打造人工智能的“密码盾牌”——
当密码学遇到人工智能
■李海亮 刘友良
密码学让人工智能更安全。AI图片
当前,智能化军事革命风起云涌。从无人蜂群作战到战场态势智能分析,从自动化指挥决策到网络空间防御,人工智能系统日益成为军事决策、目标识别和作战规划的重要支撑。“制智权”成为大国军事博弈的战略焦点。
密码学,这门古老而又前沿的学科,不仅提供了丈量军事智能技术安全尺度的数学“尺子”,也给出了解决军事智能技术安全问题的数学可解释性。有专家认为,密码学或将成为推动人工智能安全从经验性防御向数学可验证安全范式跃迁的“金钥匙”。
当古老的密码学遇到前沿学科人工智能技术,会发生怎样神奇的化学反应?
人工智能安全面临多重危机
今年夏季,北约一年一度的“锁定盾牌”网络防御演习在爱沙尼亚塔林举行。有专家认为,此次演习中一些“桥段”,展现了人工智能的“双刃剑”特征:
一方面,与人工智能相关的尖端技术在应对网络攻击时,正在发挥越来越重要的作用;另一方面,演习也暴露出军事智能技术的脆弱性,来自对手的数据投毒、模型窃取或对抗性攻击,都有可能导致灾难性后果。
今天的人工智能,特别是深度学习模型,就像一个在特定领域拥有超凡智力、但心智尚未成熟的“天才少年”。它强大却也异常敏感和脆弱,其固有的“黑箱”特性和对数据的极度依赖,使其在多个层面都可能被恶意利用或攻击。
——数据层。数据和信息是人工智能系统的“血液”和“神经”,是系统安全的“生命线”。“数据投毒”攻击能从源头上污染人工智能系统的“思想”。恶意攻击者可以在庞大的数据集中悄悄混入一些“毒数据”,模型在不知不觉中“吃”下这些毒数据,其“世界观”就会被扭曲,导致在关键时刻做出灾难性错误判断。军事智能系统的数据,如卫星图像、雷达信号、通信截获、传感器网络数据等,在采集、传输、存储和处理环节都面临严重威胁。俄乌冲突中,乌克兰军方使用的商用人工智能图像识别系统就曾受到攻击,导致无人机误判战场目标。美国国防高级研究计划局实验显示,只需修改5%的坦克图像标签,就能使智能系统目标识别准确率下降40%。
——模型层。智能模型是人工智能系统的“大脑”,往往会成为攻击者的首选目标。当前,模型安全技术相对滞后于模型能力跃升,给了攻击者可乘之机。“模型逆向攻击”可通过模型的输出结果推断其训练数据和参数,重构系统内部逻辑和算法,使模型变成潜伏在系统内部的“内鬼”。“对抗样本攻击”通过精心设计的干扰,使人工智能产生错误判断,甚至引发“自己人打自己人”的误击悲剧。有实验表明,在停车标志上粘贴特定图案,就能欺骗自动驾驶系统将其识别为限速标志。在坦克上贴几张特殊设计的贴纸,就可能诱导敌方的智能目标识别系统把它识别成一辆无害的校车。
——系统层。基础软硬件及其所依托的供应链如同“数字地基”,“地基”一旦出了问题,就有可能引发系统安全的全局性崩塌。智能系统依赖复杂的软件栈、庞大的计算集群和高速网络通信,为攻击者提供庞大的攻击面和众多的攻击通道。“供应链攻击”通过在智能芯片中植入硬件木马、预埋后门,或将恶意代码隐藏在预训练模型和开源库中,使智能系统在运行中悄然泄露数据或执行恶意指令。从第三方IP核、开源框架到云服务平台,任一环节遭污染,都可能使上层的加密隔离形同虚设。分布式智能系统还面临严重的“共谋攻击”威胁,多个恶意节点的协作可严重误导全局模型的判断。
面对这些威胁,传统“防火墙+杀毒软件”式的安全体系很难发挥作用,需要从人工智能的“基因”层面入手,在其基础理论与架构设计中融入强大的安全能力,构建全新内生安全体系,为人工智能筑起从硅基石到云服务的“信任长城”。
密码学为人工智能注入数学“安全基因”
面对人工智能的内生安全困境,古老的密码学正在焕发全新的生机。在大众的认知里,密码学主要是加密解密,是保护通信秘密的工具,这其实是对密码学的一种片面窄化理解。现代密码学的核心,远不止于“隐藏”,更在于“信任”的构建。它运用数学的严谨性,提供了一整套关于数据隐私性、完整性、真实性的解决方案。将这套“信任科学”与人工智能相结合,就能为人工智能注入全新的数学“安全基因”,从根本上改变其脆弱的本质。
同态加密,为数据戴上“隐形斗篷”。同态加密是基于数学难题计算复杂性理论的密码学技术。该技术允许在加密数据上直接进行计算而无需解密,为人工智能提供了革命性的安全训练范式。想象一下,你有一个锁着的保险箱,里面装着机密文件。你想让一位专家处理这些文件,但又不想让他看到文件的具体内容。同态加密技术就像一个神奇的手套箱,专家可以戴着特制的手套,伸进箱子里处理文件,但他看不到里面的内容。操作完成后,你就能用自己的钥匙打开箱子,取出已经处理好的文件。北约联合训练项目采用了同态加密技术,各成员国能在不共享原始军事数据的情况下,将加密后的训练数据上传至中央服务器,共同训练高精度的威胁评估模型。
