在工业革命时期,人们就开始担忧人造物失控后反叛人类。计算机诞生后,即使是AI尚未发展起来,这种担忧更加普遍。知名的阿西莫夫“机器人三定律”、电影《西部世界》、《终结者》系列、《黑客帝国》都产生了很大的影响。近年来,随着AI突破了图灵分界线,这种担忧具备了显著的现实意义,OpenAI甚至为此一度罢免了CEO 、AI行业的头号领军人物Sam Altman。
王东临本人长期从事安全技术研究,因此在开始研究量子技术在AI应用的同时,就同时开展了关于AI安全的研究。他和团队认为,只有解决了AI的安全问题,人们才敢放手发展AI技术。
图 | 王东临(来源:王东临)在近期一项研究中,他和团队试图解决的问题是:如何确保AI完全受控,接受人类治理规则的控制?不是现有网络安全那种概率性的堵漏洞,而是要确定性的受控,同时还要保证这个安全机制是AI所无法破解的,即使是未来具备无穷智商的AI以最大的恶意全力攻击也能确保无法破解。研究中,研究团队首先指出现有的主流AI安全技术(例如OpenAI以及以“AI safety at the center”为口号的Anthropic)都是从AI内部来改进,这种方法不仅只能降低AI出错的概率而难以确保受控,更重要的是完全经不起恶意破解,所以这个技术路线是错误的,必须采用AI外部制约的新范式。一般人都会认为未来AI智能水平未知、能力边界未知,人类现在根本就不知道该怎么防。针对这个难题,研究团队找到了密码学这个强有力的武器。密码学是可以数学方式论证其安全性的,无论攻击者有多高的智商和多大的恶意都无法破解。事实上,无论现在AI发展多么红火,也没有人试图用AI来破解区块链,这就是一个例证。基于此,他们在本次成果之中提出了一种可治理AI(GAI)的框架。GAI基于AI外部提供强制约束力的新范式,用AI外部确定性的合规模块来保证控制指令是符合人类制定的治理规则的,同时基于密码学设计了一套安全防线GSSP,可以保障无限智商并秉承最大恶意的AI也无法破解合规模块、治理规则或GSSP自身。GAI的一个重要特征是技术与治理分离。虽然研究团队本身是技术专家,但研究团队认为技术是应该为治理服务的。即技术人员提供一个可靠的技术机制,使得不懂技术的规则制定者(例如标准组织、政府和议会)可以自行制定和更新规则,而无需依赖技术团队,确保最终生效的治理规则一定是治理专家制定的规则,不再依赖技术人员的实现,消除规则实现的风险。在至关重要的安全性方面,研究团队分析了威胁模型、所有可能的攻击面和所有可能的攻击路径,每条攻击路径都能被GAI有效防范。对此研究团队还进一步做了形式化的数学证明,证明了在合理假设下GAI是不可破解的。最后,研究团队用实验示范性地展示了GAI的安全能力。GAI具有很强的通用性,将来关键应用(尤其是与人类生存相关的)在引入AI时都应该同步配备GAI安全机制,包括但不限于智能驾驶(汽车、飞机、轮船、飞船)、军事、能源、医疗健康、金融、通讯等。这个成果其实是研究团队研究量子AI项目的附带成果。研究团队研究用量子技术帮助AI发展时,有人提出AI现在已经比人厉害了(至少在很多主要方面超过了人类平均水平),再用量子加速的话,将来会不会控制和奴役人类,甚至毁灭人类?那研究团队就助纣为虐了:研究成果越好,对人类越有害。为了能放心发展AI,研究团队决定同步研究AI安全技术,主要关注AI无论如何发展强大都不可破解的安全机制。正好王东临本人有很多数据安全行业的经验,对基于密码学的应用技术比较有心得,感觉可以用密码学技术为基础来建立这个安全机制,认为有可行性,就启动了这项研究。研究过程还是比较顺利的。没有漏洞的安全机制听起来貌似impossible,但实际上是有可行性的,例如区块链就具备这样的特征,王东临以前也设计过类似的机制。关键是要实现“去信任化”,不要对AI有一丝一毫的依赖,假设AI有无上限的智能而且要以最大的恶意毁灭人类,在这个极端威胁模型下来思考问题,所以现有的那些技术手段就统统忽略。基于研究团队的已有基础,这个研究本身并不难。最大的挑战反而是类似如何把这样的安全机制在论文中呈现出来这种细节问题。