人工智能时代网络战新范式和约定竞争

美国弗吉尼亚联邦大学的克里斯托弗·怀特在2020年北约网络冲突国际大会上发表“人工智能时代网络战新范式和约定竞争”的研究成果。文中对人工智能技术可能增强攻击性网络作战的主要方式进行分类，同时，参照美国2018年提出的“持续交战”“约定竞争”和“前沿防御”战略，对网络空间威慑的影响进行了讨论。数字时代，人工智能极大改变了安全特性，使得网络攻击能够对人类社会进行大规模的定向攻击，同时黑客对人工智能系统进行攻击也造成国家级巨大危害。人工智能网络攻击具有战术混乱和战略误导潜力。在战术层面上，自适应规避安全协议的技术增加了防御不确定性，在进攻中使用对抗性学习工具的情况下，促使防御任务更加复杂化。在战略层面上，人工智能网络战为持续地改变网络斗争范围提供了独特的路径，达到超出对手作战预期范围的冲突结果。奇安网情局摘译主要内容，供读者参考。

在世界范围内，很少有机构像国家军队那样关注人工智能系统对安全的影响。在美国，政治和军事领导人曾多次呼吁“第三次抵消战略”，即利用智能机器系统在未来几年内超越外国对手的能力。实际上，官方战略文件和领导人正式的声明都表明了一个既定的事实——一种新技术正在改变人类战争本身的特征，潜在的人工智能进程将导致国家权力基础的必然转变，并将在战略和行动两个方面改变国家间安全关系的构成。人工智能驱动的网络攻击在形式上与传统数字威胁具有显著不同，且可能超出了数字领域。网络空间在即将普及的人工智能系统的中心地位，意味着在该领域产生了新的作战动机，加上人工智能提升了网络攻击和防御的前景，对当前的网络冲突预防策略所持的若干假设提出了挑战，应该引起决策者的极大关注。

一、基于人工智能的网络攻击

人工智能将如何增强或升级进攻性网络作战，对这个问题的常见回答是，人工智能可以使网络攻击更加强大，从而降低传统防御措施的有效性。

（一）攻击面规模和速度分析

人工智能赋能网络攻击意味着对潜在受害者的威胁将大大增加，因为它可以对目标系统和受害者实体的攻击面进行大规模分析。体现在两个方面：

第一，恶意软件有机会利用通过感染机器获得的传入数据，以概率性判断何时何地进一步感染可能产生某些有价值回报。在过去两年针对金融机构的Trickbot恶意软件中，可以发现这样一个人工智能恶意软件类似的示例。最初，Trickbot的功能类似于自2010年代中期以来看到的其他的蠕虫恶意软件，一旦建立立足点，几分钟内又会有多台其他机器被攻陷，没有清晰的目标选择模式。该恶意软件不仅能够以某种速度扩大其攻击，而且它还基于对进一步感染的预期成功进行“智能”分析来选择受害者。将“智能”一词加上引号，是因为该恶意软件并没有真正利用人工智能技术，而是通过手动编程采取了更加谨慎的操作。然而，这个例子表明，对目标网络攻击面的快速了解产生了一种不同寻常的感染策略，这对于为处理持续性较低的威胁而设立的防御者来说是非常难以应对且代价巨大的，并非每个潜在目标都会被感染，只有那些使用过时的存有明显漏洞的服务器的目标才会被感染。

第二，对攻击面的更深入分析能够导致数据不安全性增加，主要是通过传统情报方法或非法途径获得的大量数据和元数据。对于有兴趣利用人工智能优势进行网络攻击的恶意行为者来说，可获得的数据越多，所采用的技术更有效。未来，攻击者很可能会进行违法犯罪或政治性的网络攻击活动，而大量的数据将充分地为网络攻击活动提供支持。人工智能进攻性网络作战的黄金标准（特别是针对大众或大型机构），是通过学习系统进行实质性设计的，这些学习系统可以推断出针对目标的横向攻击方法，并在某些情况下，通过采取相对低风险的检测或缓解行动，快速、自主地处理由这种推断所告知的恶意行为。确实，在复杂的机器智能检查下，这种威胁攻击面已经暴露，这一核心挑战可能影响当前对网络冲突战略思考。

（二）自适应技术

人工智能网络犯罪的第二种动态变化是恶意软件能够从选项工具包中自动选择以进一步传播。渗透到机器中的恶意软件可能会对环境进行分析，并确定与初始入侵中涉及的特定漏洞相比，另一种技术更适合附加新的受害者。在这里人工智能网络攻击形式与国家安全机构或其他高级持续性威胁（APTs）经常使用的复杂软件没有太大区别。它是一种更易于访问、更自动化的方法，用于授权各类黑客使用足够智能的工具将攻击工具箱中的可变元素适应各种攻击表面。

