360安全团队再登USENIX Security 展示研究成果

近日，360 智能安全团队受邀参加信息安全领域顶级国际会议 USENIX Security 2019，将在 8 月 15 日-17 日举办的大会上进行《Seeing is Not Believing: Camouflage Attacks on Image Scaling Algorithms》的议题分享，介绍人工智能视觉系统的一个潜在安全风险和防御方法。

USENIX Security 是信息安全领域「四大」顶级学术会议（此外还包括 S&P，CCS，NDSS）之一，始于上世纪 90 年代初。同时，USENIX Security 被中国计算机学会 (CCF) 归为「网络与信息安全」A 类会议（共分为 ABC 三类，A 类最佳）；被清华大学列为计算机科学与技术系的重要国际学术会议 A 类会议。只有最具有创新性和显著价值的安全研究，才能通过全球顶级学者组成的技术委员会苛刻评审入选会议。

继 2017年 360冰刃实验室首次将中国公司独立研究成果发表在 USENIX Security之后，这个拥有 20多年历史的顶级安全会议再次迎来 360的研究成果展示，标志着在学术安全研究领域，360继续保持国际一流水平。

此次，360 智能安全团队发现了一种在图像处理过程中潜藏的安全风险——图像维度变换攻击。攻击者可以通过构造攻击图片，致使输入图像在经过尺寸维度变化后发生明显的内容语义改变，造成人与机器的认知差异，从而达到欺骗、逃逸检测的攻击效果。与 针对深度学习模型的对抗样本不同，该攻击方法不局限于特定模型，影响范围更大。

为验证攻击方法的有效性，360 智能安全团队对基于 Caffe、Tensorflow、Torch 等流行深度框架搭建的多个 AI 视觉应用成功实施了欺骗攻击。此外，360智能安全团队还考察了该风险对商业视觉服务的影响。实验结果证明，即使是黑盒系统，仍然能够通过测试策略获取被攻击对象的算法和相关参数，并发动图像维度变换攻击。经测试，在国内主流云 AI服务和微软 Azure等国际厂商提供的机器视觉服务中，均发现了类似风险。目前，360智能安全团队已将评估结果和修复方案与相关厂商进行了沟通和修复协助。

360 智能安全团队是 360 专注研究人工智能安全风险的顶级团队，其在全球范围内率先发现众多安全问题，涉及 AI 系统实现安全、应用安全、模型安全、数据安全等各个环节。

目前其已在多个深度学习框架及其依赖组件中发现 60 多个漏洞，并可能导致任意代码执行、拒绝服务攻击、控制流劫持、信息泄露等危害。黑客可以通过这些漏洞攻击 AI 系统或应用，窃取用户隐私或 AI 厂商的知识产权（如用户数据、超参数、模型参数等）。目前，360 正与寒武纪、华为等厂商合作，在 AI 系统中部署相应的安全解决方案。

另外，360 智能安全团队也参与多项人工智能安全标准的制定工作，以开放协作的态度促进人工智能安全发展。