之前雷锋网写过,百度 All in AI 后,百度安全搞出了一个 OASES 智能终端安全生态联盟。
现在,不只是这个联盟,从这几个月百度安全的动向以及雷锋网与百度安全的人士聊的情况看,百度安全要聚焦整个大百度“AI”的战略方向已经不算“趋势”了,他们就是要搞“AI 安全”。
这次,雷锋网宅客频道与百度安全事业部总经理马杰对谈,以期梳理百度安全打算如何推进“AI 安全”,以及他们现在到底做到了什么程度。
1.雷锋网:过去几个月,你在多少重大场合把 IoT 和AI 安全挂在嘴边?你们之前说的是智能终端安全,什么时候开始统一 AI 安全的说法的?
马杰:我觉得在大场合都不下10次,就是这种大会上,小的肯定就更多了。未来 AI 安全的落地应该是在智能终端上, 所以,我们整体系统化来说“AI 安全”是从 OASES 联盟发布开始。
2.雷锋网:为什么有这种转变?
马杰:“AI” 是一个现在被炒热的名词,你回过头看智能,实际上智能又是一个之前被过度消费的名词,所以本来我觉得 “AI” 不就是一个对应的词嘛,但因为“智能”被过度消费后,“智能”反而变成了一个很狭窄的词,就是所有带一点计算能力的、能根据具体环境做决策的都叫智能。恨不得里面有一个简单的 PLA 逻辑过程什么的,都可以叫智能,过程稍微复杂一点,带一个Arm,有一点程序,就叫智能了。
我们后来提这个东西的时候,其实在我们心中应该是等价的东西,但是可能看在什么场景下用这个词更合适。
在 OASES 联盟时,我们说的是智能终端,因为现在这个阶段大部分所谓的 AI 设备其实还只在智能这个阶段,并没有真正把深度学习技术应用到其中。我觉得可以这么划分一下,以前是带计算能力的,可以狭义地称之为智能,带深度学习的,可能才能被叫做“AI”。如果这样划分,目前绝大部分设备还停留在智能阶段,但是正在从智能走向未来。
我们当时做联盟时,是说先解决行业的现实问题,先解决智能终端问题,肯定是放眼 AI,而且我们相信这些设备也会 AI 化,虽然它的本地计算能力有限,但是通过联网后,很多深度学习的东西就可以引入了。
3.雷锋网:百度安全所说的AI 安全,到底囊括了哪些范围,怎么规划的?
马杰:百度的战略是成为一家 AI 公司,既然百度要做 AI,大家就是一个生态系统的。
如果这里的安全问题不解决,百度在上面再做什么东西,根基就是不安全的,我们希望跟这些伙伴一起,从基础开始解决安全问题。
这样就可以看出来里面要解决哪些具体问题,不管是所谓小的 IoT 设备,还是大一点的智能、AI设备,它有稍微强一点的计算能力,可联网,从底层操作系统开始,就会有问题,只不过小设备可能是一些RTOS的东西,大一点的可能是安卓系统。
但是,所有平台都有平台这一层的安全问题,平台本身在内核这一级,可能就有很多历史上的安全问题没有解决。我们看到大量的智能设备用的可能是低版本的安卓、Linux,都不需要高手破解,照着漏洞列表去看一看,直接就可以黑进去了。这是底层的问题,而且因为这个底层还包括了芯片厂商、方案商、生产厂商,整个产业链条很长,本来这些东西也不太好解决。
我们在推一些方案去做这件事,就像 OASES 里非常重要的一块是解决漏洞的热修复问题。
不说上面有没有跑百度智能的东西,先把底层一起弄安全了再说。我们得先造一个基石,而且为了让大家信任——我们做这件事是真正开放的心态,我们把我们的代码向这些伙伴直接开放。
这是操作系统的一层,可能再往上,到了操作系统上层的应用层,还会出现越来越多的问题,因为操作系统是几个厂商生产的,还可以去枚举它有多少问题,但是一旦到应用层,就是一个没有边界的东西了,它可能有无穷多的可能性的问题,而且应用层迭代更快,更容易出问题。
一方面,因为厂商应用更多,迭代更频繁,它会变得更复杂,但是另一方面,如果你底下基石是稳的,你可能就可以有一些方案限制上层的漏洞影响范围,我们后面会出一些解决方案。
前段时间,我们也发了一个原型的版本,做了一个安全的 Linux 发行版,开源给整个社区。当底层稳固后,如何用一些方案让上层不容易产生内存泄漏、溢出,看看能不能解决,或者至少不会让安全问题出现时,给整个系统带来安全冲击。
这是上层系统层面,然后这个设备开始联网,联网时就有安全传输问题、证书认证问题,其实像去年我们有安全研究员去过不同的比赛,会上发过我们对一些锁的破解,但破解的目的不是为了“破解”,是为了研究有什么样的安全问题。
实际上,很多次破解背后,本质是安全传输没有做好,很多厂商已经意识到他们需要做安全传输,但是因为不是专业做安全的人,所以他们对安全传输的某一些细节没控制好,就留下了这个漏洞。其实他们明明已经想到这件事情,但没有做到严丝合缝,只要有一个缝,就会被别人钻了空子。
我们也在看,是不是可以把这个门槛降得更低,让大家不需要那么多的专业知识,就能把这个东西做得严丝合缝。
证书认证、加密传输是管道上的问题,再往前到了云端,又是一大块问题。大家常见的问题,如云端服务器被 DDoS ,这是一个我们又要留心的问题。
从操作系统到应用,再到管道、云,这是一个漫长的战线,传统安全的人对每个环节都很熟悉,但是要把它拼在一起,才能形成一个完整的东西,而且得把它组装得严丝合缝,不然整个体系白做了。
4.雷锋网:要做 AI 安全的话,你们怎么把以前做的事情利用起来?
