人工智能的安全性是當今人們廣泛關注的熱點話題。人們在享受人工智能技術給生活帶來各種便利的同時，無時無刻不在擔心人工智能技術可能會帶來的各種風險。

本書就為讀者答疑解惑，全方面、多視角地深入剖析人工智能安全這一主題，內容豐富精彩。

本書由中國工程院院士方濱興親自主編，作者格局大、站位高，具有強烈的使命感、責任感，以全方位、多學科的研究方法，開創性地詮釋了人工智能安全主題，使本書具有創新性、前瞻性、實用性。

本書在簡要介紹人工智能發展歷程、世界各國人工智能戰略規劃之後，重點圍繞人工智能安全主題，提出人工智能安全體繫架構，討論了人工智能助力安全、人工智能內生安全、人工智能衍生安全等相關內容，並深入研究了人工智能安全倫理準則。本書還詳細分析了人工智能行為體及其可能引發的安全問題，提出了人工智能保險箍的解決方案，並給出了人工智能行為體的安全評估與檢測方法。本書最後還探討了人工智能的前沿技術，以及人工智能安全的未來發展趨勢。
本書適合人工智能及安全領域的研究人員、管理人員以及廣大愛好者閱讀。

方濱興，中國工程院院士，中國電子信息產業集團有限公司首席科學家，廣州大學網絡空間先進技術研究院名譽院長，哈爾濱工業大學（深圳）計算機學院首席學術顧問，信息內容安全技術國家工程實驗室主任；國務院學位委員會網絡空間安全一級學科評議組召集人，教育部網絡空間安全專業教學指導委員會副主任委員；目前擔任中國中文信息學會理事長、中國標準化協會網絡與信息安全技術委員會主席、中國網絡空間安全人纔教育論壇理事長、中國網絡空間新興技術安全創新論壇理事長。曾任北京郵電大學校長、國家計算機網絡應急處理技術協調中心主任、中國網絡空間安全協會首任理事長；也先後擔任過中國互聯網協會、中國通信學會、中國計算機學會副理事長。先後獲得國家科技進步一、二等獎六次，省部級獎十餘次，完成著作五本，文章四百餘篇。目前主要從事社交網絡、網絡靶場、網絡空間新技術安全（如雲安全）等研究工作，同時從事網絡空間安全人纔教育方面的工作，並創建了“方濱興研究生班”。

