李維斌:借鑒資安歷史 迎接AI賦能新時代

2022 年的今天,人工智慧已深入大眾的日常,對人類的影響深遠。「已經回不去了!」鴻海研究院執行長(兼)資通安全研究所所長李維斌認為,不論AI性本善或惡,確實已經是我們生活中不可或缺的一環。因此,如何讓AI可以發揮對人類最大的效益,才是最需要關注的重點。

作為資安專家,李維斌從網路安全(Cybersecurity)的角度出發,探討發生在網路世界的駭客行為(Hacking)是否也有可能在AI的世界發生?除了駭客以外,AI 是否也有可能變成駭客?這是非常有趣又嚴肅的議題,唯有超前佈署,才能享有 AI 所帶來的甜美果實。以下為3月3日 NExT Forum 演講摘要。

AI for Cybersecurity VS. Security of AI

首先需要了解 AI Security 的定義。過去大家常談到的AI for Cybersecurity 指的是以AI做為速度很快,有效率的工具,透過全自動化或半自動化的方式進行資安防禦,也可以針對資安預測可能發生的事情,並且有足夠的反應時間,以加強使用者對系統的信任。另一方面,目前在許多決策上,仍然需要人類的介入,才有辦法執行 AI 的建議,因此人與 AI 的協作界面也是相當重要的一環。

至於現在所談的 Security of AI,則涉及 AI 系統的規格如何驗證,如何確保 AI 的功能、安全、強健性與公平性。AI做決策是否能被信任?如果遇到對抗式攻擊,就會需要有新技術進來。AI 賦能系統是否被信任?這也是值得深思的議題。

生產力與安全成本 企業的選擇是什麼?

回到網路世界來看,當一切的資訊都連上網,網路安全就顯得非常重要。需要從C(Confidentiality 機密性)、I(Integrity 完整性)、A(Availability 可用性)三個角度確保資料安全,而且服務不能中斷。然而,要維護 CIA 就必須要付出一定的代價,但是這件事情對於業務層面並沒有那麼直接的影響,因此在這種情況下,資安經常被視為成本,而非投資。

從防火牆、IPS(入侵預防系統)到IDS(入侵偵測)好像有買不完的資安設備,對企業經營者來說成本愈來愈高,與其他具有生產力的工具相比較為無感。直到近期出現許多企業被植入勒索軟體,傳出重大災情,才意識到資安的重要性。

「資安這檔事,講起來重要,做起來次要,忙起來不要。」李維斌坦言,去問大家覺得資安是否重要,沒有一個人會說不重要,但是當投入的資源跟訂單發生衝突的時候,老闆會選擇投資對營利有直接貢獻的設備,還是資安設備?通常都會選擇前者,而這也是目前資安在網路環境所面臨到的困境。

歷史會押韻 但AI不能重蹈覆轍

往前看現在的 AI,跟三十年前的網際網路確實是有相似之處,例如這兩者都是非常開放的環境讓大家去開發與探索,因此,只要是有價值的東西在上面,就有機會被攻擊。但是,三十年前的資安並不被受到重視,直到電子商務時代來臨,這件事情才逐漸浮上檯面,當年的IT在網路環境其實是「後知後覺」。然而, AI 卻是從一開始就直接影響人類的生活,已經不能像 IT 那樣亡羊補牢,必須事先預防可能發生的危機與傷害。

研究資安多年,李維斌指出,亡羊補牢或許在 IT 環境可以接受,但是如果發生在 AI ,後果可能就會非常嚴重。兩者差別在於,IT發展多數是為了生產力的提升,例如財會、物流、倉儲管理等,但是現在AI有大部份是應用在解決人類實際生活上的問題,影響範圍既深且廣,他強調:「後知後覺是非常危險的事情。」

李維斌觀察,企業領導者資安思維確實有逐漸轉變,但是面對 AI 的加入,需要再次調整。當 AI 面對它所沒有看過的場景或模式時,它可能會因為是透過舊資料學舊知識,而無法應付,所以當它要應付未來,需要重新訓練模型的時候,如果還用以前「抓 bug」 的概念去看這件事情,可能就會失焦。

未來AI還會是成本中心嗎?李維斌認為,這可能會跟 IT 有所差別,因為 AI 跟大眾的生活非常接近,通常可能會是個人的解決方案,加上 AI 本身就自帶價值,有價值就可以有營利,或許可以把這些利潤挪一部分出來將資安做得更完善。總的來說,AI帶來的新威脅和脆弱點必須現在就被正視,否則,它的優勢也代表亡羊補牢的代價會是非常大的。

AI所需的CPR安全模型

AI 安全模型是由CPR三個特性所組成,分別是 Confidentiality(保密性)、Privacy(隱私性)、Robustness(強健性)。保密性涉及模型參數、特徵(Feature)可能會有機會被推倒,進而對公司的 Know-how 產生風險;隱私性例如人臉特徵也可以從參數中被反推回來;強健性則談到許多關於完整性與可用性的議題。

同時,AI安全模型可以拆解成三個層級來看,包含系統、模型與數據。AI 是由軟體加硬體所組成,原有系統的硬體設備與軟體問題還是屬於資訊安全的層面。模型的部分,強健性不足可能導致面臨許多攻擊,例如對抗式攻擊,或是被植入木馬等,不過也有可能是物理世界的變化,例如車輛在雨天中行駛,光線不足等原因。至於數據,就關係到數據洩露與隱私安全的議題。

目前鴻海研究院對電動車環境做了許多深入的研究,如果這些攻擊放在電動車,或是自駕ADAS(先進駕駛輔助系統),是相當有趣的議題。例如在歐洲有一個實驗,他們把車子的周圍用鹽圈起來,做成像是車道線的樣子,結果電動車的ADAS就會認為那是交通線,被困在裡面出不來,沿著線一直不斷轉圈圈。

迎接AI賦能時代 須先有AI PCR

自駕車是未來趨勢,但是還有許多混沌未明的領域需要釐清,例如自主反應系統的責任歸誰?人、車、AI 的責任該如何分配?系統的行為如何確保符合預期?它是否只按照我們原來設計的狀況提供服務,而不會超乎我們的預期?另外,什麼叫符合預期?當車輛愈來愈擬人化的時候,這樣的 AI 系統帶來的風險是什麼?其實這一切都還是未知,值得深思。

假設大家都接受這是一個很重要的議題,下一步是什麼?AI Security 絕對是重要課題,在開始建立AI安全模型(CPR)之前,需要做的第一件事情是 AI 的 PCR,透過事前偵測,雖然不是百分之百,但是至少可以知道可能有問題。

展望未來,AI 絕不是簡單只談技術,甚至遠比技術複雜許多,因為 AI 是一項通用技術,深刻影響人類生活,所以涉及層面相當廣泛。例如除了原本的保密性與隱私,還多了數據與模型;在強健性中,評估如何降低風險;透過可解釋性去了解 AI 如何做決策,它的意圖是什麼。AI所產生的偏見、道德問題,如何去克服,最後 AI 治理與法規,則是設法讓AI走在正軌。

因此,希望在AI Security可以集合大家的力量,讓台灣在國際舞台上能夠有發言權,並且發揮影響力。