(jù)特征做出預(yù)測(cè);通過(guò)LIME（模型無(wú)關(guān)的局部可解析性算法）方法使用簡(jiǎn)單的可解釋模型對(duì)復(fù)雜的黑盒模型進(jìn)行局部近似來(lái)研究黑盒模型的可解釋性;還有部分研究則提出可以通過(guò)建立完善的模型訓(xùn)練管理機(jī)制，提升人工智能系統(tǒng)實(shí)現(xiàn)過(guò)程的可復(fù)現(xiàn)性。

在人工智能的產(chǎn)業(yè)落地過(guò)程中，應(yīng)最大限度地使人工智能系統(tǒng)的行為對(duì)人類更透明、更容易理解、更可信。一味地相信人工智能系統(tǒng)所做出的決策，而不對(duì)其決策過(guò)程進(jìn)行解釋，會(huì)極大限制其在國(guó)防、法律、醫(yī)療、教育等關(guān)鍵領(lǐng)域的普及，甚至引發(fā)嚴(yán)重的社會(huì)問(wèn)題。增強(qiáng)人工智能系統(tǒng)的可解釋性迫在眉睫。

人工智能隱私保護(hù)技術(shù)

人工智能系統(tǒng)需要依賴大量數(shù)據(jù)，然而數(shù)據(jù)的流轉(zhuǎn)過(guò)程以及人工智能模型本身都有可能泄露敏感隱私數(shù)據(jù)。例如，在數(shù)據(jù)流轉(zhuǎn)的任意階段，惡意攻擊者可以對(duì)匿名數(shù)據(jù)集發(fā)起攻擊，從而竊取數(shù)據(jù);在數(shù)據(jù)發(fā)布階段，惡意攻擊者可以使用身份重識(shí)別對(duì)匿名數(shù)據(jù)集發(fā)起攻擊，從而竊取隱私信息;惡意攻擊者也可以直接針對(duì)人工智能模型發(fā)起攻擊，從而竊取隱私信息。例如，模型反轉(zhuǎn)攻擊可以根據(jù)受攻擊模型的輸出推斷并重建其訓(xùn)練數(shù)據(jù)，從而竊取隱私信息;成員推斷攻擊可以推斷給定數(shù)據(jù)樣本是否來(lái)自受攻擊模型的訓(xùn)練數(shù)據(jù)集，從而造成隱私泄露。

學(xué)界針對(duì)上述隱私泄露問(wèn)題提出了多種針對(duì)性的保護(hù)方法，最常見(jiàn)的為基于差分隱私和基于聯(lián)邦學(xué)習(xí)的隱私保護(hù)方法。差分隱私最早由美國(guó)學(xué)者辛西婭·德沃克于2006年提出，是人工智能系統(tǒng)隱私保護(hù)能力的一個(gè)主要量化指標(biāo)。其核心思想是一個(gè)具有優(yōu)秀隱私保護(hù)能力的人工智能算法應(yīng)當(dāng)對(duì)輸入數(shù)據(jù)中的微小擾動(dòng)不敏感?；谠撍枷耄梢酝ㄟ^(guò)對(duì)數(shù)據(jù)進(jìn)行下采樣、順序置換、添加噪聲等方式，來(lái)防御攻擊者進(jìn)行隱私竊取。目前，一些頭部科技公司已將差分隱私法應(yīng)用于部分真實(shí)的業(yè)務(wù)中。聯(lián)邦學(xué)習(xí)在2015年提出，其能在不收集用戶數(shù)據(jù)的條件下進(jìn)行人工智能模型的訓(xùn)練，以期保護(hù)隱私信息。需要指出的是，一些初步研究表明，聯(lián)邦學(xué)習(xí)方法仍存在一定的隱私泄露風(fēng)險(xiǎn)。因此，還需要針對(duì)聯(lián)邦學(xué)習(xí)進(jìn)一步優(yōu)化，提升其用戶隱私保護(hù)的能力。一個(gè)可行的方向是將聯(lián)邦學(xué)習(xí)和差分隱私相結(jié)合，以構(gòu)建隱私保護(hù)能力更強(qiáng)的人工智能系統(tǒng)。

