如果沒有海量數(shù)據(jù)，無論是家庭中的智能揚聲器還是個性化的書本推薦，人工智能都不會取得驚人的成功。人工智能在經(jīng)濟新領(lǐng)域的傳播，例如人工智能驅(qū)動的營銷和自動駕駛汽車，正在推動越來越多的數(shù)據(jù)收集。這些大型數(shù)據(jù)庫正在收集各種各樣的信息，其中一些信息敏感且可以個人識別。所有這些數(shù)據(jù)集中在一個地方，使這些數(shù)據(jù)庫成為誘人的目標，從而增加了侵犯隱私的風(fēng)險。

公眾在很大程度上警惕AI的數(shù)據(jù)渴望方式。根據(jù)布魯金斯大學(xué)的一項調(diào)查，有49%的人認為AI會減少隱私。只有12%的人認為它沒有效果，只有5%的人認為它可能會更好。

作為網(wǎng)絡(luò)安全和隱私研究人員，我們認為AI與數(shù)據(jù)隱私之間的關(guān)系更加細微。人工智能的傳播引發(fā)了許多隱私問題，其中大多數(shù)人甚至可能都不知道。但與此相反，人工智能也可以幫助緩解許多此類隱私問題。

AI帶來的隱私風(fēng)險不僅來自大量個人數(shù)據(jù)收集，還來自深層神經(jīng)網(wǎng)絡(luò)模型，這些模型為當今大多數(shù)人工智能提供了動力。數(shù)據(jù)不僅不受數(shù)據(jù)庫破壞的影響，還受到模型中泄露數(shù)據(jù)的模型的“泄漏”的影響。

深度神經(jīng)網(wǎng)絡(luò)是旨在發(fā)現(xiàn)數(shù)據(jù)模式的算法的集合，由許多層組成。在這些層中有大量稱為神經(jīng)元的節(jié)點，并且相鄰層的神經(jīng)元相互連接。每個節(jié)點及其之間的鏈接對信息的某些位進行編碼。當特殊過程掃描大量數(shù)據(jù)以訓(xùn)練模型時，將創(chuàng)建這些信息位。

例如，可以在一系列自拍照上訓(xùn)練面部識別算法，以便它可以更準確地預(yù)測一個人的性別。這樣的模型非常準確，但是它們也可能存儲過多的信息，實際上是在記住訓(xùn)練數(shù)據(jù)中的某些面孔。實際上，這正是康奈爾大學(xué)的研究人員發(fā)現(xiàn)的。攻擊者可以通過探索對面部圖像性別進行分類的深度神經(jīng)網(wǎng)絡(luò)來識別訓(xùn)練數(shù)據(jù)中的人。

他們還發(fā)現(xiàn)，即使攻擊者無法使用原始的神經(jīng)網(wǎng)絡(luò)模型，攻擊者仍然可以分辨出訓(xùn)練數(shù)據(jù)中是否有人。他們通過使用一組模型進行此操作，這些模型在與訓(xùn)練數(shù)據(jù)相似但不相同的數(shù)據(jù)上進行訓(xùn)練。因此，如果原始訓(xùn)練數(shù)據(jù)中存在一個留著胡須的男人，則在不同胡須男人的照片上訓(xùn)練的模型可能能夠揭示其身份。

另一方面，人工智能可以用來緩解許多隱私問題。根據(jù)Verizon的《 2019年數(shù)據(jù)泄露調(diào)查報告》，大約52%的數(shù)據(jù)泄露涉及黑客攻擊。現(xiàn)有的大多數(shù)檢測網(wǎng)絡(luò)攻擊的技術(shù)都依賴于模式。通過研究以前的攻擊，并確定攻擊者的行為是否偏離規(guī)范，這些技術(shù)可以標記可疑活動。AI擅長這種事情：研究現(xiàn)有信息以識別新數(shù)據(jù)中的相似模式。

盡管如此，人工智能不是萬靈藥。攻擊者經(jīng)常可以修改其行為以逃避檢測。采取以下兩個示例。舉一個例子，假設(shè)反惡意軟件使用AI技術(shù)通過掃描特定的軟件代碼序列來檢測特定的惡意程序。在這種情況下，攻擊者可以簡單地將代碼的順序改組。在另一個示例中，反惡意軟件可能首先會在稱為沙箱的安全環(huán)境中運行可疑程序，在該環(huán)境中它可以查找任何惡意行為。在這里，攻擊者可以指示惡意軟件檢測其是否正在沙盒中運行。如果是這樣，它就可以正常工作，直到將其從沙箱中釋放出來為止，就像負鼠死了，直到威脅已經(jīng)過去。

AI研究的一個新分支叫做對抗學(xué)習(xí)，旨在改進AI技術(shù)，以使它們不易遭受此類逃避攻擊。例如，我們已經(jīng)進行了一些初步的研究，以研究如何使惡意軟件更難于逃避檢測，這些惡意軟件可用于侵犯個人隱私。我們想出的一種方法是給AI模型增加不確定性，以使攻擊者無法準確預(yù)測該模型將做什么。它會掃描特定的數(shù)據(jù)序列嗎？還是會運行沙盒？理想情況下，惡意軟件不會知道并且會無意間暴露其動機。

我們可以使用AI改善隱私的另一種方法是探究深度神經(jīng)網(wǎng)絡(luò)的漏洞。沒有一種算法是完美的，并且這些模型容易受到攻擊，因為它們通常對所讀取數(shù)據(jù)的微小變化非常敏感。例如，研究人員表明，在停車標志上添加便簽紙可以欺騙AI模型以為它看到了限速標志。像這樣的細微改動利用了訓(xùn)練模型的方式來減少錯誤。這些減少錯誤的技術(shù)打開了一個漏洞，攻擊者可以通過該漏洞找到使模型蒙混的最小更改。

這些漏洞可通過在個人數(shù)據(jù)中添加噪音來改善隱私。例如，德國馬克斯·普朗克信息學(xué)院的研究人員設(shè)計了一些巧妙的方法，可以將Flickr圖像修改為面部識別軟件。這些變化非常微妙，以至于人眼無法察覺。

AI可以幫助緩解隱私問題的第三種方式是在構(gòu)建模型時保留數(shù)據(jù)隱私。一項有前途的發(fā)展稱為聯(lián)合學(xué)習(xí)，該技術(shù)在Google的Gboard智能鍵盤中用于預(yù)測接下來要鍵入的單詞。聯(lián)合學(xué)習(xí)根據(jù)存儲在許多不同設(shè)備（例如手機）上的數(shù)據(jù)而不是一個中央數(shù)據(jù)存儲庫來構(gòu)建最終的深度神經(jīng)網(wǎng)絡(luò)。聯(lián)合學(xué)習(xí)的主要好處是原始數(shù)據(jù)永遠不會離開本地設(shè)備。因此，隱私在某種程度上受到保護。但是，這不是一個完美的解決方案，因為當本地設(shè)備完成一些計算時，它們并沒有完成它們。中間結(jié)果可能會揭示有關(guān)設(shè)備及其用戶的一些數(shù)據(jù)。

聯(lián)合學(xué)習(xí)讓您對AI更尊重隱私的未來有所了解。我們希望，對AI的持續(xù)研究將找到更多方法，將其作為解決方案的一部分，而不是問題的根源。