報告圍繞人工智能漏洞展開討論，包括它們與其他類型漏洞的不同之處，以及關(guān)于AI漏洞的信息共享和法律監(jiān)督現(xiàn)狀，同時提供了問題解決建議。討論主題分為以下四個方面：

對人工智能系統(tǒng)的攻擊早已屢見不鮮。研究人員一再證明，機器學(xué)習(xí)算法和訓(xùn)練過程中普遍存在漏洞，并且難以修復(fù)。此外，人們普遍認為，隨著人工智能模型應(yīng)用范圍日益廣泛，它們受到基于深度學(xué)習(xí)的攻擊頻率將會增長。

人們在應(yīng)對人工智能漏洞上面臨挑戰(zhàn)。一方面，現(xiàn)有的網(wǎng)絡(luò)安全框架足夠涵蓋新出現(xiàn)的漏洞類別，例如基于深度學(xué)習(xí)方法產(chǎn)生的漏洞。因此，在現(xiàn)有的漏洞管理框架下分析人工智能的開發(fā)風(fēng)險是可行的。另一方面，人工智能漏洞在某些方面與傳統(tǒng)軟件漏洞不同，可能需要擴展或調(diào)整現(xiàn)有網(wǎng)絡(luò)安全風(fēng)險治理框架。在高度抽象的層面上，AI和傳統(tǒng)軟件漏洞在以下方面有所不同:

1. AI漏洞通常來自訓(xùn)練數(shù)據(jù)和訓(xùn)練算法之間的復(fù)雜交互。某些漏洞的出現(xiàn)源于訓(xùn)練AI模型的特定數(shù)據(jù)集，通常在模型訓(xùn)練結(jié)束之前難以得到預(yù)測或緩解。

2. “修補”人工智能模型中的漏洞可能需要對其重新訓(xùn)練，但成本太高，甚至根本不可行。為減少安全漏洞而進行的模型再訓(xùn)練也可能降低非惡意系統(tǒng)輸入的整體性能。

3. 在許多情況下，人工智能系統(tǒng)中的漏洞可能只是短暫的，并隨環(huán)境的變化而變化。但當(dāng)環(huán)境發(fā)生變化時，系統(tǒng)受到的攻擊和解決辦法可能無法很好地轉(zhuǎn)移。

4. 在人工智能系統(tǒng)中，漏洞通常很難界定。有時很難區(qū)分惡意攻擊和普通的用戶操作，比如戴太陽鏡導(dǎo)致面部識別系統(tǒng)無法正常工作。雖然這個問題并非人工智能獨有，但它確實使人工智能漏洞的定義變得復(fù)雜。

這些差異可能會改變?nèi)斯ぶ悄芟到y(tǒng)中漏洞的處理方式。例如，一旦不可能完全“修補”漏洞，應(yīng)對措施將會側(cè)重于風(fēng)險緩解而非風(fēng)險補救（完全消除系統(tǒng)潛在的脆弱性）。

1. 構(gòu)建或部署人工智能模型的組織應(yīng)該使用風(fēng)險管理框架，在整個人工智能系統(tǒng)生命周期中解決安全性問題。

2. 對抗性機器學(xué)習(xí)研究人員、網(wǎng)絡(luò)安全從業(yè)者和人工智能組織應(yīng)該積極嘗試擴展現(xiàn)有的網(wǎng)絡(luò)安全體系，以覆蓋人工智能漏洞。

3. 對抗性機器學(xué)習(xí)領(lǐng)域的研究人員和從業(yè)者應(yīng)該咨詢那些解決人工智能偏見和穩(wěn)健性的人，以及其他具有相關(guān)專業(yè)知識的社群。

目前還很難準(zhǔn)確評估AI系統(tǒng)受到的攻擊威脅可以達到何種嚴(yán)重程度。一是，大多數(shù)關(guān)于現(xiàn)有人工智能漏洞的信息都來自學(xué)術(shù)研究機構(gòu)、網(wǎng)絡(luò)安全公司或人工智能系統(tǒng)的內(nèi)部研究人員；二是，缺乏系統(tǒng)和標(biāo)準(zhǔn)化的方法來跟蹤AI資產(chǎn)（如數(shù)據(jù)集和模型）及其相應(yīng)的漏洞；三是，對于一些類型的攻擊，攻擊檢測可能需要有意義的機器學(xué)習(xí)或數(shù)據(jù)科學(xué)專業(yè)知識才能實現(xiàn)。由于許多網(wǎng)絡(luò)安全團隊可能不具備檢測此類攻擊的所有相關(guān)專業(yè)知識，組織可能缺乏識別人工智能漏洞的能力和動力。