在當(dāng)前時(shí)代下，越來(lái)越多的隱私信息承載于數(shù)據(jù)之中，人們對(duì)隱私數(shù)據(jù)保護(hù)的關(guān)注更勝以往，部分國(guó)家也開始從立法層面制定隱私數(shù)據(jù)的使用規(guī)范。針對(duì)隱私保護(hù)進(jìn)行研究能使得人工智能系統(tǒng)符合法律的基本規(guī)范和要求，完善可信人工智能的建設(shè)。

人工智能公平性技術(shù)

隨著人工智能系統(tǒng)的廣泛應(yīng)用，其表現(xiàn)出了不公平?jīng)Q策行為以及對(duì)部分群體的歧視。學(xué)術(shù)界認(rèn)為，導(dǎo)致這些決策偏見(jiàn)的主要原因如下：受數(shù)據(jù)采集條件限制，不同群體在數(shù)據(jù)中所占權(quán)重不均衡;在不平衡數(shù)據(jù)集上訓(xùn)練得到的人工智能模型，可能會(huì)為了在整體數(shù)據(jù)上的平均性能，而犧牲在少量數(shù)據(jù)上的性能，造成模型決策不公平。

為了保障人工智能系統(tǒng)的決策公平性，相關(guān)研究者主要通過(guò)構(gòu)建完整異構(gòu)數(shù)據(jù)集，將數(shù)據(jù)固有歧視和偏見(jiàn)最小化;對(duì)數(shù)據(jù)集進(jìn)行周期性檢查，保證數(shù)據(jù)高質(zhì)量性。此外，還有通過(guò)公平?jīng)Q策量化指標(biāo)的算法來(lái)減輕或消除決策偏差及潛在的歧視。現(xiàn)有的公平性指標(biāo)可以分為個(gè)體公平性與群體公平性兩大類。其中，個(gè)體公平性衡量智能決策對(duì)于不同個(gè)體的偏見(jiàn)程度，而群體公平性則衡量智能決策對(duì)于不同群體的偏見(jiàn)程度。另一方面，基于公平性指標(biāo)的算法大致能分為預(yù)處理方法、處理中方法及后處理方法共三大類。預(yù)處理方法通過(guò)刪除敏感信息或重采樣等方式對(duì)數(shù)據(jù)進(jìn)行清洗，從而降低數(shù)據(jù)中存在的偏差。處理中方法通過(guò)在人工智能模型訓(xùn)練過(guò)程中加入與公平性量化有關(guān)的正則項(xiàng)，提高訓(xùn)練得到的模型的公平性。后處理方法通過(guò)對(duì)模型輸出進(jìn)行調(diào)整，進(jìn)一步提高訓(xùn)練得到的模型的公平性。例如，有工作基于多重精確度（Multiaccuracy）的概念提出多精度提升法（Multiaccuracy Boost），以減輕黑盒人工智能系統(tǒng)的決策偏差。

人工智能在敏感領(lǐng)域的應(yīng)用越來(lái)越多，包括招聘、刑事司法、醫(yī)療等，其公平性也受到了廣泛的擔(dān)憂。公平性技術(shù)能夠從技術(shù)角度對(duì)數(shù)據(jù)進(jìn)行均衡，從而進(jìn)一步引導(dǎo)模型給出公平的結(jié)果，這對(duì)于提高人工智能系統(tǒng)決策公平性具有重要意義。

當(dāng)前越來(lái)越多的研究關(guān)注到人工智能在穩(wěn)定性、可解釋性、隱私保護(hù)、公平性等問(wèn)題上的挑戰(zhàn)。隨著研究的不斷深入，勢(shì)必將會(huì)涌現(xiàn)出更穩(wěn)定、更透明、更公平的人工智能理論及技術(shù)，這些技術(shù)是未來(lái)實(shí)現(xiàn)可信人工智能的基石與重要保障。

編輯：張程? 3567672799@qq.com