即使有人工智能輔助人類程序員，風險依然留存。AI也會犯錯。谷歌和馬斯克獨力支持的人工智能初創公司OpenAI的研究人員發表了一篇新論文，其中描述稱，這些風險在正快速重造我們計算系統的新一類AI里十分明顯，隨著AI涌入到安全攝像頭、傳感器和遍布物理世界的其他設備中，此類風險有可能會造成嚴重后果。“這真的是每個人都應該認真思考的問題。”

幻視

作為AI的一種形式，深度神經網絡可以通過分析海量數據學習各種任務。隨著深度神經網絡的興起，我們跨入到了一個新紀元，編程計算服務逐步讓位于訓練計算服務。Facebook、谷歌和微軟之類的互聯網巨頭里，這一切已經開始發生了。

通過饋送無數照片，小扎及其公司訓練神經網絡識別這個世界上最流行的社交網絡上的無數人臉。通過大量口語集，谷歌訓練神經網絡識別安卓手機“聽”到的語音命令。未來，這將是我們打造智能機器人和自動駕駛汽車的方式。

今天，神經網絡已經能很好地識別人臉和口語了，更不用說物件、動物、標志和其他書面語。但是，錯誤的發生還是無法避免，有時候還會是驚人的錯誤。沒有哪個機器學習系統是完美的。某些情況下，甚至可以耍弄這些系統“看到”或“聽到”實際上并不存在的東西。

可以略微修改一幅圖像，讓神經網絡以為里面包含了一些實際上不存在的東西。這種修改人眼可能發現不了——就是四處加了點像素。往大象的照片中加幾個像素，甚至能讓神經網絡以為這是汽車的照片。這種修改過的照片被論文作者稱作“敵對例子”。這里面就隱含了安全漏洞。

當神經網絡被用于識別直接從攝像頭或其他傳感器收來的數據時，可能會引發問題。比如說，使用神經網絡的人臉識別系統若用于絕密設施的訪問控制，你可以往臉上畫幾個小點來讓系統認為是另一個。

同類型的攻擊可以用在幾乎任何形式的機器學習上，不僅僅是神經網絡，決策樹和支持向量機之類長盛十幾年的決策輔助型機器學習方法也規避不了。事實上，這類攻擊或許已經在現實世界中上演了。金融公司就有可能對競爭對手的交易系統下手。他們可以構造一些交易，讓競爭對手的系統在抵御實際價值的點位上就大量拋出股票，然后迅速買進。

這篇新論文中，通過將圖像打印到紙上并展現給攝像頭“看”，作者們成功騙過了神經網絡。不過，更簡單的方法或許也會起效，比如前文所述的在臉上畫點點。現實世界中這么干行不行尚不能確定，但作者們的研究顯示是有這個可能的。論文中已展示過攝像頭可被騙過，其他攻擊方法想必也不少，比如用人眼感覺不到的印記騙過人臉識別系統等。

難點

騙過AI絕不容易。但也沒必要懂得神經網絡設計的深層知識，也不用知道它是基于什么數據訓練的。如之前的研究所展現的，如果能構建出“敵對例子”騙過自家神經網絡，那對其他神經網絡也可能有效。換句話說，能騙過一個圖像識別系統，就可能騙過其他的。可以用另一個系統來構造敵對例子，那會提升成功率。

說這些安全漏洞比較小是很恰當的。它們是理論上的問題，但在現實世界中，攻擊順利執行還是很困難。除非攻擊者發現了往臉上畫點點的完美模式，否則不用有所期待。然而，此類漏洞真實存在。隨著神經網絡在現代世界扮演越來越重要的角色，我們必須堵上這些漏洞。怎么堵呢？打造更好的神經網絡咯。

這事兒絕不是說說簡單，但事情已經提上了議程。深度神經網絡有意模仿人腦神經網的運作。這也就是為什么它們被稱為神經網絡的原因。但真的實現時，也不過是大規模的數學計算而已——層層疊加的微積分。這些數學計算是由人類組織的，也就是論文作者之類的研究人員。最終，是由他們控制這些系統，而他們已著手找尋清除這些安全漏洞的方法了。

選擇之一，是在神經網絡的訓練中集成進敵對例子，教會它們識別真品與敵對例子之間的區別。不過，其他的選項也在研究人員的考慮之中。他們不是很確定哪些會起效而哪些完全是無用功。一如既往，最終還是人類自身必須變得更好才行。