（三）自适应对抗性战术

由人工智能而升级的网络攻击威胁也是一种恶意软件，该恶意软件可以随着作战的进行而调整自身的策略。人工智能编程与评估潜在目标和选择适当方法的简单能力不同，随着越来越多地了解运营环境、环境维护者以及用户，它可以使恶意软件根据任务参数改变其战术。进行跨多种网络攻击面的防御方，可能会因为对其中一个目标（例如一个军事作战基地）攻击行为发现，使得其他更适合的攻击目标（例如研究实验室）的快速传播被发现的风险更大。在这种情况下，同一款恶意软件可能能够选择一种替代方法，例如隐藏或进行“缓慢”的努力来破坏计算机并泄露信息。这样，人工智能恶意软件呈现出一种对抗性的威胁，即使是在面对强大的防御者时也能发挥作用。

（四）多重思维

最后，专家们担心，人工智能恶意软件能够大规模分析受害者的网络，并为了最大程度地获取进一步的成功，自主采取行动进行攻击。人工智能恶意软件改变战术方法的能力甚至超出了受害者识别和传播的范围，这一能力的次要要素是多功能恶意软件的机会，该恶意软件可能会在现有的操作内容中更改其自身任务或学习新任务。人工智能编程将使复杂的恶意软件了解防御环境并划分学习到的经验教训，以便当任务参数确认更改的情况下（例如，在发现监控系统时或已检索到信息且任务变为渗透之一的情况下），替代性思维可以推动活动进行下去。

二、对人工智能的网络攻击

如果可以将潜在的用于网络攻击的人工智能概括为更大的适应性、快速性和意外恶意行为的机会，那么人工智能网络防御的潜力也是相似的。如果不考虑新的学习、推理和感知技术也将到来并开始增强防御者能力，而只讨论人工智能在网络冲突方面的潜在影响是不公平的。如果说人工智能在网络能力方面的军备竞赛可以归结为在进攻或防御方面相对能力的针锋相对的提高，那也是不全面的。对人工智能的网络攻击（CAIA）的形式，正使防御方面临着复杂挑战，这些攻击试图在实践中利用操作系统和防御程序的方法来破坏其合法功能。换句话说，CAIA实质上构成了对人工智能本身的攻击，这些攻击将越来越多地支持网络冲突过程。这种攻击可以分为两类：

（一）输入攻击

输入攻击是指从根本上误导并使人工智能系统进行错误分类的攻击形式。值得注意的是，输入攻击并不涉及攻击人工智能系统或插件本身的代码，相反，输入攻击是一种欺骗，重点旨在控制（或至少部分塑造）人工智能系统如何“思考”给定问题或功能性挑战。这样，输入攻击最好被认为是反指挥控制（counter-C2）战。

输入攻击的形式千差万别，在功能上有很多不同之处，这是因为输入攻击是由其目标模型功能和部署来定义的。为了达到网络攻击的目的，甚至涉及到物理活动。例如，假设震网病毒对伊朗铀浓缩设施攻击情况重演，其中防御者利用人工智能进行内部网络防御，一开始，恶意软件处于休眠状态，并采取二次行动来安装颠覆关键防御系统功能的内部方法。但与此同时，该恶意软件也可能也可能会从输入攻击中受益，例如，在现场中的一个或多个电脑监视器上放一块磁带，可以诱使安全摄像机相信这些监视器始终处于打开状态。当恶意软件在监视器闲置期打开机器后，这些摄像机不会标记异常。

（二）中毒攻击

与输入攻击相反，中毒攻击是从根本上寻求破坏敌方系统中人工智能编程的活动。在上面的震网病毒事例中，恶意软件攻击可能在非高峰时间逐渐增加某些机器的流量，这就是人工智能系统被“下毒”的主要方式——操纵此类系统的训练数据，以使目标系统学习模型无法准确反映现实。在使人工智能系统中毒时，攻击者实质上制造了后门，通过这些后门可能会进一步采取攻击行动。自然，这可以采取多种形式，攻击者可能会训练防御模型忽略某个特定形式的异常行为。同样，在执行特定操作（例如诊断扫描）的特定时间，也可以让某个系统运行失败或启动一些其他不相关但是能够起作用的程序。

