鏈接：https://pan.baidu.com/s/1mAttQSf2xVJDvwtOsAn0EQ?pwd=ufhd?

提取碼：ufhd

● 本書首先介紹AI與AI安全的發(fā)展起源、世界主要經(jīng)濟體的AI發(fā)展戰(zhàn)略規(guī)劃，給出AI安全技術(shù)發(fā)展脈絡(luò)和框架，并從AI安全實戰(zhàn)出發(fā)，重點圍繞對抗樣本、數(shù)據(jù)投毒、模型后門等攻擊技術(shù)進行案例剖析和技術(shù)講解；然后對預(yù)訓(xùn)練模型中的風(fēng)險和防御、AI數(shù)據(jù)隱私竊取攻擊技術(shù)、AI應(yīng)用失控的風(fēng)險和防御進行詳細分析，并佐以實戰(zhàn)案例和數(shù)據(jù)；最后對AI安全的未來發(fā)展進行展望，探討AI安全的風(fēng)險、機遇、發(fā)展理念和產(chǎn)業(yè)構(gòu)想。

● 本書適合AI和AI安全領(lǐng)域的研究人員、管理人員，以及需要實戰(zhàn)案例輔助學(xué)習(xí)的廣大愛好者閱讀。

作者簡介

騰訊安全朱雀實驗室專注于AI安全技術(shù)研究及應(yīng)用，圍繞對抗機器學(xué)習(xí)、AI模型安全、深偽檢測等方面取得了一系列研究成果，議題入選CVPR、ICLR、CanSecWest、HITB、POC、XCon等國內(nèi)外頂級會議，面向行業(yè)發(fā)布了業(yè)內(nèi)第一個AI安全威脅風(fēng)險矩陣，持續(xù)聚焦AI在產(chǎn)業(yè)應(yīng)用的安全問題，助力AI安全技術(shù)創(chuàng)新。

精彩書評

人工智能（AI）被認為是引領(lǐng)第四次工業(yè)革命進入智能化時代的核心驅(qū)動技術(shù)。AI理論和技術(shù)日益成熟，應(yīng)用領(lǐng)域也被不斷擴大，它改變了數(shù)字、物理和生物世界，形成了我稱為的“虛實集成世界”(Integrated Physical-Digital World,IPhD)。毫無疑問，AI正在幫助各行各業(yè)實現(xiàn)智能化升級，并創(chuàng)造很多新的機會。

我相信AI將帶給我們更美好的未來。但我們也清楚地認識到，這一波的AI技術(shù)主要是基于深度學(xué)習(xí)的系統(tǒng)，非常依賴于大模型、大數(shù)據(jù)和云服務(wù)。AI大模型參數(shù)多、可解釋性差，比較容易遭到對抗樣本攻擊；大數(shù)據(jù)噪聲大，質(zhì)量難保證，可能引來攻擊者數(shù)據(jù)投毒；云服務(wù)雖然給我們提供了便宜的算力和便捷的生活，但也給攻擊者提供了便利，造成隱私竊取和應(yīng)用失控。

我在騰訊的同事——朱雀實驗室的小伙伴們，從2019年開始研究AI安全，涉及模型安全、AI濫用、AI倫理等，同時也在構(gòu)建和完善AI安全藍圖，并將這些技術(shù)和應(yīng)用落地。這本書凝聚了他們在AI安全技術(shù)的研究和實踐中積累的多年經(jīng)驗。我相信他們踩過的“坑”和成功的案例將對AI安全領(lǐng)域的研究人員和管理人員帶來極大的幫助。

——張正友 騰訊首席科學(xué)家、騰訊AI Lab和騰訊Robotics X實驗室主任

由于硬件和算法的快速發(fā)展，以深度學(xué)習(xí)為代表的各類人工智能技術(shù)已經(jīng)被廣泛用于人臉識別、自動駕駛、物聯(lián)網(wǎng)等各類重要應(yīng)用中。由于其內(nèi)生的脆弱性，人工智能技術(shù)的發(fā)展往往也會帶來新的安全問題。然而，人工智能技術(shù)的內(nèi)源安全性問題往往無法通過傳統(tǒng)信息安全的技術(shù)來直接解決。因此，系統(tǒng)性地研究人工智能技術(shù)中可能存在的安全性問題和其對應(yīng)的解決方案具有重要意義。