第1章人工智能技術發展概述
1.1人工智能的研究方向及起源
1.1.1人工智能的研究方向
1.1.2人工智能起源
1.2人工智能的三次發展高峰
1.2.1人工智能第一次發展高峰
1.2.2人工智能第二次發展高峰
1.2.3人工智能第三次發展高峰
1.3人工智能的三個學術流派
1.3.1符號主義
1.3.2連接主義
1.3.3行為主義
1.3.4關於三個學術流派的評論
1.4人工智能第三次發展高峰的技術推手
1.4.1深度學習的貢獻
1.4.2軟件框架成為人工智能應用的推手
1.4.3解決不同軟硬件的適配
1.4.4算力大幅提升的貢獻
1.4.5大數據的貢獻
1.4.6移動互聯網與傳感器的貢獻
1.5人工智能帶來的巨大衝擊
1.5.1人工智能對經濟的衝擊
1.5.2人工智能對社會的衝擊
1.5.3人工智能對人類思維的衝擊
1.5.4人工智能對教育與就業的影響
1.5.5人工智能對隱私的衝擊
1.6本章小結
參考文獻
第2章世界各國人工智能發展戰略規劃
2.1美國人工智能發展戰略
2.1.1美國人工智能發展職能機構
2.1.2美國人工智能戰略規劃
2.1.3美國人工智能發展計劃
2.1.4美國人工智能監管政策
2.2歐盟及英國人工智能發展戰略
2.2.1歐盟及英國的人工智能戰略
2.2.2歐盟人工智能發展計劃
2.2.3歐盟及英國的人工智能倫理原則
2.2.4歐盟及英國人工智能立法及監管
2.3其他一些國家人工智能發展戰略
2.3.1日本人工智能發展戰略
2.3.2俄羅斯人工智能發展戰略
2.3.3韓國、新加坡、加拿大、印度等國的人工智能戰略
2.4中國人工智能發展戰略
2.4.1中國人工智能發展的總體要求
2.4.2中國人工智能發展的主要任務
2.4.3中國人工智能產業發展的資源配置
2.4.4中國人工智能發展的保障措施
2.4.5中國人工智能發展的組織保障
2.4.6中國人工智能人纔培養政策
2.5國內外人工智能標準研究
2.5.1國際人工智能標準研究
2.5.2中國人工智能標準研究
2.6本章小結
參考文獻
第3章人工智能安全概述
3.1人工智能與安全的辯證關繫
3.2人工智能安全體繫架構與分類
3.2.1人工智能安全體繫架構
3.2.2人工智能助力安全
3.2.3人工智能內生安全
3.2.4人工智能衍生安全
3.3人工智能安全所處位置及外部關聯
3.3.1人工智能安全性、可靠性和可控性的關繫
3.3.2人工智能安全與法律、政策和標準的關繫
3.3.3人工智能安全與倫理之間的關繫
3.3.4人工智能安全評測與防控
3.4本章小結
參考文獻
第4章人工智能助力安全
4.1人工智能助力安全概述
4.2人工智能助力防御
4.2.1物理智能安防監控
4.2.2軍用機器人
4.2.3智能入侵檢測
4.2.4惡意代碼檢測與分類
4.2.5基於知識圖譜的威脅獵殺
4.2.6用戶實體行為分析
4.2.7垃圾郵件檢測
4.3人工智能助力攻擊
4.3.1自動化網絡攻擊
4.3.2助力網絡攻擊，提升網絡攻擊效率
4.3.3助力有害信息的傳播
4.3.4助力虛假信息內容的制作
4.3.5智能惡意代碼
4.3.6神經網絡後門
4.3.7對抗機器學習
4.3.8智能工具被用於惡意攻擊
4.3.9助力自主武器研發
4.4本章小結
參考文獻
第5章人工智能的內生安全
5.1數據安全
5.1.1數據集質量影響人工智能內生安全
5.1.2數據投毒可人為導致人工智能算法出錯
5.1.3對抗樣本成為人工智能內生安全的新關注點
5.2框架安全
5.3算法安全
5.3.1算法的可解釋性
5.3.2對抗樣本體現出人工智能算法缺乏可解釋性
5.4模型安全
5.4.1模型存儲和管理的安全
5.4.2開源模型被攻擊
5.5運行安全
5.5.1客觀原因導致的運行安全問題
5.5.2主觀原因導致的運行安全問題
5.6本章小結
參考文獻
第6章人工智能衍生安全問題
6.1人工智能繫統失誤而引發的安全事故
6.1.1自動駕駛汽車失效
6.1.2智能機器人失效
6.1.3智能音箱失效
6.1.4人工智能繫統“失控”
6.1.5會話人工智能的偏激言論
6.1.6醫療人工智能的危險治療意見
6.2人工智能武器研發可能引發國際軍備競賽
6.2.1各國人工智能武器化發展情況
6.2.2人工智能武器軍備競賽帶來的風險
6.3人們對人工智能技術失控的擔憂
6.4人工智能行為體失控三要素
6.4.1人工智能行為體具有行為能力以及破壞力
6.4.2人工智能行為體具有不可解釋的決策能力
6.4.3人工智能行為體具有進化能力，可進化成自主繫統
6.5預防人工智能技術失控的舉措
6.5.1人機協作國際規範
6.5.2阿西洛馬人工智能原則
6.5.3自我終結機制防範繫統性失控風險
6.6本章小結
參考文獻
第7章人工智能行為體
7.1人工智能行為體的定義
7.2人工智能行為體類型1——傳統型
7.2.1工業機器人
7.2.2專用服務機器人
7.2.3家用型機器人
7.3人工智能行為體類型2——自動駕駛的交通工具
7.3.1自動駕駛簡介
7.3.2自動駕駛汽車
7.3.3人工智能無人機
7.3.4無人駕駛船舶