即使發(fā)現(xiàn)了漏洞或觀察到惡意攻擊，由于目前還不存在專業(yè)可靠的信息共享平臺，這些信息也很少會傳輸給其他人，無論是同行組織、供應(yīng)鏈中的其他公司、最終用戶，還是政府或民間社會觀察員。

為了避免這種結(jié)果，報告建議開發(fā)人工智能模型的組織采取措施，將信息共享規(guī)則制度化，監(jiān)測人工智能系統(tǒng)的潛在攻擊，并提升透明度。

1. 部署人工智能系統(tǒng)的組織應(yīng)增強信息共享意識與能力，以促進對人工智能漏洞的理解。

2. 人工智能部署人員應(yīng)該注重在產(chǎn)品生命周期的每個階段構(gòu)建人工智能開發(fā)的安全文化。

3. 高風(fēng)險人工智能系統(tǒng)的開發(fā)人員和部署人員必須優(yōu)先考慮透明度原則。

美國還沒有全面的人工智能立法（短期內(nèi)也不太可能）。然而，許多法律領(lǐng)域——包括刑法、消費者保護法、隱私法、民權(quán)法、政府采購要求、普通法的合同規(guī)則、過失和產(chǎn)品責(zé)任，甚至美國證券交易委員會關(guān)于上市公司信息披露義務(wù)的規(guī)則——都與人工智能的不同方面有關(guān)。就像人工智能不太適合傳統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險框架一樣，現(xiàn)有法律也無法完全涵蓋它。迄今為止，關(guān)于人工智能的大部分政策關(guān)注都集中在對偏見和歧視的擔(dān)憂上。

報告認為人工智能漏洞應(yīng)該盡可能地在現(xiàn)有的網(wǎng)絡(luò)安全流程下解決，最好通過擴展和調(diào)整網(wǎng)絡(luò)安全法律來處理，而不是試圖將人工智能安全作為一個獨立的主體來監(jiān)管。雖然網(wǎng)絡(luò)安全法律在不斷發(fā)展，但仍有許多問題尚未解決。目前還沒有一部全面的網(wǎng)絡(luò)安全法律，也幾乎沒有任何案件能夠?qū)θ斯ぶ悄苈┒吹呢?zé)任做出明確裁決。

1. 與網(wǎng)絡(luò)安全相關(guān)的美國政府機構(gòu)應(yīng)解釋如何將人工智能安全問題納入并其監(jiān)管結(jié)構(gòu)。

2. 目前沒有必要修改反黑客法來專門處理針對人工智能系統(tǒng)的攻擊。

開發(fā)安全人工智能系統(tǒng)的許多障礙本質(zhì)上屬于社會和文化層面，而不是技術(shù)層面。雖然對抗性機器學(xué)習(xí)是一個快速發(fā)展的領(lǐng)域，但一些研究表示，它在所有人工智能學(xué)術(shù)研究中的占比不足1%，而且現(xiàn)有的研究主要集中在一小部分攻擊類型上，不能代表現(xiàn)實世界的所有攻擊場景。

與此同時，學(xué)術(shù)界對抗性機器學(xué)習(xí)方面的研究尚有不足，從技術(shù)上消除這些漏洞的可行性尚不確定。特別是，目前還不清楚是否可以建立起通用防御，來應(yīng)對多種類型的攻擊。報告多次提及安全性和性能之間的潛在權(quán)衡，盡管這種權(quán)衡是非常必要的，但很難評估其影響并建立應(yīng)對方案，從而利益相關(guān)者難以參與風(fēng)險管理。

1. 對抗性機器學(xué)習(xí)研究人員和網(wǎng)絡(luò)安全從業(yè)者應(yīng)該尋求比過去更密切的合作。

2. 人工智能研究的投資方向應(yīng)更加重視人工智能的安全性，包括資助研發(fā)可以促進更安全的人工智能開發(fā)的開源工具。

3. 政府政策制定者不應(yīng)僅僅停留在安全標(biāo)準(zhǔn)的制定上，還要為評估人工智能模型的安全性提供測試平臺。