全球首个AI框架CC EAL2+证书 ，昇思MindSpore推开可信AI大门-CSDN博客

近日昇思MindSpore正式通过SGS Brightsight实验室的安全评估获得了AI框架领域的首份CC EAL2+证书。

作为全球最大的独立认证机构SGS Brightsight可以说是全球为数不多被广泛认可的安全实验室。同时CC认证也是目前全球认可度和权威性最高的IT产品安全认证主要用于评估产品的安全性、可靠性以及对信息隐私的保护。

在过去很长一段时间里AI框架和CC认证很少被同时提及其中的原因离不开AI框架的开源属性加上人工智能的产业应用才刚刚起步业界的焦点常常是准确性和易用性安全性的课题被选择性忽略。可为何昇思MindSpore主动送测SGS Brightsight实验室并深度参与了人工智能框架安全目标的制定

隐藏在首份CC EAL2+证书背后的其实是人工智能的新潮向。

01 AI框架的险滩和暗礁
经历了Theano、Caffe等早期框架的探路TensorFlow和PyTorch在全球范围内的风靡再到飞桨、昇思MindSpore等国产框架的崛起AI框架在第三次人工智能浪潮中扮演的角色早已深入人心。

比如“操作系统”的比喻AI框架在技术体系中有着承上启下的作用向下调用底层的计算资源向上承接算法模型的搭建开发者无需关注底层的逻辑和细节可以直接在框架下构建或调用算法模型并进行训练部署极大地提高了开发效率。

如果说AI框架撬动了人工智能产业化的“大航海”看似平静的水面下却有着不可小觑的安全盲点。

一种是容易被察觉的“险滩”典型的例子就是框架及其模型库中的安全漏洞。根据开源软件社区GitHub公布的数据TensorFlow自2020年以来被曝出的安全漏洞已经有百余个国内的360团队曾对市场上的主流AI框架进行安全性评测发现了150多个漏洞腾讯安全团队公开了TensorFlow组件中存在的重大漏洞如果开发者编写机器人程序时使用了该组件黑客可通过漏洞控制机器人……

另一种是难以洞察的“暗礁”譬如普遍存在的算法黑箱、数据泄露等问题。由于算法模型和复杂性和不确定性人们无法直观解释结果背后的原因一旦训练数据中存在偏见可能会直接影响训练结果。甚至有一些开发者利用算法模型的复杂性人为植入了一些隐蔽的“后门”可以在近乎无感的情况下进行攻击或是窃取开发者上传的敏感数据或是利用对抗样本等方式干扰模型的判断结果。

当人工智能的应用进入到深水区落地场景逐渐呈现出指数级增长的态势对应的安全风险也将被指数级放大。特别是AI框架已经被越来越多企业和开发者依赖倘若不能扎紧安全口袋代价可能是雪崩级的灾难。

传统的安全保障像是塔防游戏黑客寻找攻击的缺口开发者则努力堵住每一个漏洞但在人工智能的语境里假如黑客选择AI框架或者算法模型为攻击点相当于在城内“空投”了一个个木马直接破防层层安全机制以一种悄无声息的方式进行系统级攻击产生无法估量的损失。

这大抵就是昇思MindSpore深耕安全的原因人工智能产业想要行稳致远势必要在源头上消除任何可能的安全风险。

02 昇思MindSpore的解法
某种程度上说人工智能的安全焦虑并不是什么新话题。早在2017年就出现了可信人工智能的概念2020年相关论文的研究数量已经有上千篇一些科技大厂也推出了验证算法模型安全性的工具包。

可大多数讨论仅仅局限在“讨论”的范畴缺少系统性的方法指引也未能形成约束性的落地机制。个别公司或开发者开源的工具包多半是“打补丁式”的解决思路所能解决的问题比较单一缺少体系化的方法论和行之有效的策略。

