负责任的人工智能:人工智能安全和隐私的未来

人工智能现在越来越多地部署在商业、医疗保健、政府和国防部门的生产环境中，英特尔为开发人员提供了人工智能软件工具 , 框架优化 和特定于行业的参考套件 以实现从试验到生产的转变。然而，软件开发中常见的安全实践还没有完全应用到人工智能中。人工智能在许多情况下增加了脆弱性的新机会。

令人欣慰的是，Jason和他的团队进行了尝试识别漏洞的研究，因此他们可以开发技术来测试并在实践中减轻它们。在他的整个演讲中，Jason使用了术语“机器学习供应链”，这是一种思考所有监控领域的有用方法。该系统中需要保护的资产有:

• 训练数据-样本和标签
• 模型架构
• 模型参数
• 推理样本
• 模型的输出——预测/决策

这些都可以是目标，并且出于各种原因，通过各种技术。Jason的演示概述了他的团队所研究的攻击类型的示例，并举例说明。这里有一个简短的总结:

模型盗窃: 通过探测边界条件的API查询。毕竟，模型的开发和训练是昂贵的。你不需要模型的按位拷贝来提取它的值。一个良性的例子是知识提取，一种模型压缩技术。当这种方法被用来窃取模型时，它被称为模型提取。

数据盗窃: 除了纯粹的盗窃之外，由于数据具有巨大的价值，根据数据构建的人工智能模型提供了新的方法来访问仅来自模型输出的特定信息:

o模型反演，当模型记忆了关于它被训练的数据的信息时，对手重建泄漏到模型中的训练数据。

o成员推理攻击，对手试图确定一个数据点是否是模型训练数据集的一部分。

篡改: 来改变模型的行为。这可能发生在训练、推理、甚至是操纵模型输出的过程中，因为它被更大的系统所使用。Jason举例说明了篡改的类型，从可以导致你被归类为鸟类的t恤，到恶意软件和信号干扰等更邪恶的攻击。

在某一点上，杰森读到了观众，并停下来向他们保证，“别担心，我们会进入防御状态。”

鉴于潜在漏洞的巨大表面积，以及不断的演变，没有单一的解决方案。但是你可以今天就开始保护你的人工智能。

保护您的数据。使用加密和限制访问来保护静态数据。英特尔软件保护扩展(英特尔SGX公司 )最初由英特尔实验室开发，用于保护使用中数据的机密性和完整性。它隔离应用程序并支持工作负载的远程证明，因此只执行批准的模型和培训程序。您可以使用SGX技术构建自己的安全解决方案，或者通过工具、框架或操作系统访问它内置 .

由于HIPAA或GPDR等保密要求，或者由于数据太专有或太大，一些数据需要保持隔离。但是仍然可以通过聚合来构建高质量的模型联合学习 . OpenFL 将计算移动到数据所在的位置，将部分模型聚合到一个新的全局模型中。联合肿瘤分割(场效应晶体管 )项目就是一个例子，在该项目中，来自多个机构的聚合模型通过以下方式提高了模型的准确性33% .

使用防止模型失窃英特尔发布OpenVINO工具包 安全性附加组件。该工具通过安全打包和安全模型执行，帮助您控制对已部署的OpenVINO模型的访问。

通过减少模型输出信息量(如置信度得分)来防止模型提取攻击。其他防止模型提取的技术包括限速查询和检测分布外查询。启用模型水印的工作正在进行中。

对抗性攻击仍然具有挑战性。英特尔是内容来源和真实性联盟的一员，记录数据来源以追踪数据来源。英特尔也是DARPA保证人工智能抗欺骗鲁棒性(GARD)计划的一部分，该计划通过训练模型来学习映射到人类视觉系统的数据的更强大的功能，从而减少模型中毒攻击。杰森概述了他的团队正在试验的其他一些技术。

或许从本次会议中获得的关键收获是采取一种安全心态。大多数人工智能开发都是在非常开放的研究环境中进行的，开发具有专有或机密数据的生产人工智能系统需要从生命周期开始就内置安全性。在创新的同时实现完全的安全性是相当困难的，但是今天的工具将在防止许多攻击方面做得很好。如果你设计你的系统安全地失败，那么你也可以最小化负面后果。随着人工智能行业的不断成熟，更多的工具和最佳实践将变得可用。

我们也鼓励你检查所有的尖端安全和隐私研究 发生在英特尔实验室，并了解更多关于英特尔人工智能开发工具和资源 .