马杰:AI 安全是一个很复杂的体系,在历史上,我们为了保护端、管道、云,已经逐渐积累了非常多的单点安全能力,到了这个时代,忽然发现这些曾经做过的事情没白做。当年做这个东西,端上很多是为了移动、云做的事,现在到了 AI ,因为整个生态链太长了,所以居然全都串上了,而且几乎历史上的东西没有太多浪费的,都串到了整个体系里去。
但是,我发现还有很多不足,刚才我说的模型问题,这些是全新的挑战,当然我们曾经有很多成熟东西里的人力,肯定可以撤出一部分来,去做新研究,解决一些 AI 上的特定问题,然后再把我们曾经做好的东西串一串,打一个包,形成适用的解决方案,这些能力就都存在了。
我们现在内部有很多个team在做单点能力,分散在各个不同的团队里,然后我们有针对度秘、车的团队,他们把我们内部各种能力重新打包、改造,形成解决方案,跟他们做适配,最后让我们的各种单点能力能聚合成一个可以替他解决问题的方案。
5.雷锋网:百度的 AI 安全能力现在只对内输出吗?
马杰:对百度来说,安全不是它的核心商业模式, AI 是未来的商业研究。
其实我们不太区分内外,而是希望能让整个社区,或者生态系统能更安全,让大家在一个共同的基石上做上面的事情,这才是现实的,你至少要让用户有信心用这样的东西,让他不觉得在家里放一堆智能设备是有被窃取隐私、被人入侵的风险,我觉得这是大家共同的利益。
在这个上面,首先从大思路来讲,不太会去分内外,而是更愿意共同把这个环境先做好。
当然,有一些新的东西在不成熟时,我们也不好意思拿到社区分享,所以我们会稍微做到像一个beta版才拿出来,我们可能希望做得更成熟一点,再拿出来给大家。包括我刚才说的 OASES 联盟提供的系统热修复技术,我们也是做了比较长的一段时间后,才拿出来给大家的,感觉它比较稳定,可以商业化使用时拿出来,拿一个水平太低的东西出来也不符合我们的定位。
但是,有一些东西我们会用开源的形式开放得稍微早一点,让大家共同建设,比如,针对内存安全的Linux 发行版,这个东西还是一个比较初级的想法,我们做了一些基础工作。如果真正做一个好的版本,可能需要大量的工作。我们拿到社区里,大家看看能不能一起做。
6.雷锋网:你刚才说的这种不分内外的生态性合作,包括之前百度和小米要在IoT平台进行的合作吗?百度安全有给他们做一些这样的东西吗?
马杰:最近百度有两个大的合作宣布,一个是小米,一个是华为。
其实百度安全这边一直都是蛮开放的心态,远在这次合作之前我们就给小米输出了很多能力,小米路由器里就有我们集成的安全能力,合作宣布之后,肯定会推动更多的东西。
华为也是,OASES联盟宣布成立时,我们跟华为的合作已经做了一年多,我觉得只要是正确的生态应该做的事情,自然就可以共同推这些事情。
7.雷锋网:还和哪些厂商有合作?
马杰:我觉得这些都不需要说名字,因为基本上各种手机端的厂商,我们肯定也有合作,本身度秘在提供非常多的能力,它的能力到哪儿,我们的安全技术就得跟到哪儿。
8.雷锋网:AI 安全还有哪些新挑战?
马杰:除此之外,还有很多新的挑战,在一些安全会上我也提到了,这是在 AI 领域里新出现的挑战,像模型安全,这是传统安全里大家曾经不太关注的领域,我在每个会上都跟大家介绍这个问题,大家慢慢会比以前重视,因为不管是自动驾驶、人脸识别,这些东西都可以针对其深度学习算法,做定向攻击,让它明明把一个人理解成另外一个人,明明是这样一个路标,理解成另外一个路标,这些都是传统安全领域所不涉及的安全性。
像这样新的在 AI 领域出现的挑战,不止一个。刚才我说的都是针对机器视觉的,有可能还有针对语音、各种学习算法的,挑战也非常多。
为什么专门提这个事情?它既有传统领域类似于一个集大成体系的工作,又有全新的挑战,所以它有整个 AI 领域的特点,不管是所谓的IoT设备、智能设备,还是 AI 设备,不管它叫做什么,都有这些层面的问题。
9.雷锋网:你之前做的一些研究工作,有没有还没想好怎么放进来的技术,有这样的例子吗?