零知识证明,为智能决策提供“可信虎符”。零知识证明是一种在不泄露信息本身的情况下,为互不信任的双方提供可信验证的密码学工具。面对前面提到的敌方坦克贴上特殊贴纸伪装成校车,零知识证明就能派上用场。当智能目标识别系统做出“这是一辆校车”的判断时,它可以同时生成一个零知识证明,向指挥中心证明:做出的判断,并非基于某些微小的、可疑的、可能是对抗性扰动的特征,而是基于该物体宏观的、稳定的、符合校车定义的特征。如果系统无法生成这样一个有效的证明,那么就可以判定可能遭受了对抗样本攻击,从而提醒操作员进行人工复核。这相当于为人工智能的每一次判断都增加了一个“可信度验算”步骤,让敌人精心设计的“伪装”难以遁形。零知识证明技术为可信人工智能提供了有效的解决方案,使人工智能系统证明其输出正确性而不泄露数据隐私和推理过程。英国国防部已经将零知识证明视为符合《致命性自主武器系统伦理框架》的关键技术。
安全多方计算,为联合指挥提供“保密圆桌”。安全多方计算是一种在无可信第三方条件下,通过密码学协议实现多方数据协同计算且不泄露数据隐私信息的技术,允许多方在不泄露各自输入内容的情况下共同计算结果。在多国联合军事行动中,各国参谋人员使用安全多方计算技术进行联合战役规划,各国输入加密后的军力部署和作战能力数据,系统输出优化的联合行动方案,而任何参与方都无法获知他国的具体军事机密。在2024年多个国家参加的反恐行动中,借助该技术,在不暴露任何单一国家数据的情况下,构建了覆盖全球威胁模式的识别网络,显著提高了对跨境恐怖分子的追踪效率。
后量子密码技术,为未来智能系统穿上“密码铠甲”。当前的加密体系,在未来的量子计算机面前将如同“纸糊的窗户”。这意味着,未来战场上所有基于现有加密通信、身份认证和数据保护技术的人工智能系统都面临被颠覆的风险。后量子密码技术通过数学理论重构密码体系,能有效抵御量子计算威胁。世界主要军事强国都在大力发展和部署后量子密码。这场围绕夺取未来制智权的“密码战争”已经打响。
密码学在人工智能安全领域的应用还有很多。如针对深度伪造的问题,结合密码学原理与数字水印技术,可给数据文件盖上一个无法伪造的“数字钢印”,也可通过嵌入密码学水印等技术,为大模型生成的内容打上可验证的“数字指纹”等等。密码学正从数据、模型到输出的全链条,系统性地为人工智能系统植入安全属性,使其从一个不稳定的“黑箱”,转变为一个安全、可靠、可控的工具。
构筑军事智能安全的密码学“免疫体系”
智能化浪潮风起云涌。未来战争的胜负手不仅在于谁的人工智能更聪明,更在于谁的人工智能更安全、更可靠。从密码学的视角审视人工智能安全,我们看到了一条从被动防御走向主动免疫、从信任模型走向验证模型、从当下安全走向未来安全的清晰路径。
分层防御,构建军事智能安全纵深矩阵。军事智能防护需贯彻“纵深防御”理念,构建覆盖数据层、模型层、系统层的全链路防御矩阵。在数据层,采取同态加密、属性基加密等技术,确保智能军事系统使用和生成的数据安全可靠。在模型层,采用零知识证明、模型水印等技术,增强模型的抗干扰、抗攻击能力。在系统层,通过量子密钥分发、安全多方计算等技术构建可信执行环境。
动态防御,打造军事智能安全的移动阵地。军事智能安全应借鉴军事上的“机动防御”策略,采用动态密码学方案,通过周期快速更新加密参数和算法,快速切换防御阵地,缩小防御面,减少攻击通道,增强抵御攻击的能力。还可以采取可撤销生物特征、自适应差分隐私预算等密码学技术,降低信息泄露的风险和危害。据报道,美军的“联合全域指挥控制系统”引入基于区块链的密钥管理系统,实现加密策略的实时动态调整,这种“动态安全”理念显著提升了系统韧性。
主动防御,为军事智能系统接种“疫苗”。智能系统安全应借鉴“积极防御”的军事思想,在模型训练和部署之前,主动在原始数据上添加精心设计的微小扰动,这种扰动对于模型的正常工作毫无影响,却能极大地破坏攻击者生成有效对抗样本的路径,使军事智能模型从建立之初就对“病毒”产生抵抗力。攻击者即便拿到了模型,也很难制作出能够欺骗它的“毒药”。当经过伪装的对抗样本试图侵入时,模型免疫系统就会被激活,在模型输入层自动识别出异常的扰动。
人工智能的发展不应是一场“裸奔”的冒险,为它穿上密码学“安全铠甲”,构建起“智能免疫系统”,是我们迈向一个安全、可信、可控的人工智能未来的必由之路。当前,相关的密码技术与人工智能的深度融合研究才刚刚起步,仍有许多理论和工程挑战需要攻克。但我们有理由相信,在不远的将来,一个真正安全的智能时代将因此而加速到来。
