滥用人工智能指的是利用AI系统来推进其攻击目标的情况,如使用机器学习让网络攻击自动进行,并且通过自我学习不断提升。犯罪分子和犯罪集团将人工智能技术运用在其犯罪模式中给网络安全带来新的挑战。
人工智能是计算机科学的分支,致力于让计算机实现人类的智能。与AI技术有关的概念是机器学习,它赋予计算机系统从数据中学习的能力,与其它计算机软件相比,机器学习算法不需要特定指令,而仅仅需要从大量例子中抽象出模板与规则,也即在一个特定任务下,计算机系统自身可以不断地学习提升自己的性能,它以神经网络为基础学习和处理信息。
滥用人工智能指的是利用AI系统来推进其攻击目标的情况,如使用机器学习让网络攻击自动进行,并且通过自我学习不断提升。犯罪分子和犯罪集团将人工智能技术运用在其犯罪模式中给网络安全带来新的挑战。犯罪分子可能利用AI技术来增强他们对某一系统的攻击,提高攻击的命中率,探索新的受害者,构造出创新的犯罪模板,降低被查控的几率。AI技术也具有在人工智能领域形成“犯罪软件即服务”(Caas)这一犯罪模式的风险。在这一犯罪模式中,网络犯罪生态系统中技术人员向其他网络犯罪分子提供产品和服务,技术上缺乏经验的犯罪分子和高级威胁行为者也能迅速实施复杂的攻击。这一模式降低网络犯罪攻击的门槛,是犯罪的驱动力,提高了人工智能技术被滥用的风险。只有把握犯罪分子利用AI技术的可能方式,才可能有针对性地设置应对措施,提升网络安全的能力,以期实现对犯罪的有效预防,为未来应对新兴网络犯罪形势做好准备。滥用人工智能的可能手段包括以下几个方面:
一是利用人工智能的恶意软件。恶意软件代指可以中断用户的计算机、手机、平板电脑或其他设备的正常运行或对其造成危害的恶意代码。比如蠕虫病毒、特洛伊木马、间谍软件等,犯罪分子可能利用AI技术来提高恶意软件攻击网络系统的水平。除此之外,人工智能技术也可以让传统的黑客技术实现优化,让攻击方式难以被预测。虽然目前一些杀毒软件厂商也在利用机器学习来提高他们杀毒侦测的水平,但经证实,人工智能技术依然可以寻找到杀毒软件的弱点,并成功规避。
二是利用AI技术破解密码与验证码。犯罪分子利用AI技术破解密码,让破解密码的过程相较于传统的方式更具有针对性,效率也更高且难以被发现。犯罪分子很可能开发利用AI技术破解密码的软件,以实现其犯罪目的。同样,验证码安全系统也被人工智能技术威胁。
三是在社交网络上实现智能内容生成,内容解析与用户行为仿真模拟。目前的AI技术可以实现智能内容生成、智能内容解析、用户行为模拟。算法具有模拟特定人类行为的能力进而规避安全系统。
四是在网络游戏中作弊。作为网络世界的重要一部分,网络游戏领域也应该是人工智能技术的“用武之地”,犯罪分子也将攻击的触手伸向游戏领域,尤其是专业的有利可图的电子竞技领域。在线游戏竞赛涉及大量奖金,犯罪分子使用最新技术在游戏过程中进行作弊。机器人使用深度学习算法,不仅能够玩游戏,而且还能开发出这些类型的游戏作弊方式。
五是利用AI技术进行社会工程学攻击。社会工程学攻击是一种利用人为的漏洞进行欺骗的手段。比如,犯罪分子利用AI技术了解受害者的信息,制造假象,从而实施犯罪行为。
滥用人工智能技术将会面临严重的刑事法律风险,触犯多种罪名。一是侵财类犯罪,主要是诈骗犯罪。行为人利用人工智能技术中智能内容生成、内容解析,用户行为仿真模拟等技术,收集他人信息,模拟特定人或群体的行为方式,以冒充他人身份,使受害者产生错误认识,从而支配财产。在这种情况下,AI技术是犯罪分子实施诈骗行为的手段,利用AI技术了解受害者信息,减少与受害者之间的信息差,骗取受害者的信任,从而实施犯罪行为。如前所述,人工智能可能会被用来进行游戏作弊,游戏作弊破坏了公平竞争规则,行为人利用人工智能技术虚构游戏参与者与游戏过程,骗过游戏系统,取得游戏奖金,应以诈骗罪论定。二是侵犯秘密类犯罪。人工智能技术可能被利用来破解密码与验证码,逃避系统安全措施,获取相关秘密。根据破坏系统的领域不同,可以分为:侵犯商业秘密罪,非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪。三是计算机信息系统犯罪。人工智能恶意软件有自我学习能力,危害极大,影响设备的正常运行甚至对其造成危害。
对人工智能技术进行规制,防控其可能的刑事风险,有以下几点建议:
首先在立法上,建议增设滥用人工智能类犯罪,实现预防性立法。人工智能作为一项技术,一般情况下是作为实现其它犯罪目的的工具。人工智能具有深入学习、自主学习的能力,其智能化强,一旦被滥用社会危害性大,因此,即使滥用人工智能体实施相关犯罪的预备行为也可能造成重大法益侵害。在立法上,为规制相关技术的使用,采用预备行为实行化、帮助行为正犯化的立法路径实现犯罪预防。刑法修正案(九)中增设的非法利用信息网络罪,帮助信息网络犯罪活动罪即是可资借鉴的先例。
对相关部门来说,加强对人工智能技术的有效监管。人工智能技术是一把双刃剑,它提高生产效率,创新发展方式,给社会带来了巨变,但是它一旦被应用在违法犯罪的领域也会造成不可估量的后果,因此应当加强对人工智能技术的管控,让人工智能技术的应用被限制在合法正当领域。要实现对人工智能技术的有效监督,对待滥用人工智能技术的行为应主动预防响应,以减轻此类攻击的影响。
对AI技术的研发者与操作者来说,应实施有效的风险管理。首先,要确保安全的 AI设计框架,从源头控制人工智能技术的安全,人工智能系统的开发要遵循设计安全和隐私设计原则,以保证其安全性。开发特定的数据保护框架,以在安全和受控的环境(沙盒概念)中持续开发、试验和培训 AI系统,以确保AI系统的最大准确性。其次,应采用风险管理方法对来自当前和未来人工智能使用和滥用的威胁进行分类,并相应地优先考虑响应措施;设置人工智能技术标准,按设计来促进网络安全。