马杰:有,比如我们原来有一个特别有趣的能力,就是云加速,云加速其实是一个在边缘网络上做计算和加速的能力。这些能力以往服务于中国几十万个网站,包括百度有很多重要的业务也都 base 在这上面,这个东西我们现在还没有让它进入所谓 AI 的生态,不管是自己的产品,还是伙伴的产品用上,但是这个东西肯定是有用的。
我们还在探索怎么用,因为 AI 设备分布如此之广泛,我觉得在边缘网络上提供一些能力,可能比放在自己设备上更省电。这是比较容易直接想到的,随着做得更深度,可能还有很多没有想到的用处。
10.雷锋网:你有这么多team,哪些是你最重要的team?
马杰:大家特别容易去想这样的问题。
可能在移动时代,我们说 PC重要,还是移动、云重要?到了AI,突然发现所有的东西全串在一起,战线史无前例地长,以至于哪个环节都不能断掉。这些东西我们曾经做过,所以可能已经不需要花那么重的兵力布局,我们只需要做一些适应性改造,重要的兵力会放到以前没有做过的研究里,但是你说它重不重要?它绝对是同样重要的,安全跟别的产品最大的区别是,安全是筑长城,做产品是单点突破,做安全的同学都有这个困扰。
所以,做一个安全解决方案时,你必须构建长城,而且还得做得严丝合缝,所以真的没办法说哪个地方更重要,因为这个环节断了,整个就失效了,但是在人力的投入上会有倾向性。
11.雷锋网:2018 年你希望能做到哪个程度?
马杰:我希望的目标在 2018 年可能还达不到,因为我希望的是——整个生态能重视,至少在基本的层面上,安全能达到一个可接受的水平,但是这个事情实际上现在远远不是这样的。即便我们做了这些努力,我们开源,跟大家分享技术,百度的 AI 构建在这个生态之上,所以我们怎么把底下先弄得安全、扎实一点,就是这个目标,但是这个目标中间的链条挺长的,先要引起大家的重视。
回过头去看历史,很早很早以前,大家天天在喊杀毒什么的,但每个人电脑上装上杀毒软件是什么时候?大家非得经历几次惨痛教训后,才真正把杀毒软件都装上,装了后还得不断跟用户教育升级的重要性。
就是有这么一个过程,从说到做,实际中间的周期蛮长的,希望大家某一天都不说 AI 安全了,懒得提它了,但是每一台电脑上都装上了,像杀毒软件一样,每一个 AI 产品里都有这个能力在了,我觉得我们上层所做的任何努力才有一个基础。
我想“八卦”一下马杰和与其相关的人和事。
马杰在安全领域从业的时间很长。2000~2010年期间,马杰在瑞星主持开发了从个人杀毒软件到企业级安全硬件在内的大量产品,2011年起,马杰创立了基于SaaS的云安全服务品牌“安全宝”,2015年4月,百度收购安全宝,马杰出任百度云安全总经理,全面负责百度云安全部的研发和管理工作。2016年3月,马杰出任百度安全事业部总经理,全面负责百度安全事业部的研发和管理工作。
业内周知的是,安全宝当时的一条产品线与“道哥”吴翰清团队归了阿里云,现在道哥已经是阿里云的首席安全专家。不久前,马杰的老同事、安全宝曾经的COO 沈鹏飞出任百度安全事业部副总经理,马和沈再聚首。而当年安全宝的 CTO Tony Lee 现在也是京东的首席信息安全专家。
为什么要八卦这一点?
你会发现,身居圈内“高位”的这帮“老朋友”的关注点很集中。
道哥在 2017 年提出了一项重要的“弹性安全网络”的概念,这是一种能把 DDoS 防御前置到网络边缘处的技术,他也因此入选了麻省理工TR35。而过去的一年中,由 IoT 设备引发的大规模 DDoS 攻击已不是新鲜事。
1月13日,Tony Lee 在 i 春秋主办的 2018 互联网安全责任峰会上说,“另一件事是京东未来的重要业务,其一是智能家居的协议,其二是 AI 。”“未来的 IoT 与 AI 无处不在,特别是 IoT 设备很难管理,这种情况下该如何做安全?对于京东来说,我们的责任就不仅仅是找漏洞或者是代码安全,而是从整个安全机制,安全协议出发……”
当然,“IoT安全”也好,“AI 安全”也罢,本来就是现在的热点,不足为奇。但知道了百度安全的相关背景,也许你更能理解两点:第一,这是大势;第二,对于百度安全为什么重点关注移动安全、IoT安全,现在又将这些重点“打包”进“AI 安全”,对他们所阐释的 AI 安全,你将有更深的感触。