近日,在ISC 2020 大会的人工智能与安全论坛上,360 AI安全研究院研究员刘昭以某款人脸识别设备能让任意人通过为例,说明不仅AI算法存在漏洞,其所依赖的关键基础设施也同样会被攻击,并进一步揭露了AI关键基础设施存在的安全风险。

据了解,360 AI安全研究院隶属于360未来安全研究院,一直专注于人工智能与安全的前沿技术研究,涉及AI基础设施安全、AI算法安全、AI数据安全等方向的研究工作。在AI基础设施安全方面,目前已累计发现100多个人工智能基础软硬件漏洞。

此外,360 AI安全研究院曾联合清华、西安交大的研究人员发现AI应用中图像缩放模块存在的漏洞,提出了一种新型的数据流降维攻击方法,影响了国内外主流的AI云服务。这一研究成果发表在信息安全领域顶级国际会议USENIX Security上。

据介绍,AI关键基础设施的三个层面都面临一定安全风险。

针对深度学习框架安全风险。刘昭解释称,深度学习框架主要可以划分为云端学习框架和终端学习框架。云端框架安全风险主要来自于自身代码的实现以及第三方的依赖库问题;终端框架安全风险主要存在于模型网络参数、模型网络结构,以及模型转换过程。据了解,360 AI安全研究院已经在多个深度学习框架及其依赖组件中发现了100多个漏洞,如OpenCV,hdf5,numpy等。

针对硬件相关的安全风险。据英伟达官网统计,截至今年7月,关于GPU驱动漏洞的数目达到数百个;芯片漏洞以幽灵、熔断为例,幽灵漏洞可以造成泄露敏感数据、执行特定代码,熔断漏洞导致用户态获取特权内存的数据,这些漏洞影响了Intel、部分ARM的处理器。

针对云平台的安全风险。360 AI安全研究院表示,用于深度学习任务的节点性能强大,因此总会有一些攻击者想要非法使用这些资源进行挖矿。比如,今年6月,微软通报部分Kubeflow存在未授权访问的问题,导致大量设备被非法挖矿。攻击者可以未授权访问Kubeflow的控制面板,通过各种方法部署带有挖矿程序的容器。

“只有在确保AI系统的安全,才有可能放心享受AI的便利,那么保证系统中AI关键基础设施的安全至关重要。”360 AI安全研究院表示,AI关键基础设施的安全问题可以通过权限控制、访问隔离、参数过滤等措施进行缓解,针对AI关键基础设施的安全问题,需要建立多维度、一体化风险评估方法以及对应防御措施。

未来,360 AI安全研究院将聚集国内外顶尖人工智能安全创新要素,研究人工智能系统各个环节安全问题,突破人工智能安全攻防重大关键共性技术,构建自动化安全风险评测平台,从而占领人工智能安全技术高地,形成国际领先的的人工智能安全评估和管控能力。