人工智能可以帮助解决它造成的隐私问题

如果没有海量数据，无论是家庭中的智能扬声器还是个性化的书本推荐，人工智能都不会取得惊人的成功。人工智能在经济新领域的传播，例如人工智能驱动的营销和自动驾驶汽车，正在推动越来越多的数据收集。这些大型数据库正在收集各种各样的信息，其中一些信息敏感且可以个人识别。所有这些数据集中在一个地方，使这些数据库成为诱人的目标，从而增加了侵犯隐私的风险。

公众在很大程度上警惕AI的数据渴望方式。根据布鲁金斯大学的一项调查，有49%的人认为AI会减少隐私。只有12%的人认为它没有效果，只有5%的人认为它可能会更好。

作为网络安全和隐私研究人员，我们认为AI与数据隐私之间的关系更加细微。人工智能的传播引发了许多隐私问题，其中大多数人甚至可能都不知道。但与此相反，人工智能也可以帮助缓解许多此类隐私问题。

AI带来的隐私风险不仅来自大量个人数据收集，还来自深层神经网络模型，这些模型为当今大多数人工智能提供了动力。数据不仅不受数据库破坏的影响，还受到模型中泄露数据的模型的“泄漏”的影响。

深度神经网络是旨在发现数据模式的算法的集合，由许多层组成。在这些层中有大量称为神经元的节点，并且相邻层的神经元相互连接。每个节点及其之间的链接对信息的某些位进行编码。当特殊过程扫描大量数据以训练模型时，将创建这些信息位。

例如，可以在一系列自拍照上训练面部识别算法，以便它可以更准确地预测一个人的性别。这样的模型非常准确，但是它们也可能存储过多的信息，实际上是在记住训练数据中的某些面孔。实际上，这正是康奈尔大学的研究人员发现的。攻击者可以通过探索对面部图像性别进行分类的深度神经网络来识别训练数据中的人。

他们还发现，即使攻击者无法使用原始的神经网络模型，攻击者仍然可以分辨出训练数据中是否有人。他们通过使用一组模型进行此操作，这些模型在与训练数据相似但不相同的数据上进行训练。因此，如果原始训练数据中存在一个留着胡须的男人，则在不同胡须男人的照片上训练的模型可能能够揭示其身份。

另一方面，人工智能可以用来缓解许多隐私问题。根据Verizon的《 2019年数据泄露调查报告》，大约52%的数据泄露涉及黑客攻击。现有的大多数检测网络攻击的技术都依赖于模式。通过研究以前的攻击，并确定攻击者的行为是否偏离规范，这些技术可以标记可疑活动。AI擅长这种事情：研究现有信息以识别新数据中的相似模式。

尽管如此，人工智能不是万灵药。攻击者经常可以修改其行为以逃避检测。采取以下两个示例。举一个例子，假设反恶意软件使用AI技术通过扫描特定的软件代码序列来检测特定的恶意程序。在这种情况下，攻击者可以简单地将代码的顺序改组。在另一个示例中，反恶意软件可能首先会在称为沙箱的安全环境中运行可疑程序，在该环境中它可以查找任何恶意行为。在这里，攻击者可以指示恶意软件检测其是否正在沙盒中运行。如果是这样，它就可以正常工作，直到将其从沙箱中释放出来为止，就像负鼠死了，直到威胁已经过去。

AI研究的一个新分支叫做对抗学习，旨在改进AI技术，以使它们不易遭受此类逃避攻击。例如，我们已经进行了一些初步的研究，以研究如何使恶意软件更难于逃避检测，这些恶意软件可用于侵犯个人隐私。我们想出的一种方法是给AI模型增加不确定性，以使攻击者无法准确预测该模型将做什么。它会扫描特定的数据序列吗？还是会运行沙盒？理想情况下，恶意软件不会知道并且会无意间暴露其动机。

我们可以使用AI改善隐私的另一种方法是探究深度神经网络的漏洞。没有一种算法是完美的，并且这些模型容易受到攻击，因为它们通常对所读取数据的微小变化非常敏感。例如，研究人员表明，在停车标志上添加便签纸可以欺骗AI模型以为它看到了限速标志。像这样的细微改动利用了训练模型的方式来减少错误。这些减少错误的技术打开了一个漏洞，攻击者可以通过该漏洞找到使模型蒙混的最小更改。

这些漏洞可通过在个人数据中添加噪音来改善隐私。例如，德国马克斯·普朗克信息学院的研究人员设计了一些巧妙的方法，可以将Flickr图像修改为面部识别软件。这些变化非常微妙，以至于人眼无法察觉。

AI可以帮助缓解隐私问题的第三种方式是在构建模型时保留数据隐私。一项有前途的发展称为联合学习，该技术在Google的Gboard智能键盘中用于预测接下来要键入的单词。联合学习根据存储在许多不同设备（例如手机）上的数据而不是一个中央数据存储库来构建最终的深度神经网络。联合学习的主要好处是原始数据永远不会离开本地设备。因此，隐私在某种程度上受到保护。但是，这不是一个完美的解决方案，因为当本地设备完成一些计算时，它们并没有完成它们。中间结果可能会揭示有关设备及其用户的一些数据。

联合学习让您对AI更尊重隐私的未来有所了解。我们希望，对AI的持续研究将找到更多方法，将其作为解决方案的一部分，而不是问题的根源。