三、对抗性学习时代的行为塑造

然而，人工智能和网络冲突过程的交叉点的特别之处在于，网络空间的中心地位对于即将广泛普及的人工智能系统的部署和运行，提供了在该领域内潜在的新的作战动机。颠覆人工智能驱动的安全功能的前景，特别是从根本上毒化重要国家安全机构职能的审议和运营基础的前景，提供了超越域内影响和结果的网络空间作战动机。一方面，网络安全专家预计，由于近期采用先进的人工智能编程，全球网络冲突和犯罪活动将会增加。人工智能保证了快速的适应性和复杂性，无需大量投资，也不需要大量人力参与。另一方面，专家预计这样的活动可能会加剧，因为网络攻击人工智能（CAIA）显然会经常牵扯到领域以外的影响（例如，网络作战不专注于某些数字失陷，而是意图影响现实世界风险管理、战略评估以及由此产生的军事部署和财务支出等方法）。

美国在第五域武力态势的变化代表了为适应网络冲突的主流方法所作努力的具体优势。然而，增强人工智能网络冲突的动态以及必须解决的相关问题的变化超过了这种单一关注点的范围。

（一）“持续交战”和“前沿防御”

2018年，美国网络司令部升级为美国军方统一作战司令部，发布了围绕“持续交战”概念的新战略构想。坦率地说，“持续交战”概念及由此产生的战略，意味着网络司令部打算在任何地方、任何时间利用必要的工具来对付美国在网络中的对手。该战略推翻了美国政府和盟国过去所实行的战略，在过去的战略中，本质上奉行的是网络空间国际“弱控制”，仅仅依靠防范和威慑来对抗网络威胁。

“持续交战”战略很大程度上是由哈克内特（Harknett）和费舍克勒 （Fischerkeller）在担任网络司令部学者期间产生的，两人认为，网络空间的独特性意味着传统的威慑方法注定要失败。由于威慑涉及在攻击后加强防御或发布有意义的惩罚声明，在网络空间领域形成可持续威慑态势的前景有限。要展现国家网络威慑战略所要求的防御能力非常困难，并且惩罚很少能达到其预期目的。在报复中传达特定的含义是非常困难的，特别是在网络冲突形式多样的地方。此外，在政策制定者试采用威慑战略的时间范围内，往往没有准备好应对方案。另外，人们很难对该领域某些因素的重要性或作用达成概念性的共识，因为人们对网络主权的含义（如果有的话）了解甚少，这是数字世界的一个标志。

结果是另一种战略——强调“前沿防御”的“持续交战”战略。这种态势涉及网络部队在政府和国内网络之外的活动，以积极对抗旨在损害国家安全或其他国家利益的敌对活动。有人认为，这种行动可以通过采纳选择性交战原则避免升级，而且可以通过专门设计将战术努力扩大为战略收益。这样做的想法是，可以塑造对手的行为，并且使已知的适当竞争的范围广为人知。人们希望，由此产生的条件应该是一种“约定竞争”，在这种竞争中，被视为可接受的网络冲突的界限能够得到持续的公布，并通过制定具体的个案威慑条件来避免对国家造成严重的数字威胁。

（二）人工智能对“持续交战”的基本挑战

有效思考网络冲突过程中的中毒问题是个十分棘手的问题——特别是作为国家安全过程中的一部分，因为我们必须从根本上考虑学习的形式，它体现在两个不同的环境中：人工智能系统的组织环境和建设环境。正如我们今天所了解的那样，仅仅考虑快速学习技术对网络冲突的影响还不够，尽管这种思考确实提出了当前战略所面临的一些明显的挑战。

最重要的是，对“传统”网络技术的广泛升级也预示着对手进行成本效益计算的空间缩小，并认为进一步采取行动的好处可能会被前沿防御者在该领域施加的成本所压倒。简言之，如果智能工具的存在能够更可靠地避免被发现，采取横向路线到达目标或以更快的速度扩大影响，那么对手可能会更愿意继续作战。特别是考虑到从政治层面上来讲背离约定竞争条件的风险不是很高，这种空间的缩小（在持续交战的原则下，说服被认为是可能的）从表面上使有意义的信号在不同情况下变得更加棘手。同样，在最基本的层面，通过横向行动（即采取间接、难以预测的途径来实现目标和结果的行动），实现效果相对强大的能力在数字领域的扩散，这表明我们可能会在以前认为威胁已经实现并以某种形式予以反击的地区看到反复发生的事件。

值得一提的是，人工智能网络冲突为网络空间中传统感知问题增加了新的维度，在威胁监测和分析方面，意图或代理的归属尤其困难。在探测攻击或其他行动被发现的地方，调查人员很少能够分辨出是普通对手进行间谍活动还是攻击行动。近期，另一种可能是网络行动可能与间谍活动或直接攻击无关，而是试图干扰人工智能编程功能。尤其危险的是，这种企图是否涉及比间谍活动更具攻击性的活动尚不清楚。