人工智能內(nèi)源安全性問題的相關(guān)探索可以追溯到20世紀中葉對各類傳統(tǒng)機器學(xué)習(xí)算法魯棒性和穩(wěn)定性的研究。近代人工智能內(nèi)源安全性研究主要針對于以深度神經(jīng)網(wǎng)絡(luò)為代表的深度學(xué)習(xí)。這些相關(guān)研究主要圍繞深度學(xué)習(xí)模型，從數(shù)據(jù)采集、模型訓(xùn)練、模型部署和模型預(yù)測等模型全生命周期展開，其目的主要是為了誤導(dǎo)模型的預(yù)測導(dǎo)致出現(xiàn)安全性威脅或竊取用戶隱私。誤導(dǎo)模型輸出的相關(guān)研究包括數(shù)據(jù)投毒、后門攻擊、對抗攻擊、深度偽造等。在用戶隱私的竊取方面，相關(guān)研究包括成員推斷、屬性推斷、深度梯度泄露等。這些新興的安全威脅給使用人工智能技術(shù)的相關(guān)算法和系統(tǒng)帶來了新的重要挑戰(zhàn)。

目前，有關(guān)人工智能安全的專著國內(nèi)并不是很多。此次騰訊安全朱雀實驗室編著的《AI安全：技術(shù)與實戰(zhàn)》從實際應(yīng)用場景的視角出發(fā)，除了以簡要的方式回顧了人工智能安全的各項重要技術(shù)，還提供了包括代碼在內(nèi)的多個具有代表性的實戰(zhàn)案例。本書既可作為教材供高年級本科生和研究生學(xué)習(xí)，也可作為白皮書供從事與人工智能技術(shù)相關(guān)的研究人員、開發(fā)人員和管理人員，以及廣大人工智能愛好者們查閱。相信本書提供的實戰(zhàn)案例能夠幫助讀者更加快速、深入地了解人工智能安全的各項技術(shù)在實際應(yīng)用場景下的具體部署和應(yīng)用。

——江勇 清華大學(xué)教授

AI安全其實應(yīng)該分成兩個方面——用AI來解決安全問題，以及保證AI系統(tǒng)自身的安全性。用AI來解決安全問題是目前非常熱的研究領(lǐng)域，近幾年隨著移動互聯(lián)網(wǎng)及云計算的普及，產(chǎn)生了大量的數(shù)據(jù)。如何有效地從中挖掘信息來幫助企業(yè)的安全建設(shè)，現(xiàn)在有比較成熟的方式方法，比如垃圾郵件的分類就相當(dāng)成功。在另外一些領(lǐng)域，比如在惡意代碼的判別、惡意行為的識別上，目前還不是那么的成功，但也正在穩(wěn)扎穩(wěn)打地推進，相信再過一段時間，也會取得長足的進步。

朱雀實驗室的這本書卻論述的是另一個主題——AI系統(tǒng)本身的安全性。目前，市面上有關(guān)這方面的著作不多，這本書可謂及時填補了這一空白。AI系統(tǒng)的發(fā)展也分為幾個階段，最早是專家系統(tǒng)，即把專家的經(jīng)驗變成確定的規(guī)則，用這些規(guī)則來做一個判斷，目前專家系統(tǒng)的模式在安全產(chǎn)品中得到了廣泛的應(yīng)用，比如AV、WAF、防火墻、IDS 等產(chǎn)品基本都是基于這樣的系統(tǒng)，但專家的經(jīng)驗不足以解決全部問題。事實上，在大部分場景下都有辦法可以繞過這樣的檢測，而“現(xiàn)實的攻防場景”正是當(dāng)下的主旋律，在二進制攻防領(lǐng)域，各個大公司的專家花了20年時間想盡辦法來防止對二進制漏洞的利用。但很遺憾的是，這是個無法完成的任務(wù)，每年依舊有大量成功利用的例子。

第二階段是一些傳統(tǒng)的基于數(shù)據(jù)處理的算法，比如SVM、貝葉斯分類，關(guān)于這些算法有非常多的成功的例子，比如上面提到的垃圾郵件分類，但使用這樣的算法的前提也是對人工分類的數(shù)據(jù)加以訓(xùn)練，并通過專家的經(jīng)驗來提取特征，只要明白它背后的原理，也是有非常多的容易的方法可以繞過它、誤導(dǎo)它。

