产品人气榜

百度安全包沉浮:直面AIoT新挑战 BASS让智能生活更安全

2018-11-29 13:04:57171人阅读

如今,智能家居产品已经深入到你我工作生活的方方面面,但其在带给我们便利的同时,舆论对于其安全性的关注也始终保持着高热度。

日前,百度安全部门OASES负责人包沉浮在中国(合肥)国际家用电器暨消费电子博览会中国智能家居国际高峰论坛发表了名为“BASS让智能生活更安全”的主题演讲,全面阐述了AIoT时代智能家居产业所面临的严峻网络安全挑战,及百度安全在技术、解决方案和生态建设方面的一系列努力和进展。

1.png

AIoT时代带来全新安全挑战

 在包沉浮看来,AIoT时代的到来或者说在AI技术的广泛应用过程中,确实存在着不小的安全隐患。“比如智能驾驶,它就涉及到你的个人隐私和财产安全,也会影响到你的人身安全和整个社会的公共利益,工业物联网、智能机器人、数据供应链也有类似的问题。”

而单就智能家居而言,包沉浮认为其主要面临的安全威胁包括远程设备攻击、传输劫持、云端攻击和人工智能攻击等方面。

在设备端层面,“很多智能家居设备缺乏控制效验,系统漏洞和‘后门’让不法分子很容易通过木马、近场及局域网内、广域网等手段实施攻击,从而实现对设备的远程非法控制。”在管道层面,由于传输层漏洞和未加密的传输方式,智能家居设备则易受到中间人攻击,存在隐私被窃取、信息被篡改和升级过程被劫持等隐患。而在云端层面,云服务的漏洞和缺乏攻击防护则为分布式拒绝服务攻击和服务器入侵提供了机会,“不法分子在非法控制云端后,不仅可以窃取和篡改数据,还能让业务不可用。”

此外,包沉浮还警告称,随着AI技术的应用,人工智能攻击正成为一种值得警惕的威胁新形态。“很多设备缺乏对抗能力,本地AI模型也没有保护,不法分子可以利用AI对抗攻击和模型分析,非法控制AI决策,窃取AI知识产权。”

这也是几乎所有智能化应用落地背后,都存在的一个更为关键的问题——由AI做出的决策是否可靠,是否具备可解释性,是否安全。

“这些问题其实来自于AIoT自身新的特点。”包沉浮表示,“AIoT生态链复杂,智能设备上运行的软件来自产业链的各个环节,而每个环节可能都潜在着安全隐患,那么面对这些层出不穷的问题,消除漏洞很重要,快速响应的能力也是很重要的。”同时,设备的碎片化也提高了防御的难度。“AIoT设备种类及软件版本繁多,厂商要逐个处理安全问题的成本是很高的,这就要求安全防护需要有高适应性。” “而最终我们也回到了一个初始的问题,AI时代我们用AI进行攻防,那么该如何提升AI本身的安全性?这是新的攻防维度。”

 

BASS下一代安全技术栈破解安全困局

为解决上述一系列问题,百度安全的小伙伴们在今年9月正式推出了BASS,即Baidu AI Security Stack。在包沉浮看来,BASS将为AI安全生态提供重要支点,其所代表的正是面向AIoT时代的下一代安全技术栈。

他将BASS的特点精简概括为五项:

首先,是快速响应。BASS具备自适应漏洞修复及安全防御体系,可在第一时间全面修复和缓解安全隐患。

第二,是漏洞免疫。基于内存安全语言的系统核心组件,BASS可以从根本上免疫二进制层面的漏洞。

第三,是隐私保障。BASS基于Intel SGX的内存安全可信计算,有效保护用户隐私数据安全。

第四,是端云一体。覆盖设备安全、传输安全、云端安全及AI安全,提供全方位安全防护。

第五,是生态开源。BASS七大核心技术均已实现开源,安全更安心,引领安全技术标准化,共建健康安全生态。

基于以BASS下一代安全技术栈为代表的技术能力和在安全领域18年最佳实践的总结与提炼积累,百度安全的智能终端安全解决方案已经实现了在各类智能设备中的广泛落地,覆盖超过1亿部设备。

而面向智能家居产品,对应特定的安全威胁,包沉浮也详细讲解了百度安全具有针对性的解决方案和集成方案。

“在设备安全防护上,我们有KARMA自适应系统热修复、BOTA安全OTA、程序加固、MesaLock Linux,MesaLink安全加密通信库、XDNS DNS防护将为传输提供支持,MesaTEE云端数据防护、OpenRASP自适应云端安全防护则保障了智能家居产品在云端的安全。”而面对潜在的人工智能攻击,百度安全还推出了Advbox AI攻防工具箱和AI模型加固。前者作为国内首个AI攻防工具集,其支持各种主流DL平台,可帮助厂商提升AI算法的健壮性;后者则基于MesaTEE及程序加固技术,可保障云端及本地AI模型安全。

 

开放生态助力产业共赢

从传统系统安全顽疾的集中爆发到AI本身的安全性问题日益受到关注,AIoT时代的安全挑战已然超乎了我们传统对于安全边界与框架的认知范畴。由此,百度安全始终倡导通过新一代技术研发与开源,实现对安全问题的快速响应与对抗,以及安全防护的层次化。

“我们联合信通院和华为发起成立了OASES智能终端安全生态联盟,集合终端厂商、安全厂商、高校专家和科研机构的力量应对AI时代面临的各种安全问题。”

自2017年底正式成立至今,OASES联盟已先后发布了国内首个智能电视行业安全报告、智能音箱安全评测行业报告等研究成果,制定了OASES智能电视安全团体标准、OASES智能音箱安全团体标准等产品规则,并持续举办了包括智能电视安全技术沙龙、AI智能音箱产业峰会、AIoT行业技术交流会在内的多场行业活动。

“OASES生态安全联盟希望能够引导一个开放、共享、合作、共建的安全生态链,促进智能终端厂商与安全厂商之间建立良性的互动与合作,共同推进智能终端安全生态的建设。”在包沉浮看来,OASES联盟将为包括智能家居在内的AIoT时代一系列智能设备提供有力的技术支持,“以技术赋能、标准驱动、生态共建为支点,在保证百度自有AI生态内的安全基础上,将安全能力对外开放给更多行业和生态合作伙伴,实现产业共赢。”

AIoT时代,百度安全的小伙伴们将与合作伙伴们一道,共同应对全新的安全挑战,用AI推动产业互联网变革,让智能生活更安全。