百度AI生態安全揭秘: AIoT時代的安全丨CCF-GAIR 2018

雷鋒網編者按：掃地機器人、智能音箱、智能電視……當我們的生活越來越離不開智能化的IoT設備時，我們所要面對的安全挑戰又將有哪些新的變化？在6月30日舉辦的CCF-GAIR智能安全專場中，百度AI安全技術總監聶科峰帶來了《AIoT時代的安全》的演講。 

聶科峰目前負責百度AI生態的安全技術能力建設及方案研究，專注于AI平臺及設備的安全評估機制，安全標準研究及安全方案的建設及落地，致力于推動AI方案在智能家居，物聯網等行業的輻射。

以下是他在現場的演講，雷鋒網做了不改變原意的編輯整理。

大家好，我是來自百度的聶科峰，我們從去年開始在AI這一塊做了很多的發力，比如無人駕駛和DuerOS等方面。

作為百度的安全團隊，一直也緊跟AI一起開拓市場。AI安全有兩個特別大的方向，一個是安全for AI，一個是AI for安全，一個是我今天主要講的安全for AI，特別是AI跟IoT的結合，所以我今天的主題是《AIoT時代的安全》。

    

我們先來看一下為什么定義為AIoT時代？

近兩年AIoT得到了一個快速的發展，是依賴于AI的賦能。IoT的概念在1999年就有了，那時候叫傳感網，直到這兩年有很多的IoT設備隨著智能化加速落地。 

在IoT方面，有幾個很重要的因素。第一是傳感器的普及，傳感器是未來整個智能設備最核心的點。昨天在主會場我們也看到專門做無人車雷達激光的公司代表在上面講，原來64線激光雷達需要10萬美金以上，現在16線的激光雷達只需要4000美金左右。

再比如日常所用手機里面的相機，包括現在所有的基于人臉識別的設備，攝像頭模組1300萬像素的成本只要不到一百塊錢。基于納米級微電子技術的發展，可以把傳感數據處理做在非常小的芯片上，所以它的特點是加速廉價化、微小化，這使得傳感器大量可行，成為AIoT發展的非常重要的因素。 

第二個是專有芯片，芯片原來大家都用CPU，CPU的特點是處理邏輯非常強，但在運算上有非常天然的弱勢。英偉達做了非常重要的貢獻，因為他們讓GPU大規模的應用，它在線性大數據處理方面發揮了非常強大的作用。現在在所有基于AI技術應用上，芯片為我們大數據的處理提供了基礎。 

另外就是帶寬，現在家庭帶寬可以到光纖了，移動帶寬馬上上5G，5G的速度是可以上G的速率。10年前2G的時候還是100K的水平，4G是三四百兆的速率，這也為我們未來的時代提供了更加高速的傳輸通道。加上數據流量成本的下降，現在的流量成本會越來越低，這加速了AioT設備的廣泛使用。 

在AI方面，我們有幾個核心的點，深度學習的發展，包括剛才提到的很多成熟的框架，谷歌、百度也有一些深度學習的框架在開源。大數據的處理能力、云和邊緣計算的發展，這些都為整個AI的角色處理提供了非常成熟的基礎。

再就是核心場景上的開始廣泛應用，核心場景是什么？比如語音，以亞馬遜為代表的智能音箱，現在國內的各大巨頭都在做智能音箱，這已經滲透到我們生活的各方面。這里面的數據量是非常大的，同時也讓我們對AI或者AIoT產生了強烈的認知沖擊。 

所以說基于傳感器的未來網絡，是我們整個AI世界里最重要的數據來源，未來的世界一定是強傳感器的場景。AIoT將把物聯網設備帶入以感知、理解和自學習為特征的智能設備時代。 

可以想象這樣一個語音控制場景，比如用智能音箱來控制空調。如果我感冒了，聲音不一樣了，音箱能夠自動識別我的聲音是感冒的聲音，然后它可以對空調做更智能的處理，這就是以后能夠再進一步做的一些非常重要的點。

進入到這個時代以后，它確實跟我們原來的時代很不一樣，這個不一樣體現在它對安全的要求會更高。

有幾個方面的問題：

第一、生態鏈會更長， AI面臨的核心問題是IoT本身的安全基礎非常薄弱，因為IoT目前從硬件到系統、到軟件甚至到設備廠商，產業鏈非常長、非常不標準化，所以它的安全問題尤為明顯。

