引领技术前沿

演讲嘉宾:童超360人工智能研究院产品与对外合作负责人

各位下午好。我是360的童超。今天的话题也挺有意思的。AI的前沿技术落地了。我也想分享一下我们从360的角度观察到的AI的一些技术和行业的落地的一些思考。

人工智能的概念是从深度学习开始的，或者说从2016年开始，我们就有了一直在积累的热度，一直延续到今年。从数字化的角度，我们可能会认为人工智能已经成为第一个必要条件，是一个非常核心的驱动力。从一些案例来看，无论是谷歌在机器翻译方面的能力，微软在语音识别方面的能力超过普通人，还是这两年人们聚焦于DeepMind在生命科学领域密集的前沿研究成果，或者是在一些商业领域，看到了AI以一种非常安静的方式服务于各种应用场景。它形成了一个非常基础和前沿的驱动力，支撑着我们几个实体或虚拟经济体的核心。

但是有一个问题。刚才我们看到人工智能是一个前沿的基础技术。很多前沿的基础技术都会有AB两面性，本身并没有道德判断或者价值。但是因为不同的人在不同的场景下使用，我们会发现这样的技术会有AB两面。刚才说了很多A面，社会价值，商业价值，有很多正面影响。同样的技术很可能被一些动机不纯的人作为B端的恶劣影响。

传统上，我们在安全领域进行大量的攻击和防御。攻防的技术是基于我们传统的网络或者互联网技术。一些坏人可能会发现，人工智能可以被他利用，进行一些更高级或者持续的攻击。带给我们的是，在现在这样一个相对稳定的环境下，由于人工智能的出现，很可能会给攻击的这一方带来一些新的不同的方法。包括在我们国家网络的研究探索过程中，比如恶意代码检测系统的攻击，可能会有坏人或者负面的开发者和黑客。他可能利用人工智能之类的模型，生成一些可能非常隐蔽，传统方法无法观察到的恶意代码，穿透原有的防御体系。还是中间的例子，一个在互联网上已经基本形成行业共识的系统。最近，我们发现一些模型可以在极短的时间内，以毫秒为单位，突破使用了多年、在某些方面被认为非常鲁棒的系统。这是一个危险的信号。语音诈骗，正面的人会用语音客服，背后是机器人。这个机器人会用在好的领域，也可能用在诈骗领域。当这个技术中有AB两个面的时候，就会引起我们的思考，应该如何处理B面？

就我们而言，360是一个非常领先的企业，有长期的品牌安全，我们也利用人工智能技术做了很多尝试。在坏人利用人工智能进行攻击的环境下，我们作为白帽黑客团队，如何利用如此先进的人工智能技术来防御新形式或新类型的攻击？同时，我们会发现一个问题。当新技术出现的时候，我们常说这种攻防最终会落在人对人的攻击上，这样在不断的攻防之间就会出现一些新的场景新的市场机会。这个时候我们会发现，人工智能在整个大而安全的市场中，慢慢的也会出现一些新市场的小区域或者场景。同时，因为人工智能技术本身也在不断进化发展，我们会发现这个市场越来越大。我们估计，2030年，人工智能在大安防市场的份额可能占到几千亿美元。像漏洞挖掘这样的传统还有很多，360已经积累了全球最大的规则库。我们来找找这样的漏洞。但是，当人工智能技术出现时，这种规则库技术可能不适合人工智能攻击条件下的漏洞检测。同样，作为一个防御者，我们也需要利用人工智能技术来检测这样的动态生态，或者是我从未见过的新漏洞。像恶意代码检测一样，像恶意流量检测一样，流量问题是典型的。我们会发现越来越多的互联网流量被加密传输。加密流量将带来挑战。我们可能越来越难以用传统西德的方法检测加密环境下的所谓恶意流量。人工智能技术，因为可以动态更新学习特征，在类似的情况下，可以给我们更多的想象空间空。

刚才从一些技术的角度，回到国内的市场和行业，国内人工智能安全市场存在一些不足。我分为三个方面。

首先，我们会发现人工智能本身。我们说的更多的是算法，其实人工智能是一个完整的系统。从国内来看，对于人工智能系统本身，从底层芯片，驱动算法的计算能力，到上层的行业应用和软件系统，我们可能对每个模块都有一点点相应的标准或者安全评测方法。当我们把它拉在一起，变成一个完整的体系时，我们会发现，在中国，安全评估的完整手段很少或者基本没有。这个时候，对于采用这些人工智能技术或者带有人工智能技术的产品的公司或者个人来说，都是一件有风险的事情。

