目前，中、美、歐等國家和地區都高度重視人工智能的發展，搶抓人工智能深度學習開源平臺生態建設，大力推動基于平臺的智能制造、智慧能源、智能交通等應用。與此同時，人工智能安全風險逐步加大，而安全保障能力對于經濟社會平穩運行的作用也愈發突顯。作為信息系統的安全缺陷，漏洞會導致系統在未經授權的情況下被訪問或遭到破壞，會被攻擊者有目的地利用，它已成為網絡空間戰中的“殺手锏”。2021年以來，谷歌深度學習開源平臺 Tensorflow 頻繁被曝出安全漏洞，國家信息安全漏洞共享平臺（CNVD）僅2021年5月28日一天就收錄46個，漏洞的存在和被利用已經給人工智能應用帶來嚴重的安全風險，應予以高度重視。

一、我國應用深度學習開源平臺及安全現狀

國內主要行業用戶對國外平臺依賴度高。在國內，為了方便使用開源組件提高開發效率，便于與國外開展技術和學術交流，網易、新浪、小米和美團等頭部科技企業，清華大學、中山大學等知名院校，以及中國移動、聯想等重要行業企業都在使用谷歌 TensorFlow 等國外平臺，國外平臺應用領域涉及通信、互聯網、醫療、海洋等，業務類型包括通信網絡割接、病例標注、海面溫度預測，以及圖像、自然語言理解、語音識別和推薦等。

主流開源平臺普遍存在安全漏洞。目前，TensorFlow、Caffe、Torch 等國外平臺均被曝出過安全漏洞。據開源軟件社區 GitHub 數據顯示，2020年以來，Tensorflow 被曝出安全漏洞百余個。其中，百度安全團隊發現了75個可導致系統不穩定、數據泄漏、內存破壞等問題的安全漏洞；360公司發現49個。近期，360對國內外主流開源AI框架進行了安全性評測，累計7款機器學習框架（如 Tensorflow、PyTorch 等）被發現漏洞150多個，框架供應鏈漏洞200多個。其實，早在2017年，美國佐治亞大學、弗吉尼亞大學等院校就發現TensorFlow、Caffe 和 Torch 三個平臺有15個漏洞，類型包括 DoS 拒絕服務攻擊、躲避攻擊、系統損害攻擊等；騰訊安全團隊發現 TensorFlow 組件存在重大漏洞，如果開發者編寫機器人程序時使用該組件，黑客可輕易通過該漏洞控制機器人。

二、潛在的安全風險

漏洞極易通過開源平臺被植入人工智能系統。Gartner 調查顯示，99%的組織在其信息系統中使用了開源軟件。開源代碼和軟件構成了深度學習開源平臺系統的基礎，開源代碼和軟件本身帶有安全漏洞，很多開源平臺還沒有修復漏洞的響應機制。國家計算機網絡應急技術處理協調中心的調查結果顯示，近6年來，開源組件生態中漏洞數逐年遞增，2020年新增漏洞數3426個，同比增長40%。2020年，國家信息安全漏洞共享平臺發現開源軟件 Apache Tomcat 存在漏洞，可能造成部分重要配置文件或源代碼等敏感數據泄露，在一定條件下還可實現遠程代碼執行，使用者的服務器會被直接控制。人工智能系統內部連接緊密而復雜，算法存在以統計方式進行學習、完全依賴數據等固有特性，很多關鍵應用依存于后端的人工智能體系，而人工智能體系又依賴于開源平臺提供的訓練模型，黑客可輕易通過開源平臺向人工智能應用植入漏洞或利用漏洞開發惡意模型，從而控制并篡改人工智能應用；一旦開源平臺失守，必將引發連鎖式崩盤，比互聯網時代傳統黑客攻擊后果更為嚴重。此類漏洞預埋在平臺最底層，迷惑性較強，在開源平臺安全測試和認證缺位的情況下，大部分開源平臺研究和應用人員都難以識別平臺存在的安全風險。此外，基于深度學習開源平臺開發的應用通常需要復雜的數據訓練過程，導致惡意模型攻擊短時間內很難被察覺。目前，國外開源平臺牢牢掌控著核心資源和游戲規則，一旦有目的性地植入帶有漏洞的開源代碼并被惡意利用，人工智能應用的安全性和可靠性會大打折扣，從而造成重大財產損失和惡劣的社會影響。

