欧洲学者分析军事人工智能系统面临的网络安全风险

编者按

欧洲领导网络（ELN）研究协调员爱丽丝·萨尔蒂尼撰文，分析军事人工智能系统面临的网络攻击风险、军事人工智能系统遭网络攻击的全球影响及可能导致的冲突升级路径，并向西方国家提出对策建议。

文章称，人工智能技术的快速进步有可能彻底改变包括军队在内的社会各个领域，全球各国希望将人工智能技术与军事行动融合以增强决策流程和作战效率；尽管具有潜力，当前的人工智能系统仍存在严重缺陷，其稳健性和可靠性的不足无法保证在高风险军事行动领域的可靠性能；与传统军事平台不同，人工智能系统极易受到网络攻击，这为黑客访问和操纵敏感军事数据或破坏军事行动提供了新的切入点，针对此类网络威胁的防御措施滞后会导致对手可以利用军事系统的漏洞。

文件称，当前人工智能系统中存在的漏洞为黑客破坏完整性、损害机密性和破坏可用性提供了机会，从而会导致错误结果、数据泄露和系统故障。其中，完整性攻击旨在欺骗人工智能系统做出错误的决策，方式包括操纵训练数据的数据毒害、以及利用模型缺陷的逃逸攻击；机密性攻击旨在推断出有关系统运行或其训练数据的受保护信息，并通过了解底层模型来发现更多漏洞；可用性攻击旨在削弱关键系统的可用性，方式包括拒绝服务和勒索软件等。文章称，网络攻击因其易于执行、依赖广泛的人工智能漏洞以及防御此类攻击的挑战而成为令人担忧的趋势；对人工智能系统开展网络攻击较设计和训练上述系统需要更少的专业知识和资源，故障恢复导致的性能妥协加剧这一不平衡情况；上述权衡可能会解决特定的漏洞，但同时可能会无意中放大其他漏洞，为攻击者提供利用新漏洞的机会。

文章称，随着世界各国加大在常规军事系统中部署人工智能技术的力度，对手毫无疑问会寻求识别和利用这些系统中的漏洞；网络攻击威胁可能源自网络战强国、资源较少但想要破坏西方防御系统的国家以及非国家行为体，导致网络威胁形势进一步恶化；对于国家和非国家行为体来说，网络攻击可能是一种有吸引力且具有成本效益的替代方案， 可以实现非对称优势并挑战技术更先进的对手；西方国家的对手可能已经在努力实现通过利用网络漏洞破坏军事人工智能平台的目标。

文章称，人工智能漏洞表明，在安全至关重要的核领域依赖该技术是不稳定的，例如核指挥、控制和通信（NC3）系统；常规军事平台中广泛采用人工智能也可能对核风险产生意想不到的下游影响；人工智能集成到常规军事系统或情报平台中的总体效应可能会导致对核领域产生不可预测的影响；通过网络攻击开展的对抗性干扰可能会导致大规模欺骗，进而导致广泛的误判和误解，从而可能在地缘政治不稳定的环境中增加无意或意外升级的风险；间接影响NC3的欺骗性因素可能会给利用网络攻击能力的对手带来优势，诱使一方将先发制人式的打击视为对抗或减轻感知威胁的可行策略；高度联网化的军事系统被利用可能会导致灾难性的级联故障，削弱常规威慑能力，在极端情况下可能迫使国家考虑通过核反应来恢复威慑。

文章提出，西方国防机构必须适应网络威胁不仅无处不在且随着人工智能技术的融合而不断演变的安全环境，为对手通过威胁人工智能核心数据集并开发新颖的漏洞来利用人工智能模型漏洞的风险做好准备；在网络威胁变得更加复杂和普遍的情况下，必须对军事人工智能整合采取极其谨慎的态度；西方国家必须通过制定基于网络风险的指标来为人工智能的军事应用制定明确的指导方针，相关指标应评估网络漏洞如何影响军事系统中的人工智能集成领域，强调人类监督的必要性以及在出现异常情况时恢复手动控制的能力；西方国家应共同努力，通过有针对性的研究来加强网络防御，以抵御此类攻击；鉴于目前人工智能技术的不可靠性，以及核威慑系统遭渗透的固有风险和潜在灾难性后果，需要采取保守方法，不应将人工智能集成到关键的NC3功能中。

奇安网情局编译有关情况，供读者参考。

解决人工智能军事系统中的网络漏洞

人工智能（AI）的快速进步展现出惊人的能力，有可能彻底改变包括军队在内的社会各个部门。随着人工智能技术的发展，其与军事行动的融合越来越被渴望增强决策流程和作战效率的国家视为战略优先事项。然而，尽管具有潜力，当前的人工智能系统仍存在严重缺陷：其稳健性和可靠性尚未足够先进，无法保证在高风险军事行动领域的可靠性能。

除其他风险外，与传统军事平台不同，人工智能系统极易受到网络攻击，这为黑客访问和操纵敏感军事数据或破坏军事行动提供了新的切入点。针对此类网络威胁的防御措施滞后，导致对手可以利用军事系统的漏洞。

随着各国继续将人工智能纳入常规军事系统，相关国家应该做好准备，应对对手将（而且很可能已经）通过威胁人工智能核心数据集并开发新颖的漏洞来利用人工智能模型弱点的风险。任何人工智能平台的集成都必须认识到它们很容易出现故障，包括为对手提供操纵的新切入点。此外，在各种常规军事系统的狭窄范围内整合人工智能——尤其是那些与核决策相关的系统，甚至是间接的系统——可能会在核领域产生不可预见的影响。因此，各国应采取基于风险的战略，制定指标来评估漏洞将如何影响人工智能集成领域。