另外在基于傳感器數據的采集、傳輸、處理，又引發了非常大的新的問題，在AI的數據處理和數據管理方面，會有非常大的挑戰。

其實在整個生態里面，各個角色對安全的感知也不一樣。我們現在買車的時候，很重要的一個因素就是有多少個安全氣囊，它能夠有多少安全碰撞的特性。未來的智能設備也一定要有安全的標準和要求。

首先是系統性的安全風險，從傳感器的欺騙，到軟件缺陷、數據風險再到系統和網絡層面都存在著各種風險，這里有些是新的問題，有些是舊的問題。

以攝像頭為例，去年在一個安全會議上，百度演示了如何欺騙攝像頭，無論是指紋、人臉還是虹膜，都能騙過傳感器。如果這塊做得不足夠多，那生物特征這條線是非常危險的。

比如你的指紋感知如果不加溫度感知，不加其它的感知，只是憑一個指紋特征是非常危險的。原來密碼泄漏后，還可以再設置新的，如果用生物特征，比如臉、瞳孔、指紋等，一旦被人家獲取了，設備又沒有加其它的認證因子，那都沒有機會再改了，所以這是非常危險的事情。雷達被干擾也是非常危險的。

數據風險剛才講了很多，我就不提了，包括數據的安全、數據的訓練和對抗。

系統風險這塊是非常嚴重的，這塊我們在PC或者移動時代會關注很多，但是在IoT時代很少人關注這個問題，但它持續存在，每年有大量的漏洞曝出來，包括可能一些更小的實時操作系統，也是有很多漏洞存在，這些都是潛在的風險。

目前，整個AIoT安全是充滿了新仇舊恨。新仇就是新引發的AI帶來的，從數據采集、數據傳輸到數據處理所有的過程；舊的問題就是整個生態里面基于我們的非標準化，基于我們本身的低計算能力，基于這塊的黑產價值還沒有得到充分的體現，商業模式還沒有形成。

所以即使我們現在很多設備在裸奔，但是還沒有人去動它，但是總會有一天黑產會去做收割。

剛才也提到，最經典的是STOP，只要貼幾個貼紙，機器就變成了限速的標志，這是非常危險的，所以整個工業界和學術界都在做相關的事情，從框架層面把漏洞修復掉，AI算法層面做很多的優化。其實界界有一個共識，就是對于深度學習的模型，對工程師完全是黑盒，他完全不知道深度學習和機器學習的算法如何一步步推導出最終的結果，所以這個結果是充滿了不確定性和不可控制性。這樣的不可控制性會是我們整個AI在未來應用的風險點所在。所以我們現在致力于通過不斷的訓練看結果，但中間的過程完全是黑盒。 

現在再來看一下剛才提到的整個生態里面，安全角色的變化，因為在這個過程中，每個人對這個生態，對于新的時代到來，都有不同的認知和理解，或者在這里有不同的訴求。

我們從幾個維度來看，從攻擊者來看，傳統的安全包括挖漏洞，軟件漏洞和系統漏洞、業務模型漏洞等。但現在會增加新的攻擊，比如基于傳感器的，基于硬件fresh提取的，這都是基于硬件等方面要求。

AI模型這塊的攻擊，我們要有對抗樣本的能力，要有惡意數據級的構造能力，比如剛才任教授提到的，要有去推演它的深度學習模型的能力。對于防御者來說，老的問題都可以用老的方法去解決，包括系統安全等，但面臨新的挑戰，整個時代的安全能力和PC、移動時代是完全不可相比的。因此它的計算能力是從強變到弱，我們在PC和移動端是可以在上面部署很多高計算能力的技術，比如說防火墻，比如說殺軟等等，但這些在AIoT場景對我們提出了非常強的挑戰。

然后我們防御的面也會更加地寬，原來可能是一臺手機或者一臺PC，現在可能是多端互聯，或者是以家庭控制中心整個面的發展。

最重要的是用戶，用戶將來會驅動整個這塊安全發展最核心的推動力，一定是用戶的意識提升上來之后，整個行業的安全才會真正地被重視起來。

用戶從傳統來說，更關注網絡的帳戶安全、上網的安全、支付的安全，這些都是傳統的。但是從現在來看，用戶更加關注剛才提到的特征數據的安全，包括音頻數據、生物特征數據、環境的感知數據，甚至地理位置，包括所有能采集到的跟物理相關的數據，都是非常關注的。