7.4人工智能行為體類型3——人工智能武器
7.4.1人工智能武器簡介
7.4.2“殺人蜂” 武器
7.4.3炮塔型AI戰鬥機器人
7.4.4人形戰鬥機器人
7.5人工智能行為體類型4——類人機器人
7.5.1Jules機器人
7.5.2Bina48機器人
7.5.3Sophia機器人
7.6人工智能行為體的特性
7.6.1人工智能行為體的移動特性
7.6.2人工智能行為體的決策特性
7.6.3人工智能行為體的自主特性
7.7本章小結
參考文獻
第8章人工智能行為體保險箍
8.1體繫架構
8.2基本功能
8.2.1遠程控制組件
8.2.2能源控制組件
8.2.3宿主交互組件
8.2.4數據記錄組件
8.3安全機制
8.3.1設備安全
8.3.2數據安全
8.3.3運行安全
8.4安全圍欄
8.4.1工作過程
8.4.2移動範圍限制
8.4.3速度與距離監控
8.4.4輸出功率與力約束
8.4.5安全策略
8.5增強功能
8.5.1內置傳感器
8.5.2人的識別
8.5.3“黑AIA”識別
8.6防控中心
8.6.1態勢感知
8.6.2指揮控制
8.6.3應急處置
8.6.4專家研判
8.7生態環境
8.7.1準入制度
8.7.2標準規範
8.7.3生態基礎
8.8本章小結
參考文獻
第9章人工智能行為體的安全評估與檢測
9.1人工智能行為體的安全管理概述
9.1.1從術語的角度感受個人助理機器人的安全要素
9.1.2個人助理機器人的風險評估要求
9.1.3個人助理機器人的安全要求
9.1.4個人助理機器人的功能安全
9.2人工智能行為體安全評估和檢測的目標
9.2.1動能安全：對AIA動能的評估
9.2.2決策安全：對決策繫統安全的評估
9.2.3自主安全：對AIA自主能力失控風險的評估
9.3人工智能行為體安全評估的方法與指標
9.3.1動能安全評估
9.3.2決策安全評估
9.3.3自主安全評估
9.3.4安全評估過程
9.4人工智能行為體檢測能力與檢測方法
9.4.1針對AIA動能的檢測方法
9.4.2針對AIA決策機制的檢測方法
9.4.3針對AIA自主能力的檢測方法
9.5人工智能行為體的檢測流程
9.5.1針對AIA動能的檢測流程
9.5.2針對AIA決策機制的檢測流程
9.5.3針對AIA自主能力的檢測流程
9.6本章小結
參考文獻
第10章人工智能安全倫理準則
10.1人工智能技術引發的倫理問題
10.1.1人權問題
10.1.2倫理地位問題
10.1.3責任倫理問題
10.1.4風險問題
10.2人工智能技術發展的倫理準則
10.2.1各國政府及社團組織關於人工智能技術發展的倫理準則
10.2.2國際組織關於人工智能技術發展的倫理準則
10.2.3企業和高等院校關於人工智能技術發展的倫理準則
10.3人工智能行為體的倫理決策
10.3.1人工智能行為體的倫理決策能力
10.3.2人工智能行為體的倫理決策設計
10.3.3人工智能行為體的倫理決策考量
10.4人工智能行為體的責任歸咎
10.4.1責任主體
10.4.2責任分配
10.4.3無人駕駛汽車的責任追究
10.5本章小結
參考文獻
第11章人工智能前沿技術
11.1學術前沿
11.1.1強化學習
11.1.2遷移學習
11.1.3聯邦學習
11.1.4分布式機器學習
11.1.5表示學習
11.學習
11.1.7可解釋的人工智能
11.1.8對抗訓練
11.1.9人工智能芯片
11.1.10技術前沿安全挑戰
11.2應用前沿
11.2.1計算機視覺
11.2.2自然語言處理
11.2.3智能語音
11.2.4智能駕駛
11.2.5擬人和仿生
11.2.6智能攻防
11.2.7應用前沿安全挑戰
11.3交叉領域
11.3.1人工智能與互聯網
11.3.2人工智能與工業互聯網
11.3.3人工智能與醫學生物
11.3.4人工智能與軍事
11.3.5人工智能與商業模式
11.3.6人工智能與人文社會
11.3.7交叉領域安全挑戰
11.4本章小結
參考文獻
第12章人工智能安全的未來展望
12.1人工智能內生安全的未來展望
12.1.1數據是否會制約人工智能內生安全
12.1.2對抗樣本是否會出現在實際應用場景中
12.1.3是否存在安全的智能模型
12.1.4人工智能執行過程是否安全
12.2人工智能衍生安全的未來展望
12.2.1人工智能武器化
12.2.2人工智能濫用導致安全隱患
12.2.3人工智能是否會危害人類
12.3人工智能安全相關的未來焦點
12.3.1人工智能基礎工具應注重自主可控
12.3.2如何看待人工智能自主發明物的專利性問題
12.3.3人工智能對人的影響
12.3.4人工智能挑起的欲望
12.3.5超人工智能是否會危害人類
12.4人工智能的安全可控之路
12.4.1建立保護人類的法律規範和規章制度
12.4.2確立人類優先與安全優先的原則
12.4.3謹慎承認智能機器人的法律主體資格
12.4.4充分尊重社會公眾的知情權
12.4.5人工智能的安全評估與檢測
12.4.6人工智能安全可控需要社會各界共同的努力
12.5本章小結
參考文獻