第三個階段就是當(dāng)下最火的基于深度學(xué)習(xí)的AI系統(tǒng)，這種系統(tǒng)蕞大的問題是不可解釋性，背后的原理無從得知，在絕大多數(shù)情況下都是非常正確的，但是一旦出問題，就不知道如何去修正，如何去解釋它會出錯，因為我們對其判斷的依據(jù)無法通過簡單的規(guī)則來修正。這樣的系統(tǒng)很可怕，不知道什么時候就會出大問題，我們在2020年左右對多款電動車的自動駕駛系統(tǒng)做過安全性測試，結(jié)果是觸目驚心的，大多數(shù)系統(tǒng)都存在非常嚴重的安全問題，可以很容易通過一些方法讓這些系統(tǒng)產(chǎn)生誤判，而導(dǎo)致嚴重的交通事故。

朱雀實驗室的這本書對于AI本身的安全問題做了一個全面的闡述與總結(jié)，同時也系統(tǒng)化地對AI安全測試的方法做了細致的分類與講解，具有很強的實用性。

無論你是研究AI，還是研究安全，這本書都有很高的價值。而且隨著AI系統(tǒng)的推廣，相信未來AI安全會成為安全研究的中心問題，相信這本書能夠為大家進入這個領(lǐng)域做一個不錯的向?qū)?，也期待朱雀實驗室后續(xù)能夠在這個領(lǐng)域有更多更好的著作出版，以饗讀者。

此為序。

——吳石 騰訊安全科恩實驗室負責(zé)人

隨著AI技術(shù)的發(fā)展，AI已經(jīng)在影響著我們的生活，甚至連安全產(chǎn)品檢測攻擊都在廣泛地應(yīng)用AI技術(shù)。

但是，AI本身是否安全呢？

本書并不是一本理論性的圖書，作者團隊在AI安全領(lǐng)域深耕多年，總結(jié)了針對數(shù)據(jù)、算法和模型的多種攻擊技術(shù)，用實際、具體的案例證明了AI在安全上的脆弱性，當(dāng)然也給出了防御上的解決方案。

攻與防永遠是螺旋式上升的態(tài)勢，“AI安全”僅僅才是開始，我推薦本書給每一位安全從業(yè)者。除此之外，我一直認為蕞優(yōu)秀的程序員一定懂得如何寫出安全的代碼。因此，我也推薦本書給每一位AI從業(yè)人員，一起致力于打造出安全的AI。

——歐陽欣 阿里云安全負責(zé)人

目錄

●第1章 AI安全發(fā)展概述●

1.1 AI與安全衍生

1.1.1 AI發(fā)展圖譜

1.1.2 各國AI發(fā)展戰(zhàn)略

1.1.3 AI行業(yè)標(biāo)準(zhǔn)

1.1.4 AI安全的衍生本質(zhì)——科林格里奇困境

1.2 AI安全技術(shù)發(fā)展脈絡(luò)

●第2章 對抗樣本攻擊●

2.1 對抗樣本攻擊的基本原理

2.1.1 形式化定義與理解

2.1.2 對抗樣本攻擊的分類

2.1.3 對抗樣本攻擊的常見衡量指標(biāo)

2.2 對抗樣本攻擊技巧與攻擊思路

2.2.1 白盒攻擊算法

2.2.2 黑盒攻擊算法

2.3 實戰(zhàn)案例：語音、圖像、文本識別引擎繞過

2.3.1 語音識別引擎繞過

2.3.2 圖像識別引擎繞過

2.3.3 文本識別引擎繞過

2.4 實戰(zhàn)案例：物理世界中的對抗樣本攻擊

2.4.1 目標(biāo)檢測原理

2.4.2 目標(biāo)檢測攻擊原理

2.4.3 目標(biāo)檢測攻擊實現(xiàn)

2.4.4 攻擊效果展示

2.5 案例總結(jié)

●第3章 數(shù)據(jù)投毒攻擊●

3.1 數(shù)據(jù)投毒攻擊概念

3.2 數(shù)據(jù)投毒攻擊的基本原理

3.2.1 形式化定義與理解

3.2.2 數(shù)據(jù)投毒攻擊的范圍與思路

3.3 數(shù)據(jù)投毒攻擊技術(shù)發(fā)展

3.3.1 傳統(tǒng)數(shù)據(jù)投毒攻擊介紹

3.3.2 數(shù)據(jù)投毒攻擊約束

3.3.3 數(shù)據(jù)投毒攻擊效率優(yōu)化

3.3.4 數(shù)據(jù)投毒攻擊遷移能力提升

3.4 實戰(zhàn)案例：利用數(shù)據(jù)投毒攻擊圖像分類模型

3.4.1 案例背景

3.4.2 深度圖像分類模型

3.4.3 數(shù)據(jù)投毒攻擊圖像分類模型

3.4.4 實驗結(jié)果

3.5 實戰(zhàn)案例：利用投毒日志躲避異常檢測系統(tǒng)

