目前，中、美、歐等國(guó)家和地區(qū)都高度重視人工智能的發(fā)展，搶抓人工智能深度學(xué)習(xí)開源平臺(tái)生態(tài)建設(shè)，大力推動(dòng)基于平臺(tái)的智能制造、智慧能源、智能交通等應(yīng)用。與此同時(shí)，人工智能安全風(fēng)險(xiǎn)逐步加大，而安全保障能力對(duì)于經(jīng)濟(jì)社會(huì)平穩(wěn)運(yùn)行的作用也愈發(fā)突顯。作為信息系統(tǒng)的安全缺陷，漏洞會(huì)導(dǎo)致系統(tǒng)在未經(jīng)授權(quán)的情況下被訪問或遭到破壞，會(huì)被攻擊者有目的地利用，它已成為網(wǎng)絡(luò)空間戰(zhàn)中的“殺手锏”。2021年以來，谷歌深度學(xué)習(xí)開源平臺(tái) Tensorflow 頻繁被曝出安全漏洞，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）僅2021年5月28日一天就收錄46個(gè)，漏洞的存在和被利用已經(jīng)給人工智能應(yīng)用帶來嚴(yán)重的安全風(fēng)險(xiǎn)，應(yīng)予以高度重視。

一、我國(guó)應(yīng)用深度學(xué)習(xí)開源平臺(tái)及安全現(xiàn)狀

國(guó)內(nèi)主要行業(yè)用戶對(duì)國(guó)外平臺(tái)依賴度高。在國(guó)內(nèi)，為了方便使用開源組件提高開發(fā)效率，便于與國(guó)外開展技術(shù)和學(xué)術(shù)交流，網(wǎng)易、新浪、小米和美團(tuán)等頭部科技企業(yè)，清華大學(xué)、中山大學(xué)等知名院校，以及中國(guó)移動(dòng)、聯(lián)想等重要行業(yè)企業(yè)都在使用谷歌 TensorFlow 等國(guó)外平臺(tái)，國(guó)外平臺(tái)應(yīng)用領(lǐng)域涉及通信、互聯(lián)網(wǎng)、醫(yī)療、海洋等，業(yè)務(wù)類型包括通信網(wǎng)絡(luò)割接、病例標(biāo)注、海面溫度預(yù)測(cè)，以及圖像、自然語言理解、語音識(shí)別和推薦等。

主流開源平臺(tái)普遍存在安全漏洞。目前，TensorFlow、Caffe、Torch 等國(guó)外平臺(tái)均被曝出過安全漏洞。據(jù)開源軟件社區(qū) GitHub 數(shù)據(jù)顯示，2020年以來，Tensorflow 被曝出安全漏洞百余個(gè)。其中，百度安全團(tuán)隊(duì)發(fā)現(xiàn)了75個(gè)可導(dǎo)致系統(tǒng)不穩(wěn)定、數(shù)據(jù)泄漏、內(nèi)存破壞等問題的安全漏洞；360公司發(fā)現(xiàn)49個(gè)。近期，360對(duì)國(guó)內(nèi)外主流開源AI框架進(jìn)行了安全性評(píng)測(cè)，累計(jì)7款機(jī)器學(xué)習(xí)框架（如 Tensorflow、PyTorch 等）被發(fā)現(xiàn)漏洞150多個(gè)，框架供應(yīng)鏈漏洞200多個(gè)。其實(shí)，早在2017年，美國(guó)佐治亞大學(xué)、弗吉尼亞大學(xué)等院校就發(fā)現(xiàn)TensorFlow、Caffe 和 Torch 三個(gè)平臺(tái)有15個(gè)漏洞，類型包括 DoS 拒絕服務(wù)攻擊、躲避攻擊、系統(tǒng)損害攻擊等；騰訊安全團(tuán)隊(duì)發(fā)現(xiàn) TensorFlow 組件存在重大漏洞，如果開發(fā)者編寫機(jī)器人程序時(shí)使用該組件，黑客可輕易通過該漏洞控制機(jī)器人。

二、潛在的安全風(fēng)險(xiǎn)

