如果沒有海量數據，無論是家庭中的智能揚聲器還是個性化的書本推薦，人工智能都不會取得驚人的成功。人工智能在經濟新領域的傳播，例如人工智能驅動的營銷和自動駕駛汽車，正在推動越來越多的數據收集。這些大型數據庫正在收集各種各樣的信息，其中一些信息敏感且可以個人識別。所有這些數據集中在一個地方，使這些數據庫成為誘人的目標，從而增加了侵犯隱私的風險。

公眾在很大程度上警惕AI的數據渴望方式。根據布魯金斯大學的一項調查，有49%的人認為AI會減少隱私。只有12%的人認為它沒有效果，只有5%的人認為它可能會更好。

作為網絡安全和隱私研究人員，我們認為AI與數據隱私之間的關系更加細微。人工智能的傳播引發了許多隱私問題，其中大多數人甚至可能都不知道。但與此相反，人工智能也可以幫助緩解許多此類隱私問題。

AI帶來的隱私風險不僅來自大量個人數據收集，還來自深層神經網絡模型，這些模型為當今大多數人工智能提供了動力。數據不僅不受數據庫破壞的影響，還受到模型中泄露數據的模型的“泄漏”的影響。

深度神經網絡是旨在發現數據模式的算法的集合，由許多層組成。在這些層中有大量稱為神經元的節點，并且相鄰層的神經元相互連接。每個節點及其之間的鏈接對信息的某些位進行編碼。當特殊過程掃描大量數據以訓練模型時，將創建這些信息位。

例如，可以在一系列自拍照上訓練面部識別算法，以便它可以更準確地預測一個人的性別。這樣的模型非常準確，但是它們也可能存儲過多的信息，實際上是在記住訓練數據中的某些面孔。實際上，這正是康奈爾大學的研究人員發現的。攻擊者可以通過探索對面部圖像性別進行分類的深度神經網絡來識別訓練數據中的人。

他們還發現，即使攻擊者無法使用原始的神經網絡模型，攻擊者仍然可以分辨出訓練數據中是否有人。他們通過使用一組模型進行此操作，這些模型在與訓練數據相似但不相同的數據上進行訓練。因此，如果原始訓練數據中存在一個留著胡須的男人，則在不同胡須男人的照片上訓練的模型可能能夠揭示其身份。

另一方面，人工智能可以用來緩解許多隱私問題。根據Verizon的《 2019年數據泄露調查報告》，大約52%的數據泄露涉及黑客攻擊。現有的大多數檢測網絡攻擊的技術都依賴于模式。通過研究以前的攻擊，并確定攻擊者的行為是否偏離規范，這些技術可以標記可疑活動。AI擅長這種事情：研究現有信息以識別新數據中的相似模式。

盡管如此，人工智能不是萬靈藥。攻擊者經常可以修改其行為以逃避檢測。采取以下兩個示例。舉一個例子，假設反惡意軟件使用AI技術通過掃描特定的軟件代碼序列來檢測特定的惡意程序。在這種情況下，攻擊者可以簡單地將代碼的順序改組。在另一個示例中，反惡意軟件可能首先會在稱為沙箱的安全環境中運行可疑程序，在該環境中它可以查找任何惡意行為。在這里，攻擊者可以指示惡意軟件檢測其是否正在沙盒中運行。如果是這樣，它就可以正常工作，直到將其從沙箱中釋放出來為止，就像負鼠死了，直到威脅已經過去。

AI研究的一個新分支叫做對抗學習，旨在改進AI技術，以使它們不易遭受此類逃避攻擊。例如，我們已經進行了一些初步的研究，以研究如何使惡意軟件更難于逃避檢測，這些惡意軟件可用于侵犯個人隱私。我們想出的一種方法是給AI模型增加不確定性，以使攻擊者無法準確預測該模型將做什么。它會掃描特定的數據序列嗎？還是會運行沙盒？理想情況下，惡意軟件不會知道并且會無意間暴露其動機。

我們可以使用AI改善隱私的另一種方法是探究深度神經網絡的漏洞。沒有一種算法是完美的，并且這些模型容易受到攻擊，因為它們通常對所讀取數據的微小變化非常敏感。例如，研究人員表明，在停車標志上添加便簽紙可以欺騙AI模型以為它看到了限速標志。像這樣的細微改動利用了訓練模型的方式來減少錯誤。這些減少錯誤的技術打開了一個漏洞，攻擊者可以通過該漏洞找到使模型蒙混的最小更改。

這些漏洞可通過在個人數據中添加噪音來改善隱私。例如，德國馬克斯·普朗克信息學院的研究人員設計了一些巧妙的方法，可以將Flickr圖像修改為面部識別軟件。這些變化非常微妙，以至于人眼無法察覺。

AI可以幫助緩解隱私問題的第三種方式是在構建模型時保留數據隱私。一項有前途的發展稱為聯合學習，該技術在Google的Gboard智能鍵盤中用于預測接下來要鍵入的單詞。聯合學習根據存儲在許多不同設備（例如手機）上的數據而不是一個中央數據存儲庫來構建最終的深度神經網絡。聯合學習的主要好處是原始數據永遠不會離開本地設備。因此，隱私在某種程度上受到保護。但是，這不是一個完美的解決方案，因為當本地設備完成一些計算時，它們并沒有完成它們。中間結果可能會揭示有關設備及其用戶的一些數據。

聯合學習讓您對AI更尊重隱私的未來有所了解。我們希望，對AI的持續研究將找到更多方法，將其作為解決方案的一部分，而不是問題的根源。