前 言

無論何時，隻要人們談及網絡空間安全的形勢，一定會有“形勢嚴峻”、“應對能力不足”等悲觀的說法，這往往會讓決策者感到迷惑：網絡空間安全領域為何總是缺少作為呢？到底該如何做纔能讓網絡空間安全問題不再時刻困擾人們呢？其實這一切都是由於網絡空間安全的動態屬性所決定的。習近平總書記在2016年4月19日網絡安全和信息化工作座談會上指出：要樹立正確的網絡安全觀，網絡安全是動態的而不是靜態的。也就是說，網絡空間安全的形態是不斷變化的，一個安全問題解決了，另一個安全問題又會冒出來。而在網絡空間安全的動態屬性中，新技術安全是導致網絡空間安全具有動態特征的主要因素之一，這是因為新技術必然會帶來新的安全問題，而各種新技術、新繫統源源不斷地出現，自然會引發各種新的安全問題與安全事件。如果我們有能力讓各種新技術都停止出現，五年內信息技術不更新，那麼當前所有的信息安全問題可能將被全部解決掉，將會有一個十分安全的網絡空間展現在人們的眼前。然而，社會不可能停滯不前，新技術也不可能從此就銷聲匿跡，網絡空間安全將伴隨著新技術的出現持續動態地變化。

新技術必然會帶來新的安全問題，這是新技術在安全方面的伴生效應。這種伴生效應會產生兩方面的安全問題：一是由於新技術的出現，其自身的脆弱性會導致新技術繫統出現不穩定或者不安全的情況，這方面的問題是新技術的內生安全問題；另一方面是新技術自身缺陷可能並不影響新技術繫統自身的運行，但這種缺陷卻給其他領域帶來了問題，導致其他領域變得不安全，這方面的問題是新技術的衍生安全問題。

除了伴生效應以外，新技術的出現一定會提升相關領域的勢能，當新技術運用於安全領域的時候，自然也會賦能安全領域，這可稱為新技術的賦能效應。當然，新技術在安全領域的賦能，既可以賦能於防御，也可能賦能於攻擊，即新技術被惡意利用而導致其他領域不安全。顯然，新技術賦能攻擊是導致網絡空間安全形勢始終不夠樂觀的推手之一。

人工智能技術盡管產生於20世紀50年代，但其幾起幾落，形成了螺旋式的發展軌跡。人工智能技術在21世紀裡因為其在應用領域中取得了突出的成就，從而被認定是信息領域中的一種推動社會發展的新技術。事實上，推動人工智能快速發展、使之在應用領域中切實發揮作用的那些具體技術也的確是21世紀所出現的新技術，例如深度學習、軟件框架等。因此，將人工智能技術看作是信息領域的新技術並不為過。人工智能技術被認定為新技術的另一原因表現在世界各國政府對人工智能技術的高度重視，以及在人工智能技術領域所給予的巨額投資，展示出國際社會對人工智能技術造福人類所給予的極大期望。