（三）学习问题

当然，除了由人工智能引起的适应性和快速性驱动的网络冲突加剧对“持续交战”战略的基本挑战之外，政策制定者和从业人员还必须不可避免地应对该领域行为者之间的共同知识状况日益增加的不确定性。例如，上述感知动态与当前网络冲突管理的战略思考相关，因为网络空间可能是政治领域的活动，对毒化或以其他方式干扰人工智能系统的努力最为重要。在未来网络冲突涉及到操控人工智能系统建设和运行，网络空间是其主要利用手段。此外，随着操控战略制定、兵力态势确定等过程的机会激增，国家对通过网络空间进行的中毒性质行动的兴趣可能会与日俱增。这两点都意味着，限制对手网络行动的战略努力可能会失败，因为他们没有有效地对行动者网络作战的动机进行正确的假设。

从更广泛的意义上讲，融入了国家安全机构的大多数功能要素的狭义人工智能的出现，意味着在实行持续交战战略时长期的紧张状态。相同条件下，国外敌对势力强大的人工智能系统的存在意味着学习上的问题——安全机构越是致力于塑造对手行为，就越应该赋予对手理解和解决这种战略的能力。毕竟，就像生成对抗网络（GANs）研究人工智能模型以持续提高进攻能力的一样，具有独特行为模式的人工智能网络部队自然会经历一个对抗性学习的过程，在这个过程中，外国行为没有限制可接受行为的形式，而是定义了未来侵略行为在概率上不太可能导致某种代价的标准。特别是，考虑到上述使用人工智能代理软件的动机，与非人工智能版本相比，人工智能代理软件有着更高的成功记录（由于它们的适应性），这种系统的普遍存在似乎有可能与静态行为规范的发展背道而驰。

最后，一个新兴时代的结果是，人工智能对抗性学习是国际网络交互的主要特征，这是一个永久性的验证挑战。在最近的学术研究中，已经有一些将相关指标应用于持续交战战略的讨论，以便国防从业者可以确定其有效性。由于网络冲突过程中人工智能化及毒化问题作为该领域作战的常规特征，此类挑战成倍增加。虽然对广泛活动模式的分析暗示了旨在阻止特定对手行为的前沿防御努力的有效性，但在国外同行不会采取针锋相对的反击行动的时代，这些指标也许并不明显适用，但在方法上完全是另一种选择。换句话说，如果作战模式从实物参与（即使这种参与来自公认的多样性工具）转变为横向方法和误导性的命令，那么验证当前战略流程的尝试似乎除了对重大事件发生率的简单分析之外似乎是无效的。

四、对战略思考的启示

网络空间对即将广泛运用的人工智能系统的部署和操作中心的地位意味着在该领域内操作的新动机。这对当前网络冲突战略（尤其时西方国防机构正在制定的战略）的影响是多方面的，随着未来关于这一主题研究的发展，其产生的影响仍有待全面评估。然而，有一些收获是显而易见的。

第一，战略规划者和决策者必须从一开始就意识到，在人工智能增强网络冲突过程方面存在两个层面的挑战。一是人工智能有望减少可能以有利条件塑造网络空间竞争的窗口；二是人工智能加剧了网络作战中已经存在的有效性和归因的挑战，并增加了新的维度。简言之，考虑到安全设备中即将广泛使用的人工智能模型可能会中毒，防御者如何才能真正了解自己系统的完整性？在战略层面，考虑到在人工智能支持的对手之间的大范围尝试，可能会通过对抗性学习来增强对手的能力，那么决策者和军方人员如何知道他们对战略条件的了解情况？

第二，出于国家安全目的而有效部署的人工智能存在各种挑战。以上章节讨论的大部分内容在某种程度上都涉及到机器幽灵问题，即机器智能系统代码中存在的人为假设，构成了有效部署国家安全目的的真正问题。虽然说随着人工智能化的发展这些问题是不可避免的，但是在关键时刻让人类陷于困境的协议似乎是解决（恶意或自残）中毒问题的一部分。

第三，在人工智能竞赛来临的时代，战略发展、评估和验证必须从对对手的战略动机的跨域理解中产生。如果网络空间不仅是一个可以进行独特竞争和发出信号的领域，而且也是可以采取行动影响现代社会所有领域进程的重要领域，那么，战略规划者最好可以从超出数字业务领域特征的简单逻辑的假设中构建。正如先前在隐形和显性两个方面所讨论的那样，网络冲突常常借助非数字竞争而表现出来，以致于我们最好从网络冲突过程的逻辑方面来进行分析，而不是从网络空间方面。对于人工智能来说尤其如此，特别是考虑到出于安全目的，将人工智能作为目标很可能与计算机和互联网系统的使用密切相关，而计算机和互联网系统是此类编程不可避免的运行基础，这一点非常重要。

声明：本文来自网络空间安全军民融合创新中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。