漏洞極易通過開源平臺(tái)被植入人工智能系統(tǒng)。Gartner 調(diào)查顯示，99%的組織在其信息系統(tǒng)中使用了開源軟件。開源代碼和軟件構(gòu)成了深度學(xué)習(xí)開源平臺(tái)系統(tǒng)的基礎(chǔ)，開源代碼和軟件本身帶有安全漏洞，很多開源平臺(tái)還沒有修復(fù)漏洞的響應(yīng)機(jī)制。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的調(diào)查結(jié)果顯示，近6年來，開源組件生態(tài)中漏洞數(shù)逐年遞增，2020年新增漏洞數(shù)3426個(gè)，同比增長(zhǎng)40%。2020年，國(guó)家信息安全漏洞共享平臺(tái)發(fā)現(xiàn)開源軟件 Apache Tomcat 存在漏洞，可能造成部分重要配置文件或源代碼等敏感數(shù)據(jù)泄露，在一定條件下還可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，使用者的服務(wù)器會(huì)被直接控制。人工智能系統(tǒng)內(nèi)部連接緊密而復(fù)雜，算法存在以統(tǒng)計(jì)方式進(jìn)行學(xué)習(xí)、完全依賴數(shù)據(jù)等固有特性，很多關(guān)鍵應(yīng)用依存于后端的人工智能體系，而人工智能體系又依賴于開源平臺(tái)提供的訓(xùn)練模型，黑客可輕易通過開源平臺(tái)向人工智能應(yīng)用植入漏洞或利用漏洞開發(fā)惡意模型，從而控制并篡改人工智能應(yīng)用；一旦開源平臺(tái)失守，必將引發(fā)連鎖式崩盤，比互聯(lián)網(wǎng)時(shí)代傳統(tǒng)黑客攻擊后果更為嚴(yán)重。此類漏洞預(yù)埋在平臺(tái)最底層，迷惑性較強(qiáng)，在開源平臺(tái)安全測(cè)試和認(rèn)證缺位的情況下，大部分開源平臺(tái)研究和應(yīng)用人員都難以識(shí)別平臺(tái)存在的安全風(fēng)險(xiǎn)。此外，基于深度學(xué)習(xí)開源平臺(tái)開發(fā)的應(yīng)用通常需要復(fù)雜的數(shù)據(jù)訓(xùn)練過程，導(dǎo)致惡意模型攻擊短時(shí)間內(nèi)很難被察覺。目前，國(guó)外開源平臺(tái)牢牢掌控著核心資源和游戲規(guī)則，一旦有目的性地植入帶有漏洞的開源代碼并被惡意利用，人工智能應(yīng)用的安全性和可靠性會(huì)大打折扣，從而造成重大財(cái)產(chǎn)損失和惡劣的社會(huì)影響。

開源平臺(tái)漏洞將使我國(guó)經(jīng)濟(jì)運(yùn)行面臨挑戰(zhàn)。2017年國(guó)務(wù)院印發(fā)的《新一代人工智能發(fā)展規(guī)劃》提出，到2025年我國(guó)人工智能相關(guān)產(chǎn)業(yè)規(guī)模將超過5萬億元，成為帶動(dòng)我國(guó)產(chǎn)業(yè)升級(jí)和經(jīng)濟(jì)轉(zhuǎn)型的主要?jiǎng)恿Α．?dāng)前，人工智能正被加速用于制造、交通、金融、能源、公共服務(wù)等國(guó)民經(jīng)濟(jì)重要行業(yè)和領(lǐng)域，深度學(xué)習(xí)開源平臺(tái)作為人工智能軟件開發(fā)的底層基座，其組件中存在的漏洞可經(jīng)由使用該組件的各類應(yīng)用傳播到各領(lǐng)域，引發(fā)規(guī)模化、連鎖式和持續(xù)性的安全威脅，帶來的損失難以估量。以智能網(wǎng)聯(lián)汽車為例，近年來，車載智能網(wǎng)關(guān)、遠(yuǎn)程通信 t-box 等漏洞隱患被陸續(xù)披露，工業(yè)和信息化部收錄的車聯(lián)網(wǎng)安全漏洞信息已超過2000條，漏洞一旦被利用則將嚴(yán)重威脅人身財(cái)產(chǎn)安全。比如，2019年特斯拉 Model S 入侵事件，黑客僅通過遠(yuǎn)程入侵，就可控制車輛終端系統(tǒng)，通過系統(tǒng)存在的漏洞打開車門并開走；此外，還能向車輛發(fā)送“自殺”命令，使其在正常行駛中突然關(guān)閉系統(tǒng)引擎。

漏洞作為關(guān)鍵武器資源已被各國(guó)廣泛儲(chǔ)備。當(dāng)前，國(guó)家間的網(wǎng)絡(luò)空間對(duì)抗日趨激烈，有組織的國(guó)家級(jí)網(wǎng)絡(luò)攻擊頻發(fā)。為了搶占網(wǎng)絡(luò)空間對(duì)抗主動(dòng)權(quán)，美、俄、歐等國(guó)家和地區(qū)積極發(fā)展網(wǎng)絡(luò)空間作戰(zhàn)力量，打造網(wǎng)絡(luò)攻擊武器庫(kù)，并將漏洞作為一類關(guān)鍵武器資源進(jìn)行儲(chǔ)備。2017年“永恒之藍(lán)”漏洞披露了美國(guó)囤積網(wǎng)絡(luò)漏洞武器的行為。近年來，為豐富漏洞武器庫(kù)，美國(guó)政府和軍方通過設(shè)立漏洞賞金、舉辦漏洞挖掘比賽等方式收集了大量有價(jià)值的漏洞，同時(shí)對(duì)漏洞披露機(jī)制預(yù)留了較多例外項(xiàng)，以延緩或不披露特定漏洞。比如，2018年美國(guó)的《網(wǎng)絡(luò)漏 洞披露報(bào)告法案》就要求國(guó)土安全部對(duì)漏洞進(jìn)行國(guó)家安全評(píng)估，然后再?zèng)Q定是向制造商和公眾披露漏洞還是利用新發(fā)現(xiàn)的漏洞攻擊潛在對(duì)手。與傳統(tǒng)網(wǎng)絡(luò)安全漏洞不同，人工智能漏洞深嵌于算法及其所依賴數(shù)據(jù)，可經(jīng)過系統(tǒng)體系化的“學(xué)習(xí)吸收”感染整個(gè)系統(tǒng)，導(dǎo)致密碼設(shè)置等傳統(tǒng)網(wǎng)絡(luò)安全手段難以應(yīng)對(duì)或修復(fù)，并產(chǎn)生崩盤式效應(yīng)，極易成為美國(guó)等國(guó)家的新型武器。