開源平臺漏洞將使我國經濟運行面臨挑戰。2017年國務院印發的《新一代人工智能發展規劃》提出，到2025年我國人工智能相關產業規模將超過5萬億元，成為帶動我國產業升級和經濟轉型的主要動力。當前，人工智能正被加速用于制造、交通、金融、能源、公共服務等國民經濟重要行業和領域，深度學習開源平臺作為人工智能軟件開發的底層基座，其組件中存在的漏洞可經由使用該組件的各類應用傳播到各領域，引發規模化、連鎖式和持續性的安全威脅，帶來的損失難以估量。以智能網聯汽車為例，近年來，車載智能網關、遠程通信 t-box 等漏洞隱患被陸續披露，工業和信息化部收錄的車聯網安全漏洞信息已超過2000條，漏洞一旦被利用則將嚴重威脅人身財產安全。比如，2019年特斯拉 Model S 入侵事件，黑客僅通過遠程入侵，就可控制車輛終端系統，通過系統存在的漏洞打開車門并開走；此外，還能向車輛發送“自殺”命令，使其在正常行駛中突然關閉系統引擎。

漏洞作為關鍵武器資源已被各國廣泛儲備。當前，國家間的網絡空間對抗日趨激烈，有組織的國家級網絡攻擊頻發。為了搶占網絡空間對抗主動權，美、俄、歐等國家和地區積極發展網絡空間作戰力量，打造網絡攻擊武器庫，并將漏洞作為一類關鍵武器資源進行儲備。2017年“永恒之藍”漏洞披露了美國囤積網絡漏洞武器的行為。近年來，為豐富漏洞武器庫，美國政府和軍方通過設立漏洞賞金、舉辦漏洞挖掘比賽等方式收集了大量有價值的漏洞，同時對漏洞披露機制預留了較多例外項，以延緩或不披露特定漏洞。比如，2018年美國的《網絡漏 洞披露報告法案》就要求國土安全部對漏洞進行國家安全評估，然后再決定是向制造商和公眾披露漏洞還是利用新發現的漏洞攻擊潛在對手。與傳統網絡安全漏洞不同，人工智能漏洞深嵌于算法及其所依賴數據，可經過系統體系化的“學習吸收”感染整個系統，導致密碼設置等傳統網絡安全手段難以應對或修復，并產生崩盤式效應，極易成為美國等國家的新型武器。

三、幾點建議

加強人工智能網絡安全漏洞管理。一是落實《網絡產品安全漏洞管理規定》，建立健全漏洞評估、共享、利用和管控等制度，規范漏洞發現、報送、披露和修復全流程，實現漏洞閉環管理。二是建設和完善網絡產品漏洞信息收集共享平臺，建立人工智能漏洞資源庫，加強與國家信息安全漏洞共享平臺 （CNVD）、國家信息安全漏洞庫（CNNVD）等漏洞資源庫的資源共享，共同保障國家漏洞資源安全和有效利用。三是借鑒美國漏洞收集經驗，充分發揮政府引導、市場主體的作用，通過先期財政資金支持收購漏洞等方式，推動和營造企業、研究機構積極挖掘和主動上報漏洞的良性生態，強化制造強國和網絡強國建設。

推動國產深度學習平臺研發應用。一是將深度學習開源平臺自主可控納入國家規劃并抓好落地實施，利用科技專項支持深度學習開源平臺核心技術的研發，突破開源平臺關鍵核心技術瓶頸，提升人工智能產業鏈的自主可控水平。二是加強國產自主可控深度學習開源平臺的推廣應用，利用首臺（套）政府采購等政策，推動國產深度學習平臺在人工智能創新應用先導區的“先行先試”應用，鼓勵地方政府聯合人工智能頭部企業建設人工智能賦能中心，加快推動國產平臺在通信、制造、交通、能源和醫療等重點行業的示范應用，逐步實現對國產平臺的遷移和全替代。三是充分發揮相關產業聯盟作用，鼓勵和引導更多應用單位在國產深度學習開源平臺上進行開發應用，構建合作共贏的人工智能產業生態。

健全“云-管-端”網絡安全保障體系。一是加強通信網絡 安全保障能力建設，建立健全網絡安全風險監測、預警、通報 和處置機制，完善威脅發現、攻擊阻斷、溯源反制等技術手段， 定期開展網絡安全檢查、檢測和評估等工作，保障通信網絡安 全穩定運行。二是加強車聯網、物聯網等智能終端管理平臺的 安全保障能力，完善車聯網、物聯網等平臺安全標準體系，強 化平臺與智能終端間的網絡信任和安全通信體系建設，提升車 聯網、物聯網等平臺的安全水平。三是加強智能網聯汽車終端 的安全管理，建立健全物聯網卡安全管理制度，支持建設智能終端設備漏洞檢測平臺，完善智能聯網終端網絡安全監測技術， 打造安全放心的智能終端設備應用生態。