3.5.1 案例背景

3.5.2 RNN異常檢測系統(tǒng)

3.5.3 投毒方法介紹

3.5.4 實驗結(jié)果

3.6 案例總結(jié)

●第4章 模型后門攻擊●

4.1 模型后門概念

4.2 后門攻擊種類與原理

4.2.1 投毒式后門攻擊

4.2.2 非投毒式后門攻擊

4.2.3 其他數(shù)據(jù)類型的后門攻擊

4.3 實戰(zhàn)案例：基于數(shù)據(jù)投毒的模型后門攻擊

4.3.1 案例背景

4.3.2 后門攻擊案例

4.4 實戰(zhàn)案例：供應(yīng)鏈攻擊

4.4.1 案例背景

4.4.2 解析APK

4.4.3 后門模型訓(xùn)練

4.5 實戰(zhàn)案例：基于模型文件神經(jīng)元修改的模型后門攻擊

4.5.1 案例背景

4.5.2 模型文件神經(jīng)元修改

4.5.3 觸發(fā)器優(yōu)化

4.6 案例總結(jié)

●第5章 預(yù)訓(xùn)練模型安全●

5.1 預(yù)訓(xùn)練范式介紹

5.1.1 預(yù)訓(xùn)練模型的發(fā)展歷程

5.1.2 預(yù)訓(xùn)練模型的基本原理

5.2 典型風(fēng)險分析和防御措施

5.2.1 數(shù)據(jù)風(fēng)險

5.2.2 敏感內(nèi)容生成風(fēng)險

5.2.3 供應(yīng)鏈風(fēng)險

5.2.4 防御策略

5.3 實戰(zhàn)案例：隱私數(shù)據(jù)泄露

5.3.1 實驗概況

5.3.2 實驗細節(jié)

5.3.3 結(jié)果分析

5.4 實戰(zhàn)案例：敏感內(nèi)容生成

5.4.1 實驗概況

5.4.2 實驗細節(jié)

5.4.3 結(jié)果分析

5.5 實戰(zhàn)案例：基于自診斷和自去偏的防御

5.5.1 實驗概況

5.5.2 實驗細節(jié)

5.5.3 結(jié)果分析

5.6 案例總結(jié)

●第6 章 AI數(shù)據(jù)隱私竊取●

6.1 數(shù)據(jù)隱私竊取的基本原理

6.1.1 模型訓(xùn)練中數(shù)據(jù)隱私竊取

6.1.2 模型使用中數(shù)據(jù)隱私竊取

6.2 數(shù)據(jù)隱私竊取的種類與攻擊思路

6.2.1 數(shù)據(jù)竊取攻擊

6.2.2 成員推理攻擊

6.2.3 屬性推理攻擊

6.3 實戰(zhàn)案例：聯(lián)邦學(xué)習(xí)中的梯度數(shù)據(jù)竊取攻擊

6.3.1 案例背景

6.3.2 竊取原理介紹

6.3.3 竊取案例

6.3.4 結(jié)果分析

6.4 實戰(zhàn)案例：利用AI水印對抗隱私泄露

6.4.1 案例背景

6.4.2 AI保護數(shù)據(jù)隱私案例

6.4.3 AI水印介紹

6.4.4 結(jié)果分析

6.5 案例總結(jié)

●第7 章 AI應(yīng)用失控風(fēng)險●

7.1 AI應(yīng)用失控

7.1.1 深度偽造技術(shù)

7.1.2 深度偽造安全風(fēng)險

7.2 AI應(yīng)用失控防御方法

7.2.1 數(shù)據(jù)集

7.2.2 技術(shù)防御

7.2.3 內(nèi)容溯源

7.2.4 行業(yè)實踐

7.2.5 面臨挑戰(zhàn)

7.2.6 未來工作

7.3 實戰(zhàn)案例：VoIP電話劫持+語音克隆攻擊

7.3.1 案例背景

7.3.2 實驗細節(jié)

7.4 實戰(zhàn)案例：深度偽造鑒別

7.4.1 案例背景

7.4.2 實驗細節(jié)

7.4.3 結(jié)果分析

7.5 案例總結(jié)

●后記 AI安全發(fā)展展望●

查看全部↓