三、幾點(diǎn)建議

加強(qiáng)人工智能網(wǎng)絡(luò)安全漏洞管理。一是落實(shí)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，建立健全漏洞評(píng)估、共享、利用和管控等制度，規(guī)范漏洞發(fā)現(xiàn)、報(bào)送、披露和修復(fù)全流程，實(shí)現(xiàn)漏洞閉環(huán)管理。二是建設(shè)和完善網(wǎng)絡(luò)產(chǎn)品漏洞信息收集共享平臺(tái)，建立人工智能漏洞資源庫(kù)，加強(qiáng)與國(guó)家信息安全漏洞共享平臺(tái) （CNVD）、國(guó)家信息安全漏洞庫(kù)（CNNVD）等漏洞資源庫(kù)的資源共享，共同保障國(guó)家漏洞資源安全和有效利用。三是借鑒美國(guó)漏洞收集經(jīng)驗(yàn)，充分發(fā)揮政府引導(dǎo)、市場(chǎng)主體的作用，通過先期財(cái)政資金支持收購(gòu)漏洞等方式，推動(dòng)和營(yíng)造企業(yè)、研究機(jī)構(gòu)積極挖掘和主動(dòng)上報(bào)漏洞的良性生態(tài)，強(qiáng)化制造強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)。

推動(dòng)國(guó)產(chǎn)深度學(xué)習(xí)平臺(tái)研發(fā)應(yīng)用。一是將深度學(xué)習(xí)開源平臺(tái)自主可控納入國(guó)家規(guī)劃并抓好落地實(shí)施，利用科技專項(xiàng)支持深度學(xué)習(xí)開源平臺(tái)核心技術(shù)的研發(fā)，突破開源平臺(tái)關(guān)鍵核心技術(shù)瓶頸，提升人工智能產(chǎn)業(yè)鏈的自主可控水平。二是加強(qiáng)國(guó)產(chǎn)自主可控深度學(xué)習(xí)開源平臺(tái)的推廣應(yīng)用，利用首臺(tái)（套）政府采購(gòu)等政策，推動(dòng)國(guó)產(chǎn)深度學(xué)習(xí)平臺(tái)在人工智能創(chuàng)新應(yīng)用先導(dǎo)區(qū)的“先行先試”應(yīng)用，鼓勵(lì)地方政府聯(lián)合人工智能頭部企業(yè)建設(shè)人工智能賦能中心，加快推動(dòng)國(guó)產(chǎn)平臺(tái)在通信、制造、交通、能源和醫(yī)療等重點(diǎn)行業(yè)的示范應(yīng)用，逐步實(shí)現(xiàn)對(duì)國(guó)產(chǎn)平臺(tái)的遷移和全替代。三是充分發(fā)揮相關(guān)產(chǎn)業(yè)聯(lián)盟作用，鼓勵(lì)和引導(dǎo)更多應(yīng)用單位在國(guó)產(chǎn)深度學(xué)習(xí)開源平臺(tái)上進(jìn)行開發(fā)應(yīng)用，構(gòu)建合作共贏的人工智能產(chǎn)業(yè)生態(tài)。

健全“云-管-端”網(wǎng)絡(luò)安全保障體系。一是加強(qiáng)通信網(wǎng)絡(luò) 安全保障能力建設(shè)，建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)警、通報(bào) 和處置機(jī)制，完善威脅發(fā)現(xiàn)、攻擊阻斷、溯源反制等技術(shù)手段， 定期開展網(wǎng)絡(luò)安全檢查、檢測(cè)和評(píng)估等工作，保障通信網(wǎng)絡(luò)安 全穩(wěn)定運(yùn)行。二是加強(qiáng)車聯(lián)網(wǎng)、物聯(lián)網(wǎng)等智能終端管理平臺(tái)的 安全保障能力，完善車聯(lián)網(wǎng)、物聯(lián)網(wǎng)等平臺(tái)安全標(biāo)準(zhǔn)體系，強(qiáng) 化平臺(tái)與智能終端間的網(wǎng)絡(luò)信任和安全通信體系建設(shè)，提升車 聯(lián)網(wǎng)、物聯(lián)網(wǎng)等平臺(tái)的安全水平。三是加強(qiáng)智能網(wǎng)聯(lián)汽車終端 的安全管理，建立健全物聯(lián)網(wǎng)卡安全管理制度，支持建設(shè)智能終端設(shè)備漏洞檢測(cè)平臺(tái)，完善智能聯(lián)網(wǎng)終端網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)， 打造安全放心的智能終端設(shè)備應(yīng)用生態(tài)。