互联网给人们带来了无尽的便捷,但这种便捷的同时也给安全守护带来了难题。
就像霍格沃茨里边的魔法师们在守护平凡人的安全一样,在阿里安全部,也有一群“老法师”的,他们在用先进的技术施展“数字魔法”,保护阿里巴巴的海量数据免受邪恶力量的侵害。
01
阿里巴巴控股集团下面有很多子集团,淘宝、天猫、闲鱼、飞猪、盒马等等共同组成了“阿里动物园”,每个动物都无差别地面临一波又一波像“吸血虫”一样黑产的威胁。
这些黑灰产业为了利润无孔不入,比如“卖假货”、“刷单”、“恶意引流”等。
在过去十几年的持续对抗下,这些“正常的作案方法”已经能被安全系统有效拦截。然而,正常的方法不行,黑产者们往往另辟蹊径,不断试图绕过安全系统继续作恶。
以“内容安全”为例,“擦边老司机”是出现得比较多的情况。
这群人会把要表达的违规信息用奇葩的方式暗藏在文字或图片里,比如这样的:
这种“艺术字”,人能明白,安全系统识别起来就很费劲。
这样的:把电话号码写在一个复杂图案的纸上
比如这样的:用纸把货品的商标挡住一半,但是你我都能认出这是啥牌子
要说背后的原理,其实并不复杂:
语言的意义有很多层次,从浅层的意义到深层的意义,如果坏人表达的内容在浅层意义上就违规了,那很简单,可以直接用规则封禁。但是!“人”和“机器”理解世界有一个深度差——某个深层意义空间,人的思维够得到,机器的思维够不到。
坏人就会钻进这个深层空间,达到“懂的人都懂,但安全系统不懂”的目的。
面对这种情况,安全工程师可以针对这个区域训练一个专门的“AI 小模型”作为补丁。然而问题在于:这个补丁照亮的区域太小,而且不够灵活。“擦边老司机”能把同一个意思变化出成千上万种姿势表达,一种姿势被察觉,他马上又推陈出新。
如此,安全系统一直得追着坏人屁股后面跑,为了持续压制坏蛋,法师们必须想办法把灯笼换成探照灯,彻底照亮深层意义空间里的一切。
终于到了2023年初,“关键先生”终于出场了,它就是人工智能大模型!
02
2023年春天,阿里巴巴内部完成了神秘的自研大模型项目——“通义千问”。而几乎同时,阿里安全团队也基于“通义千问”这个大脑制造了一个能横扫牛鬼蛇神的“变形金刚”!
通义千问这样的大模型,就像一个高中生,它虽然具有“通识”,但它的通识主要是“打雷要下雨,下雨要打伞”这种层面的,不会在某个领域有“特长”;
要解决这个问题,就需要让通义千问去大学里继续深造,而深造的“教材”就是各种违规内容的”毒数据“集——这种数据越多,大模型就学得越透彻!
更重要的是,阿里这些年来攒下来的违规内容都被存了下来成为“教材”,这是阿里比其他公司具备的最有优势的“养料”。
早在2017年,刚刚负责大安全团队时,钱磊就有两个判断:
1)安全一定是个“大数据”的活儿。
2)开采大数据的最好手段一定是 AI。
正是在钱磊的不断要求下,最有价值的数据都被攒了下来。
除了“毒养料”以外,阿里的所有代码都在系统里储存形成了一套恢弘的“代码生命周期数据体系”,而且这套质量极高的“代码安全开发教材”独此一家,全世界都别无分号。
大模型炼成之后,它能同时理解成千上万行代码的前后逻辑,于是很多以前人工检查漏过的“逻辑漏洞”和“越权漏洞”,直接就浮现出来了,代码质量跃升!
同时,工程师越用大模型做日常“体检”,这个变形金刚就越聪明。这个过程,其实对模型的工作给出了非常好的反馈数据,反馈也会沉淀在数据系统里,成为“教材”的一部分。
就这样,铸成了“御风安全大模型”。
03
“御风安全大模型”主要有三个特点:
第一个特点,这个变形金刚能“以一敌百”。
深层意义空间被照得雪亮,原本需要将近100个小机器人才能勉强照顾的局面,现在一个变形金刚都能搞定,算下来,处置单位风险消耗的算力成本反而更低。
第二个特点是,这个变形金刚居然还能“融会贯通”。
把“暴力”和“色情”的数据混在一起给御风大模型学,比单独学习“暴力、学习“色情”之后对两者的识别能力都要强。这种多任务学习的能力,说明人类思维的不同侧面存在一些深刻的联系,也意味着他们这些年攒下的丰富维度的数据比想象中更有价值!