用戶同時會關注物理安全，比如一個掃地機器人會不會突然不受控來攻擊我。再比如智能門鎖，開鎖的信息泄露，或者我開鎖的行為習慣可能會被第三方獲取到，了解到我的生活習慣了，可能對我的人身造成新的威脅。這些都是用戶在新的時代下完全不一樣的考慮。

從另外一個角度看，整個的要求會更高了，對用戶的要求、對攻擊者的要求，對防御者的要求都是提出了更高的要求。

攻擊者從原來存儲軟件到軟硬件，防御者從原來的高計算能力，點的防御到面的防御。這是很重要的變化。

  

我們基于剛才提到幾個點的結果，提出了一個安全框架，這個框架指導我們內部在所有百度AI相關生態的聯盟里面做相關的安全工作。

具體包括應用設備、網絡傳輸到數據處理和數據安全。應用設備這一塊更關注的是偏傳統端的安全，包括系統漏洞，惡意的軟件防護，包括芯片和硬件方面的傳感器欺騙，都在這一層。

網絡這一塊，引入了很多新的協議，這一塊要更加關注協議的傳輸可靠性和安全性。

在數據處理層，我們沒有直接叫云端，因為從未來來看，云和邊緣計算的發展將會變得越來越廣泛，所以所謂的云不一定是云，它很有可能是在邊緣節點做了處理。 

這樣對我們云端的安全也提出了非常大的挑戰，包括我們在云端AI模型的保護。數據安全剛才也講得比較多，這一塊的核心隨著GDPR推出，整個國內對這一塊也重視起來。 

從這幾個角度來看，AI安全我們必須要求穩健，它是決策中心，需要非常好的容錯能力，剛才任教授提到了很多抗干擾的容錯的點，這塊是AI安全最重要的考量。數據是最重要的防線，這條防線上我們一定要從各個維度來保持好這條防線。 

傳輸一定要穩，穩的目的現在來看，有很多新的協議和新的方法，但是它是不安全的，這一塊的選擇我們希望更加謹慎，包括一些傳統的安全網絡防護方案，包括之前提到的加密傳輸協議，去年前年也曝出了“滴血漏洞”，這是非常可怕的事情，所以現在很多大的公司，包括谷歌，包括百度也在推出自己的開源的、更安全的新的加密存儲方案。

設備端的問題非常傳統，要求的就是要快，漏洞是實時會出現的，我們能做的就是更快去響應。  

我們看一下剛才提到的數據安全，基于數據的安全我們能看到，分幾大塊，云端、控制端，還有設備端，從目前來看分這三大塊。

云端和控制端的數據是比較傳統的。設備端的數據是我們現在核心的關注點，從設備的數據我們能看到分四塊：一個是感知數據，我們剛才提到的傳感器采集到的所有物理數據，第二是用戶數據，手機號、帳號等跟個人對應。第三個是健全的數據，第四個是業務邏輯的數據，鑒權數據最重要的是密鑰和保護，業務數據是代碼方面的加固和存儲。

這塊的攻防現在有很多方法來做這個事情，比如調試服務，從目前來看特別是安卓，很多端口基本都是打開的，基于5555端口的開放，設備廠商能遠程地去解決用戶存在的問題，但是這里是留下了一個非常大的隱患的端口。

所以基于調試服務、串口的保護和認證這一塊的布局，第一道防線要做好；第二是存儲芯片，存儲芯片的讀寫，包括flash電路保護，因為現在有很多設備拿到你的二手設備，它可以從flash去提取你的部件和代碼，去做分析和逆向，從而達到可以對同類設備進行同樣的反向攻擊。

同時把讀寫保護加進去，二進制代碼，我們希望對所有代碼做加固的處理，或者做一些安全啟動，這樣能防止攻擊者從這個點去反向獲取到所有邏輯和漏洞。

如果這三項都沒有防住的話，它就能真正進入到我們的業務邏輯里，可以在動態系統運行起來了，這時候我們需要對認證憑證做強度的校驗，對密鑰有很好的管理，最好能做到一機一密。之前我們看到攝像頭出了問題的例子，就是因為一臺設備的密鑰被第三方獲取到了，然后在所有類似設備上完全可以暢通無阻。

在傳輸這塊我們能看到有幾個思路，雙向認證是非常重要的安全措施，就是服務器端會認證客戶端，客戶端也會認證服務器端，這是非常強的認證措施，目前主流的都會啟動雙向認證，但它會帶來效率和性能的問題。