但是，作為新技術，人工智能技術自然也會存在著安全問題的伴生效應與安全領域的賦能效應。從伴生效應的視角來看，人工智能存在著內生安全問題。例如，人工智能算法大量依賴統計結果，尤其是神經網絡等智能學習繫統，這種繫統通過調整隱藏層內部的連接權值來記錄繫統通過統計學習後獲得的特征信息。但這些權值意味著什麼幾乎是無法解釋的，所以人們對之隻能使用，無法預判。在這種情況下，繫統對哪些權值進行了怎樣的修改、修改後會導致繫統的判斷結果會怎樣跳出人們的預期都是不可知的，而且什麼樣的學習過程會導致這種修改也是不可知的，這就為目前普遍流行的被稱為“對抗樣本攻擊”的人工智能攻擊手段敞開了大門。由此，“對抗樣本攻擊”可以被歸為人工智能技術伴生的內生安全問題。同樣的情況，人工智能繫統的不可解釋性也許不會影響人工智能繫統在一般情況下的運行狀態，但是否會導致人工智能繫統可能出現失控的情況，造成繫統可能會不按照人類所預計的或所期望的方式運行？而這種不可預計的情況是否會給人類帶來威脅？這些問題都令人細思極恐。如果一個助殘機器人不按照人類期望的方式運動，其結果反倒會傷害人類，這時人們反而會發現助殘機器人的智能越低其失控的概率也許越小。所以這類可能出現的“失控”問題是人工智能技術伴生的衍生安全問題。

就人工智能技術在安全領域中的賦能效應而言，我們可以舉出許多利用人工智能技術進行安全防御或者進行安全攻擊的例子。將人工智能技術運用到網絡安全態勢感知是典型的賦能防御的案例；而利用人工智能技術來攻擊人臉識別繫統——用Deepfake技術來進行實時換臉以繞過人臉識別過程中的新鮮度檢測——的手法則是典型的賦能攻擊的案例。

正是因為人工智能技術受到了各國政府的重視，國際社會也期望通過人工智能技術來顯著地改善人們的生產與生活方式，甚至包括國家的治理模式，這使得人工智能技術領域的研究視角大都集中在如何發展人工智能技術、如何推進人工智能技術的市場化應用上來，而這種高速推動人工智能技術發展的力量會進一步強化人工智能技術的發展與人工智能安全被忽視之間的不均衡態勢。人們沉浸在人工智能技術所帶來的社會變化的喜悅中，很容易忽視人工智能技術安全問題的伴生效應，以及人工智能技術在安全領域中的賦能攻擊效應。作為專業從事網絡空間安全技術研究的團隊，我們認為是時候要讓人們對人工智能安全問題警醒了。事實上，人工智能技術所伴生的已經不僅僅是內生安全問題和衍生安全問題，還涉及到倫理、法律等一繫列與社會治理有關的挑戰性問題。為此，以廣州大學網絡空間先進技術研究院的團隊為主，本人組織了一批學者編撰了本書，旨在讓人們在高度關注人工智能技術發展的同時，也注意到人工智能安全問題及相應技術的演進。

本書共12章。其中，第1章人工智能技術發展概述由方濱興、韓偉紅主筆，第2章各國人工智能發展戰略規劃由李樹棟、方濱興主筆，第3章人工智能安全概述由崔翔主筆，第4章人工智能助力安全由廖鵬主筆，第5章人工智能的內生安全由顧釗銓主筆，第6章人工智能衍生安全問題由蘇申、田志宏主筆，第7章人工智能行為體由魯輝主筆，第8章人工智能行為體保險箍由田志宏、崔翔主筆，第9章人工智能行為體的安全評估與檢測由方濱興、蔣琳主筆，第10章人工智能安全倫理準則由方濱興、尹捷主筆，第11章人工智能前沿技術由李默涵主筆，第12章人工智能安全的未來展望由方濱興、顧釗銓主筆。全書由方濱興、顧釗銓、崔翔通稿。本書在撰寫過程中得到了高文院士的指導，在此表示誠摯的謝意。此外，還要感謝電子工業出版社的趙麗松和瀋艷波兩位副總編，她們為本書的出版做了大量辛勤工作。

人工智能技術的發展歷史很長，先後出現了不同的研究方法與技術路線，盡管大部分的研究結果可以說是殊途同歸，但學者們仍然存在著各執己見、自成體繫的情況。在這種情況下，本書難以涵蓋所有學術流派的研究路線，也就無法針對各種情況來論述相應的安全問題。本書隻求拋磚引玉，僅就所關注到的人工智能技術論述其所關聯到的安全問題及相關技術，疏漏之處，還望讀者理解。