深谙其中症结的昇思MindSpore团队俨然意识到了AI框架的特殊性进而围绕AI生命周期构建了一系列的技术能力

针对算法模型的潜在风险昇思MindSpore引入了鲁棒性评测、对抗测评、对抗训练、模型加密等技术帮助客户提升模型的安全性。

比如一些自研或者开源的第三方模型缺少鲁棒性评测昇思MindSpore给出了基于黑白盒对抗样本、自然扰动等技术的评测方案帮助客户识别模型的脆弱点并通过对抗样本检测、数据增强训练等提升鲁棒性再比如为了防止模型在部署时被窃取昇思MindSpore提供了模型混淆和元数据加密的轻量级方案保障模型安全的同时在效率上比全量加密有着10+倍的提升。

针对数据泄露的行业顽疾昇思MindSpore构建了隐私评估、差分隐私训练、联邦学习在内的数据隐私保障机制。

以争议性最大的个人隐私保护为例区别于上云集中式训练的做法昇思MindSpore基于安全多方计算、差分隐私等技术解决了联邦学习中的隐私泄露问题。同时考虑到一些图像数据中存在涉及用户隐私的敏感数据昇思MindSpore集成了隐私内容检测、隐私知识构建、隐私消除等一整套能力可以自动对敏感信息进行消除、填充、替换等处理确保用户隐私不被泄露。

针对AI可解释性的质疑昇思MindSpore的答案是通过原创语义级可解释技术、可解释方法工具集等对症下药。

这也是人工智能频频被挑战的诱因所在毕竟现阶段模型训练的过程往往不可见、模型推理的结果难以解释再加上数据分布不均匀、多样性不足等问题导致模型的决策结果可能出现偏差或倾向性。昇思MindSpore正在通过数据清洗、模型容错性评估、提供模型决策的解释等提升数据的公平性、模型的可解释性继而让用户更理解、信任并有效地使用模型。

也就是说相较于从伦理层面呼吁人工智能的道德准则昇思MindSpore已经在框架层面打造了覆盖模型训练、评估、部署的全流程安全可信为企业和行业提供了源头可信的系统性方案。

03 推开可信AI的大门
有理由相信SGS Brightsight实验室对昇思MindSpore进行安全评估时除了框架本身的安全性昇思MindSpore在模型安全、隐私保护、可解释性方面的工作同样在评估标准中占了相当大的比重。

站在行业的立场上全球首份人工智能框架的CC EAL2+证书所承载的价值不单单是填补了市场空白还为人工智能框架的安全可信提供了重要参照与标准有望为整个人工智能产业的可信化进程按下加速键。

即使从2015年AlphaGo和李世石的围棋大战算起人工智能的产业化也不过才七个年头可一场信任危机却在蔓延中。

无论是特斯拉等多次上演的自动驾驶事故、部分电商平台的大数据杀熟现象、资讯平台算法推荐的内容同质化风波还是“外卖小哥困在系统里”的现象级报道、围绕个性化推荐权利的社会性讨论都预示着公众对于人工智能的态度正在从乐观好奇趋于谨慎质疑不无制约人工智能产业化渗透的可能。

就昇思MindSpore在安全方面的努力来看人工智能的信任危机并非无可挽回。直接的例子就是算法推荐在外界对算法偏见问题群情激奋时某银行在昇思MindSpore上巧妙规避了潜在风险通过基于LIME的推荐解释解决了有无解释的问题利用基于KG的原创可解释推荐网络TB-Net获得了语义级解释能力既解决了理财推荐结果难解释的困局又提升了推荐效率和转化成功率。

值得一提的是不只是SGS Brightsight实验室的CC认证昇思MindSpore还通过了云计算开源产业联盟的评估融合国内首批《可信开源社区评估体系》认证并且支撑华为云的OCR服务通过了独立机构BSI的AI C4审计认证……可信人工智能正在逐步成为整个行业的理性共识。

再来思考昇思MindSpore获得全球首个CC EAL2+证书的时代意义正在从根源上制约人工智能应用的弊端为企业打通了强化隐私保护、稳定性、可解释性、公平性的路径有力地推开了可信AI的大门。