服務器來說，比如對客戶端認證就是模擬一個客戶端，沒有證書的客戶端，它可以拒絕你的服務，特別在一些場景，比如說大規模ddos攻擊的時候，可以把這部分流量做很好的清洗，因為很多這種場景下的攻擊是構造出來的客戶端流量。

對于設備端來說，服務器的證書認證可以防止被中間人劫取。這是目前來說，傳輸這塊最好的解決方式之一。

我們現在大部分用的是SSL，很多設備廠商評估來說，有不少也有這個意識，用了基于SSL的加密協議，但是它只做了個樣子，有加密方案，沒有校驗證書，所以它其實是空架子。同時基于SSL， DNS劫持沒有辦法做防御，本身SSL協議存在安全和漏洞的問題，所以未來在這一塊會有更多面向的內存安全的語言出現。然后對于實在部署不了，計算能力非常低的安全通訊技術的話，至少也要做到雙向加密。

從我們看到的一些數據來看，很多數據確實都在空氣中裸奔，這些都是白花花的數據，但是暫時沒有人把它的黑產商業模型建立起來，但這些數據泄漏未來有一天肯定會爆發的。

設備安全這一塊最重要的就是要快，所以這里我們要建立非常好的防范機制，有問題出現我們能立即處理，對問題的定級或對安全標準化的定義，這里我們要有很多前瞻性的標準去處理。然后在事中，我們要有快速的通道和機制來保證我們的問題能快速下達到用戶和設備上面去，這個非常重要，這是快的最核心的點。

從現在來看，我們所有的設備有一個通道就是OTA，但是這個通道從目前來看也是唯一可以去做事中響應的機制。但是OTA本身也面臨很多的問題或者在整個的生態鏈里面也會有很多的風險。

如果在設備端，OTA被劫持或者OTA沒做好，這個設備有可能變成人家的設備，所以這一塊需要從加密、校驗、策略三個維度做非常強的保護。

從之前的報告來看，40%的家庭攝像機，非常高需求的場景，但它的軟件更新時都沒有加密，這也是為什么我們在這一塊安全問題頻發的基礎，因為整個安全基礎都沒有，所以未來它的安全問題是非常容易發現的。在加密這一塊我們要在性能和安全中做平衡，就像我們之前說的跟傳輸安全類似。

但校驗要做得非常強，一定要確保是可信的，包括蘋果也在軟件分發引入了一些設備指紋。包括OTA未來也一定要確保有類似的機制來保證它的安全，比如這個包只能在這個設備上運行，它必須有完整可信的校驗。同時對于異常的處理機制要做好，比如說出了問題我們還能做回滾，但是回滾帶來的風險就是降級攻擊，在一個設備上，我們修正了很多漏洞和問題，但是攻擊者通過一種方法可能把更低的版本又部署到設備上去，這時候原來的問題又暴露出來了。

但是OTA的問題在于生態鏈非常長，現在的現狀是很多的系統和芯片都是芯片廠商提供，再到方案廠商做一些應用和邏輯的優化，最后再交給真正的設備廠商，設備廠商再推出市場。

出現問題的時候，設備廠商是最著急的，因為用戶都找他，但真正能解決問題的，能夠重新處理漏洞的，可能是背后的硬件廠商和方案廠商，這個推動鏈條非常長，并且大家的感知都不一樣，所以這一塊的問題其實是非常多。

我們之前對整個智能電視行業做了一些調研，70%的系統是用了安卓，并且都在安卓4.4版本，可想而知這里面有多少的問題，這里面有多少設備會在適當的時候被收割掉。

從業界來看，其實大家都在推進快速漏洞修復的技術，就叫自適應的熱修復的技術，它的好處其實是在底層框架下搭建了一個框架，這個框架可以屏蔽上層系統的差異性，可以跨系統和平臺直接去防護掉這個漏洞。因為整個行業的碎片化非常嚴重，PC時代好一點，標準化更好，到移動時代已經有很強的碎片化了，到AIoT時代碎片化更加嚴重。 

如果要做OTA，安全問題必須要對所有版本進行編譯和升級修正，成本非常高，這也是為什么大家的修整過程非常慢，漏洞修復就是它可以做到一次修復，大大提升整個行業的安全響應機制。

最后來看一下百度針對這些問題正在投入的整體解決方案，我們希望通過這些方案，能夠從云、管、端保障我們自己業務在AI生態里的茁壯成長，同時也希望能夠跟業界同仁一起攜手助力整個AI產品往前發展。期待大家的關注和交流。

以上內容來自雷鋒網編輯整理。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。