人工智能可以幫助解決它造成的隱私問題

如果沒有海量數(shù)據(jù)，無(wú)論是家庭中的智能揚(yáng)聲器還是個(gè)性化的書本推薦，人工智能都不會(huì)取得驚人的成功。人工智能在經(jīng)濟(jì)新領(lǐng)域的傳播，例如人工智能驅(qū)動(dòng)的營(yíng)銷和自動(dòng)駕駛汽車，正在推動(dòng)越來越多的數(shù)據(jù)收集。這些大型數(shù)據(jù)庫(kù)正在收集各種各樣的信息，其中一些信息敏感且可以個(gè)人識(shí)別。所有這些數(shù)據(jù)集中在一個(gè)地方，使這些數(shù)據(jù)庫(kù)成為誘人的目標(biāo)，從而增加了侵犯隱私的風(fēng)險(xiǎn)。

公眾在很大程度上警惕AI的數(shù)據(jù)渴望方式。根據(jù)布魯金斯大學(xué)的一項(xiàng)調(diào)查，有49%的人認(rèn)為AI會(huì)減少隱私。只有12%的人認(rèn)為它沒有效果，只有5%的人認(rèn)為它可能會(huì)更好。

作為網(wǎng)絡(luò)安全和隱私研究人員，我們認(rèn)為AI與數(shù)據(jù)隱私之間的關(guān)系更加細(xì)微。人工智能的傳播引發(fā)了許多隱私問題，其中大多數(shù)人甚至可能都不知道。但與此相反，人工智能也可以幫助緩解許多此類隱私問題。

AI帶來的隱私風(fēng)險(xiǎn)不僅來自大量個(gè)人數(shù)據(jù)收集，還來自深層神經(jīng)網(wǎng)絡(luò)模型，這些模型為當(dāng)今大多數(shù)人工智能提供了動(dòng)力。數(shù)據(jù)不僅不受數(shù)據(jù)庫(kù)破壞的影響，還受到模型中泄露數(shù)據(jù)的模型的“泄漏”的影響。

深度神經(jīng)網(wǎng)絡(luò)是旨在發(fā)現(xiàn)數(shù)據(jù)模式的算法的集合，由許多層組成。在這些層中有大量稱為神經(jīng)元的節(jié)點(diǎn)，并且相鄰層的神經(jīng)元相互連接。每個(gè)節(jié)點(diǎn)及其之間的鏈接對(duì)信息的某些位進(jìn)行編碼。當(dāng)特殊過程掃描大量數(shù)據(jù)以訓(xùn)練模型時(shí)，將創(chuàng)建這些信息位。

例如，可以在一系列自拍照上訓(xùn)練面部識(shí)別算法，以便它可以更準(zhǔn)確地預(yù)測(cè)一個(gè)人的性別。這樣的模型非常準(zhǔn)確，但是它們也可能存儲(chǔ)過多的信息，實(shí)際上是在記住訓(xùn)練數(shù)據(jù)中的某些面孔。實(shí)際上，這正是康奈爾大學(xué)的研究人員發(fā)現(xiàn)的。攻擊者可以通過探索對(duì)面部圖像性別進(jìn)行分類的深度神經(jīng)網(wǎng)絡(luò)來識(shí)別訓(xùn)練數(shù)據(jù)中的人。

他們還發(fā)現(xiàn)，即使攻擊者無(wú)法使用原始的神經(jīng)網(wǎng)絡(luò)模型，攻擊者仍然可以分辨出訓(xùn)練數(shù)據(jù)中是否有人。他們通過使用一組模型進(jìn)行此操作，這些模型在與訓(xùn)練數(shù)據(jù)相似但不相同的數(shù)據(jù)上進(jìn)行訓(xùn)練。因此，如果原始訓(xùn)練數(shù)據(jù)中存在一個(gè)留著胡須的男人，則在不同胡須男人的照片上訓(xùn)練的模型可能能夠揭示其身份。

另一方面，人工智能可以用來緩解許多隱私問題。根據(jù)Verizon的《 2019年數(shù)據(jù)泄露調(diào)查報(bào)告》，大約52%的數(shù)據(jù)泄露涉及黑客攻擊。現(xiàn)有的大多數(shù)檢測(cè)網(wǎng)絡(luò)攻擊的技術(shù)都依賴于模式。通過研究以前的攻擊，并確定攻擊者的行為是否偏離規(guī)范，這些技術(shù)可以標(biāo)記可疑活動(dòng)。AI擅長(zhǎng)這種事情：研究現(xiàn)有信息以識(shí)別新數(shù)據(jù)中的相似模式。