第二，人工智能在其他行业的应用非常相似。人工智能技术的进化和大家对采用人工智能的期待有一定距离。首先是重视程度。刚才我说了A面和B面。现在，我们看到A端的价值更大，B端的风险更小。第二，攻击毕竟是少数。在全网或者所有场景中，攻击都是比较少的数量，这给我们带来的攻击在训练样本上的数据比较少。培养一个好的模特对我们来说是一个挑战。第三，我们的客户在AI的整个领域和应用场景的需求是有差距的，大家的这种期待是有问题的。

第三，从整个行业来看，国内国外差别很大。我在这里列举了一个数据。每年我们都会有AI 100的榜单。全榜单有24家左右的公司有AI安全。这其实是一个很显著的比例，但是有一个很大的问题。这24家公司没有一家来自中国。可能国外市场已经逐渐意识到AI安全很重要，一些相关公司也在做。

基于以上的思考，从360的角度出发，以我们自己的产品为基础，依托我们科技部的平台，构建了安全大脑人工智能国家新一代开放创新平台。就我们而言，我们希望通过这样一个平台，可以把人工智能安全的整个环境，这个生态搭建起来。在这个平台下，我们重点关注三个方面。第一个是AI的系统安全，如何让AI更安全，第二个是AI赋能安全。我们在许多行业和场景中。AI在他们的安全需求中能起到什么作用？第三是AI的安全创新环境。我们希望帮助更多AI安全生态下的企业，包括和更多的合作伙伴一起建设AI的安全生态，把它变成一个更健康、更快速增长的市场。

具体来说，在这个平台上，我们有大约三个方面的重点能力建设。

首先是数据安全。这方面我们在研究探索的过程中会发现，数据安全可以分为两类。第一个是模型的数据安全。很多AI开发者会把自己的模型部署在终端或者云系统中，但人们可能没有意识到的是，你的模型的数据是可以被别人获取或者复制的。里面有一个案例。我们的人工智能安全实验室发现，许多或相当多的应用程序的模型将在我们研究的许多应用程序中找到。我们可以直接看到他的模型里的文件，白色的部分用了什么算法，每一层的设计。这种问题，作为开发者，你训练出来的模型非常容易被黑客获取。

二是个人隐私的数据。AI的应用肯定是部署后需要我们做推理，需要有原始数据做推理。这个时候，如果这个场景涉及到一些个人隐私数据，就非常危险了。我们还看到这里有一些人脸识别设备。我们在探索的过程中也发现，它可能打开的端口甚至可以明文看到通过URL找到的人脸原图，这是一件非常危险的事情。算法安全，深度学习，大家都知道，叫黑盒算法。通过建立算法平台，可以深度学习算法积累的常见攻防场景，让其他模型验证算法在此类攻防场景下的鲁棒性。

第三部分是工程部分。我们在谈论AI的时候往往会忽略工程部分，但实际上AI可能是依靠一个大的工程系统才能运行得更好。从360的角度来看，有人工智能开放平台、机器学习平台、机器学习推理平台。从我们的角度来说，我们也在不断地研究这样一个开源框架是否存在问题，并支持我们的开发者进行开发。到目前为止，我们的Tensorflow已经向官方提出了90多个漏洞，这是我们在工程层面需要考虑的。

从场景落地和行业赋能的角度来看，我们在工业互联网、物联网、车联网、智慧城市方面会有很多落地场景。我们会有相关能力支持教育行业，运营商，包括国家的创意产业。

说到刚才已经做的一些事情，从未来来看，大概会有两个关键词，第一是共建，第二是赋能。这个平台，从底层来说，我们希望更多的政府部委，包括头部安全创新的企业，能够结合360的安全大脑，把我们的数据、资源、知识聚集在这个平台上，能够上去赋能几个行业，不同的垂直场景。这样的平台可以为AI安全事业做出贡献。

我们希望构建一个人工智能+安全的国家开放平台，共同努力构建一个更好的安全可信的人工智能。这是我的一份，谢谢大家。