目前，中、美、歐等國家和地區(qū)都高度重視人工智能的發(fā)展，搶抓人工智能深度學習開源平臺生態(tài)建設，大力推動基于平臺的智能制造、智慧能源、智能交通等應用。與此同時，人工智能安全風險逐步加大，而安全保障能力對于經濟社會平穩(wěn)運行的作用也愈發(fā)突顯。作為信息系統(tǒng)的安全缺陷，漏洞會導致系統(tǒng)在未經授權的情況下被訪問或遭到破壞，會被攻擊者有目的地利用，它已成為網絡空間戰(zhàn)中的“殺手锏”。2021年以來，谷歌深度學習開源平臺 Tensorflow 頻繁被曝出安全漏洞，國家信息安全漏洞共享平臺（CNVD）僅2021年5月28日一天就收錄46個，漏洞的存在和被利用已經給人工智能應用帶來嚴重的安全風險，應予以高度重視。

一、我國應用深度學習開源平臺及安全現狀

國內主要行業(yè)用戶對國外平臺依賴度高。在國內，為了方便使用開源組件提高開發(fā)效率，便于與國外開展技術和學術交流，網易、新浪、小米和美團等頭部科技企業(yè)，清華大學、中山大學等知名院校，以及中國移動、聯想等重要行業(yè)企業(yè)都在使用谷歌 TensorFlow 等國外平臺，國外平臺應用領域涉及通信、互聯網、醫(yī)療、海洋等，業(yè)務類型包括通信網絡割接、病例標注、海面溫度預測，以及圖像、自然語言理解、語音識別和推薦等。

主流開源平臺普遍存在安全漏洞。目前，TensorFlow、Caffe、Torch 等國外平臺均被曝出過安全漏洞。據開源軟件社區(qū) GitHub 數據顯示，2020年以來，Tensorflow 被曝出安全漏洞百余個。其中，百度安全團隊發(fā)現了75個可導致系統(tǒng)不穩(wěn)定、數據泄漏、內存破壞等問題的安全漏洞；360公司發(fā)現49個。近期，360對國內外主流開源AI框架進行了安全性評測，累計7款機器學習框架（如 Tensorflow、PyTorch 等）被發(fā)現漏洞150多個，框架供應鏈漏洞200多個。其實，早在2017年，美國佐治亞大學、弗吉尼亞大學等院校就發(fā)現TensorFlow、Caffe 和 Torch 三個平臺有15個漏洞，類型包括 DoS 拒絕服務攻擊、躲避攻擊、系統(tǒng)損害攻擊等；騰訊安全團隊發(fā)現 TensorFlow 組件存在重大漏洞，如果開發(fā)者編寫機器人程序時使用該組件，黑客可輕易通過該漏洞控制機器人。

二、潛在的安全風險

漏洞極易通過開源平臺被植入人工智能系統(tǒng)。Gartner 調查顯示，99%的組織在其信息系統(tǒng)中使用了開源軟件。開源代碼和軟件構成了深度學習開源平臺系統(tǒng)的基礎，開源代碼和軟件本身帶有安全漏洞，很多開源平臺還沒有修復漏洞的響應機制。國家計算機網絡應急技術處理協(xié)調中心的調查結果顯示，近6年來，開源組件生態(tài)中漏洞數逐年遞增，2020年新增漏洞數3426個，同比增長40%。2020年，國家信息安全漏洞共享平臺發(fā)現開源軟件 Apache Tomcat 存在漏洞，可能造成部分重要配置文件或源代碼等敏感數據泄露，在一定條件下還可實現遠程代碼執(zhí)行，使用者的服務器會被直接控制。人工智能系統(tǒng)內部連接緊密而復雜，算法存在以統(tǒng)計方式進行學習、完全依賴數據等固有特性，很多關鍵應用依存于后端的人工智能體系，而人工智能體系又依賴于開源平臺提供的訓練模型，黑客可輕易通過開源平臺向人工智能應用植入漏洞或利用漏洞開發(fā)惡意模型，從而控制并篡改人工智能應用；一旦開源平臺失守，必將引發(fā)連鎖式崩盤，比互聯網時代傳統(tǒng)黑客攻擊后果更為嚴重。此類漏洞預埋在平臺最底層，迷惑性較強，在開源平臺安全測試和認證缺位的情況下，大部分開源平臺研究和應用人員都難以識別平臺存在的安全風險。此外，基于深度學習開源平臺開發(fā)的應用通常需要復雜的數據訓練過程，導致惡意模型攻擊短時間內很難被察覺。目前，國外開源平臺牢牢掌控著核心資源和游戲規(guī)則，一旦有目的性地植入帶有漏洞的開源代碼并被惡意利用，人工智能應用的安全性和可靠性會大打折扣，從而造成重大財產損失和惡劣的社會影響。

