8月26日，360 AI安全研究院公布了关于人脸识别技术的研究成果和风险提示。据了解，360 AI安全研究院曾联合清华、西安交大的研究人员发现AI应用中图像缩放模块存在的漏洞，提出了一种新型的数据流降维攻击方法，影响了国内外主流的AI云服务。

　　在此次ISC 2020 大会的人工智能与安全论坛上，360 AI安全研究院研究员刘昭以某款人脸识别设备能让任意人通过为例，说明不仅AI算法存在漏洞，其所依赖的关键基础设施也同样会被攻击，并进一步揭露了AI关键基础设施存在的安全风险。通过攻击漏洞，最终可以在某人脸识别设备中实现任意人员都能通过验证的效果。

　　值得关注的是，这种攻击不是针对AI算法的攻击，而是对AI算法所依赖的基础设施进行的攻击。“针对基础设施攻击，最终可能会更快达到攻击效果。”刘昭在演讲中表示，大多数研究人员偏向于对算法安全的研究，比如对抗样本攻击、后门攻击等。虽然AI基础设施安全风险巨大，其严重性却容易被忽视。这意味着，AI关键基础设施的三个层面都面临一定安全风险。

　　针对深度学习框架安全风险。云端框架安全风险主要来自于自身代码的实现以及第三方的依赖库问题；终端框架安全风险主要存在于模型网络参数、模型网络结构，以及模型转换过程。据了解，360 AI安全研究院已经在多个深度学习框架及其依赖组件中发现了100多个漏洞，如OpenCV，hdf5，numpy等。

　　针对硬件相关的安全风险。据英伟达官网统计，截至今年7月，关于GPU驱动漏洞的数目达到数百个；芯片漏洞以幽灵、熔断为例，幽灵漏洞可以造成泄露敏感数据、执行特定代码，熔断漏洞导致用户态获取特权内存的数据，这些漏洞影响了Intel、部分ARM的处理器。

　　针对云平台的安全风险。360 AI安全研究院表示，用于深度学习任务的节点性能强大，因此总会有一些攻击者想要非法使用这些资源进行挖矿。

　　“只有在确保AI系统的安全，才有可能放心享受AI的便利，那么保证系统中AI关键基础设施的安全至关重要。”360 AI安全研究院表示，AI关键基础设施的安全问题可以通过权限控制、访问隔离、参数过滤等措施进行缓解，针对AI关键基础设施的安全问题，需要建立多维度、一体化风险评估方法以及对应防御措施。

　　下一步，360 AI安全研究院将聚集国内外顶尖人工智能安全创新要素，研究人工智能系统各个环节安全问题，突破人工智能安全攻防重大关键共性技术，构建自动化安全风险评测平台。