360AI安全研究院：人脸识别设备也“脸盲”

“我们最终可以在一些人脸识别设备中实现任意人员都能通过验证的效果。”360 AI安全研究院研究员刘昭在ISC 2020大会上讲到。

刘昭表示，这种攻击不是针对AI算法的攻击，而是对AI算法所依赖的基础设施进行的攻击，针对基础设施攻击，最终可能会更快达到攻击效果，大多数研究人员偏向于对算法安全的研究，比如对抗样本攻击、后门攻击等。

他指出，虽然AI基础设施安全风险巨大，其严重性却容易被忽视。

刘昭解释称，深度学习框架主要可以划分为云端学习框架和终端学习框架。云端框架安全风险主要来自于自身代码的实现以及第三方的依赖库问题；终端框架安全风险主要存在于模型网络参数、模型网络结构，以及模型转换过程。据了解，360 AI安全研究院在多个深度学习框架及其依赖组件中发现了100多个漏洞，如OpenCV，hdf5，numpy等。

此外是针对硬件相关的安全风险。据英伟达官网统计，截至今年7月，关于GPU驱动漏洞的数目达到数百个。而针对云平台的安全风险。360 AI安全研究院表示，用于深度学习任务的节点性能强大，因此总会有一些攻击者想要非法使用这些资源进行挖矿。

360 AI安全研究院表示，AI关键基础设施的安全问题可以通过权限控制、访问隔离、参数过滤等措施进行缓解，针对AI关键基础设施的安全问题，需要建立多维度、一体化风险评估方法以及对应防御措施。