盡管如此，人工智能不是萬(wàn)靈藥。攻擊者經(jīng)常可以修改其行為以逃避檢測(cè)。采取以下兩個(gè)示例。舉一個(gè)例子，假設(shè)反惡意軟件使用AI技術(shù)通過掃描特定的軟件代碼序列來檢測(cè)特定的惡意程序。在這種情況下，攻擊者可以簡(jiǎn)單地將代碼的順序改組。在另一個(gè)示例中，反惡意軟件可能首先會(huì)在稱為沙箱的安全環(huán)境中運(yùn)行可疑程序，在該環(huán)境中它可以查找任何惡意行為。在這里，攻擊者可以指示惡意軟件檢測(cè)其是否正在沙盒中運(yùn)行。如果是這樣，它就可以正常工作，直到將其從沙箱中釋放出來為止，就像負(fù)鼠死了，直到威脅已經(jīng)過去。

AI研究的一個(gè)新分支叫做對(duì)抗學(xué)習(xí)，旨在改進(jìn)AI技術(shù)，以使它們不易遭受此類逃避攻擊。例如，我們已經(jīng)進(jìn)行了一些初步的研究，以研究如何使惡意軟件更難于逃避檢測(cè)，這些惡意軟件可用于侵犯?jìng)€(gè)人隱私。我們想出的一種方法是給AI模型增加不確定性，以使攻擊者無(wú)法準(zhǔn)確預(yù)測(cè)該模型將做什么。它會(huì)掃描特定的數(shù)據(jù)序列嗎？還是會(huì)運(yùn)行沙盒？理想情況下，惡意軟件不會(huì)知道并且會(huì)無(wú)意間暴露其動(dòng)機(jī)。

我們可以使用AI改善隱私的另一種方法是探究深度神經(jīng)網(wǎng)絡(luò)的漏洞。沒有一種算法是完美的，并且這些模型容易受到攻擊，因?yàn)樗鼈兺ǔ?duì)所讀取數(shù)據(jù)的微小變化非常敏感。例如，研究人員表明，在停車標(biāo)志上添加便簽紙可以欺騙AI模型以為它看到了限速標(biāo)志。像這樣的細(xì)微改動(dòng)利用了訓(xùn)練模型的方式來減少錯(cuò)誤。這些減少錯(cuò)誤的技術(shù)打開了一個(gè)漏洞，攻擊者可以通過該漏洞找到使模型蒙混的最小更改。

這些漏洞可通過在個(gè)人數(shù)據(jù)中添加噪音來改善隱私。例如，德國(guó)馬克斯·普朗克信息學(xué)院的研究人員設(shè)計(jì)了一些巧妙的方法，可以將Flickr圖像修改為面部識(shí)別軟件。這些變化非常微妙，以至于人眼無(wú)法察覺。

AI可以幫助緩解隱私問題的第三種方式是在構(gòu)建模型時(shí)保留數(shù)據(jù)隱私。一項(xiàng)有前途的發(fā)展稱為聯(lián)合學(xué)習(xí)，該技術(shù)在Google的Gboard智能鍵盤中用于預(yù)測(cè)接下來要鍵入的單詞。聯(lián)合學(xué)習(xí)根據(jù)存儲(chǔ)在許多不同設(shè)備（例如手機(jī)）上的數(shù)據(jù)而不是一個(gè)中央數(shù)據(jù)存儲(chǔ)庫(kù)來構(gòu)建最終的深度神經(jīng)網(wǎng)絡(luò)。聯(lián)合學(xué)習(xí)的主要好處是原始數(shù)據(jù)永遠(yuǎn)不會(huì)離開本地設(shè)備。因此，隱私在某種程度上受到保護(hù)。但是，這不是一個(gè)完美的解決方案，因?yàn)楫?dāng)本地設(shè)備完成一些計(jì)算時(shí)，它們并沒有完成它們。中間結(jié)果可能會(huì)揭示有關(guān)設(shè)備及其用戶的一些數(shù)據(jù)。

聯(lián)合學(xué)習(xí)讓您對(duì)AI更尊重隱私的未來有所了解。我們希望，對(duì)AI的持續(xù)研究將找到更多方法，將其作為解決方案的一部分，而不是問題的根源。