開源平臺漏洞將使我國經濟運行面臨挑戰(zhàn)。2017年國務院印發(fā)的《新一代人工智能發(fā)展規(guī)劃》提出，到2025年我國人工智能相關產業(yè)規(guī)模將超過5萬億元，成為帶動我國產業(yè)升級和經濟轉型的主要動力。當前，人工智能正被加速用于制造、交通、金融、能源、公共服務等國民經濟重要行業(yè)和領域，深度學習開源平臺作為人工智能軟件開發(fā)的底層基座，其組件中存在的漏洞可經由使用該組件的各類應用傳播到各領域，引發(fā)規(guī)模化、連鎖式和持續(xù)性的安全威脅，帶來的損失難以估量。以智能網聯汽車為例，近年來，車載智能網關、遠程通信 t-box 等漏洞隱患被陸續(xù)披露，工業(yè)和信息化部收錄的車聯網安全漏洞信息已超過2000條，漏洞一旦被利用則將嚴重威脅人身財產安全。比如，2019年特斯拉 Model S 入侵事件，黑客僅通過遠程入侵，就可控制車輛終端系統(tǒng)，通過系統(tǒng)存在的漏洞打開車門并開走；此外，還能向車輛發(fā)送“自殺”命令，使其在正常行駛中突然關閉系統(tǒng)引擎。

漏洞作為關鍵武器資源已被各國廣泛儲備。當前，國家間的網絡空間對抗日趨激烈，有組織的國家級網絡攻擊頻發(fā)。為了搶占網絡空間對抗主動權，美、俄、歐等國家和地區(qū)積極發(fā)展網絡空間作戰(zhàn)力量，打造網絡攻擊武器庫，并將漏洞作為一類關鍵武器資源進行儲備。2017年“永恒之藍”漏洞披露了美國囤積網絡漏洞武器的行為。近年來，為豐富漏洞武器庫，美國政府和軍方通過設立漏洞賞金、舉辦漏洞挖掘比賽等方式收集了大量有價值的漏洞，同時對漏洞披露機制預留了較多例外項，以延緩或不披露特定漏洞。比如，2018年美國的《網絡漏 洞披露報告法案》就要求國土安全部對漏洞進行國家安全評估，然后再決定是向制造商和公眾披露漏洞還是利用新發(fā)現的漏洞攻擊潛在對手。與傳統(tǒng)網絡安全漏洞不同，人工智能漏洞深嵌于算法及其所依賴數據，可經過系統(tǒng)體系化的“學習吸收”感染整個系統(tǒng)，導致密碼設置等傳統(tǒng)網絡安全手段難以應對或修復，并產生崩盤式效應，極易成為美國等國家的新型武器。

三、幾點建議

加強人工智能網絡安全漏洞管理。一是落實《網絡產品安全漏洞管理規(guī)定》，建立健全漏洞評估、共享、利用和管控等制度，規(guī)范漏洞發(fā)現、報送、披露和修復全流程，實現漏洞閉環(huán)管理。二是建設和完善網絡產品漏洞信息收集共享平臺，建立人工智能漏洞資源庫，加強與國家信息安全漏洞共享平臺 （CNVD）、國家信息安全漏洞庫（CNNVD）等漏洞資源庫的資源共享，共同保障國家漏洞資源安全和有效利用。三是借鑒美國漏洞收集經驗，充分發(fā)揮政府引導、市場主體的作用，通過先期財政資金支持收購漏洞等方式，推動和營造企業(yè)、研究機構積極挖掘和主動上報漏洞的良性生態(tài)，強化制造強國和網絡強國建設。

推動國產深度學習平臺研發(fā)應用。一是將深度學習開源平臺自主可控納入國家規(guī)劃并抓好落地實施，利用科技專項支持深度學習開源平臺核心技術的研發(fā)，突破開源平臺關鍵核心技術瓶頸，提升人工智能產業(yè)鏈的自主可控水平。二是加強國產自主可控深度學習開源平臺的推廣應用，利用首臺（套）政府采購等政策，推動國產深度學習平臺在人工智能創(chuàng)新應用先導區(qū)的“先行先試”應用，鼓勵地方政府聯合人工智能頭部企業(yè)建設人工智能賦能中心，加快推動國產平臺在通信、制造、交通、能源和醫(yī)療等重點行業(yè)的示范應用，逐步實現對國產平臺的遷移和全替代。三是充分發(fā)揮相關產業(yè)聯盟作用，鼓勵和引導更多應用單位在國產深度學習開源平臺上進行開發(fā)應用，構建合作共贏的人工智能產業(yè)生態(tài)。

健全“云-管-端”網絡安全保障體系。一是加強通信網絡 安全保障能力建設，建立健全網絡安全風險監(jiān)測、預警、通報 和處置機制，完善威脅發(fā)現、攻擊阻斷、溯源反制等技術手段， 定期開展網絡安全檢查、檢測和評估等工作，保障通信網絡安 全穩(wěn)定運行。二是加強車聯網、物聯網等智能終端管理平臺的 安全保障能力，完善車聯網、物聯網等平臺安全標準體系，強 化平臺與智能終端間的網絡信任和安全通信體系建設，提升車 聯網、物聯網等平臺的安全水平。三是加強智能網聯汽車終端 的安全管理，建立健全物聯網卡安全管理制度，支持建設智能終端設備漏洞檢測平臺，完善智能聯網終端網絡安全監(jiān)測技術， 打造安全放心的智能終端設備應用生態(tài)。