当前人工智能系统产生的网络漏洞

当前人工智能系统中存在的漏洞为黑客破坏数据完整性、损害机密性和破坏可用性打开了大门，从而导致错误结果、数据泄露和系统故障。

完整性攻击是最普遍的网络攻击形式，旨在欺骗人工智能系统做出错误的决策。在数据中毒的情况下，攻击者操纵训练数据，导致人工智能学习错误的模式。在军事平台中，这些操纵可能会导致一系列情况，从未能识别正确目标到灾难性失败，例如将友军误认为敌方。逃逸技术是另一种完整性攻击，涉及利用模型中的缺陷，导致检测系统中的错误识别，即使是单个被篡改的数据点。一个例子是修改无人机图像数据以伪装对手的移动导弹发射器。

通过机密性攻击，黑客推断出有关系统运行或其训练数据的受保护信息。由于某些军事模型训练所用的机密或敏感数据被泄露，这些攻击可能会导致严重的安全漏洞。随着对底层模型的更多了解，可能会发现更多的漏洞，其中可能包括欺骗检测功能的方法。

最后，可用性攻击，包括拒绝服务（DoS）和勒索软件，旨在削弱关键系统的可用性。在军事背景下，这可能意味着扰乱管理物流和供应链的人工智能系统，导致关键时刻供应短缺。这些攻击方法并不是人工智能系统独有的，尽管它们仍然构成威胁。

网络攻击因其易于执行、依赖广泛的人工智能漏洞以及防御此类攻击的挑战而成为一个令人担忧的趋势。执行网络攻击通常需要比设计和训练这些系统所需的专业知识和资源更少的专业知识和资源。由于人工智能对故障的恢复能力经常需要在性能上做出妥协，这一事实加剧了这种不平衡。因此，这种权衡可能会解决特定的漏洞，但同时可能会无意中放大其他漏洞，为攻击者提供利用新漏洞的机会。

对全球稳定的影响

随着各国加大在常规军事系统中部署人工智能技术的力度，毫无疑问，对手可能会寻求识别和利用这些系统中的漏洞，特别是在冲突前的情况下。鉴于俄罗斯等对手积极从事网络行动，这对西方防御系统的影响是巨大的。这些国家向网络战投入了大量资源。

例如，俄罗斯利用网络行动来控制本国民众并影响敌对国家的政治格局，其对2016年美国总统选举的干预就证明了这一点。这些行动表明俄罗斯有能力利用网络策略破坏其他国家的稳定。

由于网络攻击可能来自非国家行为者，以及可能想要破坏西方防御系统的资源明显较少的国家，威胁形势进一步恶化。鉴于执行人工智能系统渗透的障碍相对较低，而且不一定需要大量资源或专业知识，因此存在非国家行为者可能损害军事行动的切实风险。

朝鲜等资源有限的国家也在这一领域表现活跃。朝鲜的网络攻击主要集中在间谍活动和金融犯罪上，以支持其军事能力并规避制裁。这表现为一种旨在获取经济收益和投射力量的战略网络行动运用。朝鲜正在寻求具有潜在军事应用的人工智能计划，并且已经使用人工智能来协助网络攻击行动，尽管制裁和资源限制对短期内发展强大的军事人工智能项目构成了重大障碍。

对于国家和非国家行为体来说，网络攻击可能是一种有吸引力且具有成本效益的替代方案， 可以实现非对称优势并挑战技术更先进的对手。西方国家的对手可能已经在努力实现通过利用网络漏洞破坏军事人工智能平台的目标。

AI 和升级途径

在核领域，人工智能漏洞表明，在安全至关重要的领域依赖该技术是不稳定的，例如核指挥、控制和通信（NC3）系统。但即使拥有核武器国家对于将人工智能纳入NC3 的关键功能犹豫不决，常规军事平台中广泛采用人工智能仍可能对核风险产生意想不到的下游影响。

人工智能集成到常规军事系统或情报平台中的总体效应可能会导致核领域产生不可预测的影响。此外，通过网络攻击进行的对抗性干扰可能会导致大规模欺骗，进而导致广泛的误判和误解。例如，如果输入NC3的人工智能情报和监视系统遭渗透，正在处理和转发的信息的完整性就会受到威胁。这可能会导致对迫在眉睫的威胁的错误认知或对对手行为的误解，从而可能引发意外或升级的反应。在地缘政治不稳定的环境中，这种误判可能会增加无意或意外升级的风险。

此外，间接影响NC3的欺骗性因素可能会给利用网络攻击能力的对手带来优势，诱使一方将先发制人的打击视为对抗或减轻感知威胁的可行策略。

此外，高度联网化的军事系统如果被对手利用，可能会导致灾难性的级联故障。这些失败削弱了常规威慑能力，在极端情况下，可能迫使一个国家考虑将有限的核反应作为恢复威慑的最后手段。

结论

鉴于这些考虑，西方国防机构必须适应网络威胁不仅无处不在，而且随着人工智能技术的融合而不断演变的安全环境。这些技术的整合必须极其谨慎，特别是当网络威胁变得更加复杂和普遍时。

为解决此问题，这些国家必须通过制定基于网络风险的指标来为人工智能的军事应用制定明确的指导方针。这些指标应评估网络漏洞如何影响军事系统中的人工智能集成领域，强调人类监督的必要性以及在出现异常情况时恢复手动控制的能力。与此同时，应该共同努力，通过有针对性的研究来加强网络防御，以抵御此类攻击。

不言而喻，由于涉及高风险，不应追求将人工智能集成到关键的NC3功能中。由于目前人工智能技术的不可靠性，核威慑系统受损的固有风险和潜在的灾难性后果，因此需要采取保守的方法。

声明：本文来自网络空间安全军民融合创新中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。