8月26日，360 AI安全研究院公布了關于人臉識別技術的研究成果和風險提示。據(jù)了解，360 AI安全研究院曾聯(lián)合清華、西安交大的研究人員發(fā)現(xiàn)AI應用中圖像縮放模塊存在的漏洞，提出了一種新型的數(shù)據(jù)流降維攻擊方法，影響了國內外主流的AI云服務。

　　在此次ISC 2020 大會的人工智能與安全論壇上，360 AI安全研究院研究員劉昭以某款人臉識別設備能讓任意人通過為例，說明不僅AI算法存在漏洞，其所依賴的關鍵基礎設施也同樣會被攻擊，并進一步揭露了AI關鍵基礎設施存在的安全風險。通過攻擊漏洞，最終可以在某人臉識別設備中實現(xiàn)任意人員都能通過驗證的效果。

　　值得關注的是，這種攻擊不是針對AI算法的攻擊，而是對AI算法所依賴的基礎設施進行的攻擊。“針對基礎設施攻擊，最終可能會更快達到攻擊效果?！眲⒄言谘葜v中表示，大多數(shù)研究人員偏向于對算法安全的研究，比如對抗樣本攻擊、后門攻擊等。雖然AI基礎設施安全風險巨大，其嚴重性卻容易被忽視。這意味著，AI關鍵基礎設施的三個層面都面臨一定安全風險。

　　針對深度學習框架安全風險。云端框架安全風險主要來自于自身代碼的實現(xiàn)以及第三方的依賴庫問題；終端框架安全風險主要存在于模型網絡參數(shù)、模型網絡結構，以及模型轉換過程。據(jù)了解，360 AI安全研究院已經在多個深度學習框架及其依賴組件中發(fā)現(xiàn)了100多個漏洞，如OpenCV，hdf5，numpy等。

　　針對硬件相關的安全風險。據(jù)英偉達官網統(tǒng)計，截至今年7月，關于GPU驅動漏洞的數(shù)目達到數(shù)百個；芯片漏洞以幽靈、熔斷為例，幽靈漏洞可以造成泄露敏感數(shù)據(jù)、執(zhí)行特定代碼，熔斷漏洞導致用戶態(tài)獲取特權內存的數(shù)據(jù)，這些漏洞影響了Intel、部分ARM的處理器。

　　針對云平臺的安全風險。360 AI安全研究院表示，用于深度學習任務的節(jié)點性能強大，因此總會有一些攻擊者想要非法使用這些資源進行挖礦。

　　“只有在確保AI系統(tǒng)的安全，才有可能放心享受AI的便利，那么保證系統(tǒng)中AI關鍵基礎設施的安全至關重要。”360 AI安全研究院表示，AI關鍵基礎設施的安全問題可以通過權限控制、訪問隔離、參數(shù)過濾等措施進行緩解，針對AI關鍵基礎設施的安全問題，需要建立多維度、一體化風險評估方法以及對應防御措施。

　　下一步，360 AI安全研究院將聚集國內外頂尖人工智能安全創(chuàng)新要素，研究人工智能系統(tǒng)各個環(huán)節(jié)安全問題，突破人工智能安全攻防重大關鍵共性技術，構建自動化安全風險評測平臺。