第三个特点:变形金刚还会“七十二变”。
举个例子,现在的御风大模型可以识别各种黄图、各种毒品、各种违法辱骂暴恐言论,但这还不够,因为文化总是在流变中!
假如有一天星际迷航里的“V字手势”突然被大家认为是不雅的,那么只要给御风大模型描述一下这个手势,或者看一张“V字手势”的图,它马上就能明白你的意思,帮你在亿万图片里把这样的内容都挑出来。
整个策略升级的过程不过几分钟。
这是因为,大模型在训练时就已经掌握了各种“背景知识”,比如什么是手、什么是手指、什么是手势、以及手指和手掌的生物学关系等等。。。
对他来说,只要把这些背景知识组合起来,就能幻化出千万种新意义。
04
大模型的变形金刚确实厉害,但身上的责任可就太重了,思维必须清晰,不能出现丝毫差池。
那么,谁来保证大模型的思路清晰?那就是在大模型毕业之前对它进行一场“加训”。他们的方法就是用一个大模型来做另一个大模型的智能护栏。
那么,阿里的老法师能召唤变形金刚,坏人也可以啊!而且现在很多大模型都开源了,难道坏人就不用吗?
当然可以,在目前视野内,坏人使用大模型造成的最大威胁就是“P图”。
比如这两张图:
虽然乍一看上去是两张图,但如果你仔细分辨人物动作和神态,不难发现他们的的相似性。
这种操作对内容原创是个巨大的威胁。
为了解决这种问题主要的是两种方法:“被动篡改检测”和“主动篡改检测”
“被动篡改检测”:光线照在一个物体的表面,明暗和色彩的过渡都应该是平滑渐变的,就像一个镜子,整个平面过渡都是光滑的。
正常拍摄的照片,其中的光影就像镜子一样平滑。
但是,如果用PS做图,也许会骗过人眼,但一定会破坏这种“光照和色彩的平滑性”。设计出一种算法,能够检测出一张图片里的“平滑性破缺”,不就能证明它被P过吗?而且平滑性破缺的位置,不就是被P的位置吗?这就是“被动篡改检测”的基本思想。
而“主动篡改检测”就是在图片上加水印!不过这个水印不仅包括“明水印”,还包括不影响图片观感的“暗水印”。
暗水印的原理有点像“纸币防伪”:在图片中找到一些像素点,把它们的参数做一些微调,人眼看上去没有变化,但用特殊的算法“照射”,水印就能显现出来。
如果一张图是加过水印的,那么只要有人P过,改动位置的水印肯定就被覆盖了!
由于不影响人的实际观感,所以图片上的暗水印可以打得很密集。
05
其实,用军事来理解安全也是一种比较好的方法:
一个完整的作战体系,是多层次的,最下面是基础科技,中间是工业制造体系,上面是武器平台和技战法。
一个安全体系,也是多层次的:下面是各项技术,中间是工程基建,上面是安全产品和运营策略。
带着这个观点,我们再来远望“阿里动物园”,一切都变得清晰可辨。
1、前方的“变形金刚”虽然酷炫,但它并非万能,是众多安全产品全家桶中的一员;
2、而在中间,阿里集团安全部这么多年默默建立起来的各大数据平台和数据运营体系,才是诞生和供养变形金刚和诸多机器人的营养;
3、在最后方,这群老法师十几年如一日对新技术的执念和探索,春种和秋收,才是一切得以诞生的土壤。
全世界大多数中小国家只能采购军火,而真正能理解并且玩转一整套“军事体系”的国家屈指可数,可能只有美、欧、俄、中。
因为只有大国才面临足够复杂和长期的威胁,能够进化出这套体系。
同样道理,全世界能运营顶尖“安全体系”的公司也是屈指可数。
阿里巴巴之所以能够成为全世界能够玩转“安全体系”的寡头之一,正是有着厚积薄发的积累以及不断的升级打怪,阿里集团安全部的老法师每天做的都是如履薄冰,因为:只有技术才是正义永远可以仰仗的后盾。
本文参考和引用浅黑科技《我在阿里造“军火”》一文