人工智能的真實世界中的應用增長得如此之快，并且變得如此普遍，以至于很難在日常生活中遇到。例如開車或發短信的朋友，并沒有看到它們的影響。網絡安全領域也是如此，攻擊者和捍衛者都希望AI能夠占上風。它的崛起恰逢數據本身的激增， 隨著我們越來越依賴于用人工智能來理解這個以數據為中心的全新世界，我們還需要對其安全性進行了解和認識。

幾十年來，防御者通過檢測簽名或指示惡意活動的特定模式來抵御攻擊。這種自下而上的方法是被動的。新的攻擊需要部署新的簽名，所以攻擊者總是在數字混戰中領先一步。下一代，基于人工智能的解決方案通過采用自上而下的方法并將大量活動數據集提供給統計模型來解決這個問題。從簽名到統計數據的這種轉變意味著防御措施可以是積極主動的，并可以更好地推廣到新的攻擊。

人工智能防御技術蓬勃發展，現在普遍應用于垃圾郵件過濾，惡意文件或URL檢測等經典問題。這些模型通常依賴于受監督的機器學習算法，該算法將來自它們輸入的函數(例如，“https://google.com”或“http:// google phishpage.com”的域名)映射到輸出(例如，“良性“或”惡意“)。雖然監督式學習可能清晰地映射到辯護人區分良性和惡意的需要，但由于其依賴于預先存在的標簽，實施起來也很昂貴和耗時。數據標簽需要前期努力，要求領域專業知識，并且不能在其他地方重新使用，這意味著構建有效的基于AI的防御存在根本瓶頸。

進攻性AI的結構優勢

基于人工智能的防御遭受其他可利用的弱點。由于模型的準確性受其標簽保真度的控制，當模型的創建者在由有目的地損壞的標簽注入的數據集上訓練它時，攻擊者可以毒害模型。這允許攻擊者構建繞過檢測的特定樣本。其他模型系統地容易受到輕微干擾的輸入，導致它們產生令人尷尬的高置信度的錯誤。所謂的對抗例子最好通過物理攻擊來說明，比如在停車標志上放置貼紙來欺騙自動駕駛汽車中使用的物體識別器，以及植入隱藏的聲音命令來欺騙智能揚聲器中使用的語音識別器來報警。

雖然這些例子可能接近普通公民的家，但對于網絡安全專業人員來說，類似的錯誤可能意味著違規和促銷之間的差異。攻擊者越來越多地轉向自動化，他們很快就會轉向AI來利用這些弱點。簡而言之，“紅隊”攻擊者可以像“藍隊”防御者一樣從數據中受益。

圍繞魚叉式網絡釣魚，密碼破解，Captcha顛覆，隱寫術，Tor去匿名和防毒回避的理論，基于人工智能的紅色團隊工作流程日益增多。在每次模擬中，攻擊者都可以利用易于訪問的數據，這表明數據標簽瓶頸使得基于AI的攻擊比他們的防御對手更容易取消。

乍一看，這可能看起來像歷史重演。攻擊者一直享有優勢，僅僅是因為攸關什么。藍隊只有在檢測接近100%成功時才真正獲勝，而紅隊在100人中僅獲得一次成功的情況下獲勝。

這次的不同是一個更廣泛的行業趨勢，不幸的是，這對紅隊有利。我們在諸如圖像識別等問題上取得如此巨大進展的原因之一是其研究人員因協作而獲得獎勵。另一方面，網絡安全研究人員常常受到限制，因為他們的數據太敏感，甚至是非法分享，或者被視為知識產權，這是讓供應商在激烈競爭的網絡安全市場中站穩腳跟的秘密武器。攻擊者可以利用這種分散的格局和缺乏數據共享來超越防御。

加劇這種不對稱的情況下，進入應用AI退出博士學位的障礙只是時間問題。對高中教室的論文，免費的教育資源，可用的數據集和預先訓練的模型，對GPU等強大的基于云計算資源的訪問以及開源軟件庫都降低了AI新手的攻擊條件，并因此成為攻擊者。深度學習實際上比舊的范例對用戶更加友好，并且在許多情況下，它不再像以前那樣需要的專家手工設計才能產生最新的精度。

暴風雨前的平靜……

鑒于這些現實情況，“一美元的進攻擊敗一美元的防守”這句話似乎對惡意使用人工智能的情況進行有效的總結。到目前為止，良好的老式手動攻擊仍然占據統治地位，并沒有可靠的證據記錄證明受到大量基于AI的攻擊。但是，正是在這個時候，我們應該考慮如何改善數據標簽瓶頸問題，用以減少對未來影響的可能性。

雖然賠率可能與它們相疊加，但防御者確實有可用的工具來幫助他們降低標注數據的成本和時間。眾包標簽服務提供便宜的按需勞動力，其共識可以接近專家的準確性。該行業的其他重要技巧包括通過以下策略加速部署基于人工智能的防御：

主動學習，相對較慢的人類專家只標記最豐富的數據。

半監督學習，其中訓練有限標記數據的模型從可用的未標記數據中學習問題結構。

轉移學習，其中先前針對具有豐富可用標記數據的問題進行訓練的模型針對具有有限標記數據的新問題而定制。

最后，最好的防守是一個很好的進攻。如果謹慎處理，公司可以制作對抗性樣本，加強基于人工智能的防御，這意味著防御者可以先發制人攻擊自己的模型，以幫助堵塞任何漏洞。

盡管數據標簽瓶頸使基于AI的攻擊成為戰術優勢，但是防御者現在可以也應該采取措施在攻擊者釋放這些威脅之前對賽場進行調整。shania 譯