在限定字数内改变读者头脑中的多个固有范式(不仅包含从AI内部建立安全机制转到在AI外部建立安全机制,还包含以“去信任化”为前提、密码学对抗超智能AI的能力、无漏洞机制的可行性、技术与治理分离的理念等),多少有一定的挑战;如何设计实验也是一个挑战。为此,研究团队论文重写了几次。由于研究团队团队的背景迥异,王东临这几十年的职业生涯都在工程界,其他团队成员来自南开大学AI学院,形成了研究安全的工程界人士与研究AI的学术界人士的组合,好的方面是完整覆盖了AI安全这个交叉领域,以及从学术到工程再到产业化的链条,不好的方面是团队内部有不少的误解、误会、冲突甚至笑话。例如王东临以为将理论写出来,懂行的人看了觉得有道理就行,而团队成员告诉王东临说论文要有实验部分,研究团队就中本聪如果将区块链的新理论作为论文内容是否合格的问题争论了很久,最后他们做了几百个实验,王东临也给了形式化的证明(是不是感觉反过来了,学术团队做实验,工程界人士做数学证明?),都放到论文中了。又如,王东临提出密钥只要不泄露就无法破解,他们不解地问“遍历难道不行吗?”时让王东临感到惊讶,于是后者就让他们自己去算,常规的256位密钥即使CPU每条指令就能尝试一个组合(实际上需要很多条指令),一秒钟可以尝试30亿种组合,一个CPU 按128核计算(常规是4-16核),全世界80亿人每人都贡献一个CPU来破解,那需要多久能破解呢?结果换作其他团队成感到惊讶了……而在未来计划上,他们打算包括将REM等关键模块工程化、产品化并开源,在真实生产环境中验证,拓展到更多的领域等。据介绍,王东临15岁应届保送到南开大学计算机系的本科,没有上研究生,更没读博士。但是,王东临是有学术研究能力的体制外工程界人士,上学时喜欢研究科学是什么和数学基础等领域。他说:“用中国人常说的话来说我就是喜欢刨根问底,例如1是什么、加法是什么(罗素在《数学原理》中用了100多页篇幅来定义1和加法 B.T.W一直不理解为什么罗素在中国的知名度那么低,逻辑学家、数学家、哲学家,一本《数学原理》就抵得上《几何原本》名垂青史,最不起眼的成就都是诺贝尔奖,即便是诺奖历史上最水的之一。”毕业后王东临进了IT业,26岁创业,有成功有失败。29岁评副高(社会化评职称的第一批),35岁评正高。32岁评为中关村十大优秀创业者,38岁评为中国软件业十大杰出青年,39岁被中国科协评为求是青年科学家奖,44岁被科技部评为首届杰出工程师。在IT业,王东临发明了电子印章,制定了中国软件业第一个国际标准,发明了被美国人称为“分布式存储20年来最大创新”的share-everything的分布式存储技术。2015年,王东临基于密码学技术构建的安全存储系统在全球最大黑客大会DefCon上敞开服务器、公开后台管理账号密码、高额现金悬赏也无人能破解,这就是因为王东临对设计安全机制有充分的信心,可以做到没有漏洞不可破解。王东临现在的职务是书生公司董事长/首席科学家,南开大学AI学院行业博导,中华杰出工程师委员会副会长,中关村科技企业家协会副会长。最近两年,因缘巧合下开始做量子AI的研究,也因此与学术界合作。他说:“目前快有成果出来了,很有可能是世界上首个量子经典混合的能实现智能对话的系统,本次AI安全的论文只是我们团队成果中第一篇以预印版方式公开的成果,但在我们的成果中其实是相对不太重要的。”除了还在研究中的量子AI外,还有《科学的本质》、《数学的本质》、《逻辑的本质》、《公理化牛顿力学》都是更重要的成果,以其中价值最低的《公理化牛顿力学》为例,该成果与马晓的成果合在一起就基本解决了狭义希尔伯特第六问题。他补充称,密码技术的应用被过于忽视了。其实密码技术的作用非常大,区块链只是其中冰山一角,现有的区块链应用也是其潜在应用能力的冰山一角,例如利用技术手段强制性约束金融机构无法挪用资金池,这个特性就足以从头重构金融行业,巴塞尔协议都要全部改写。以后人类的资产(数字资产和实物资产)应该大部分都是以密钥形式体现,资产管理就是密钥管理。其表示:“遗憾的是,现在社会对此认知远远不足。包括密码学技术用在安全领域本来是顺理成章,但整个社会几乎都将网络安全等价于信息安全了,另外还知道杀毒等系统安全,而将基于密码学的数据安全几乎完全忽视了。实际上,在数字时代数据才是安全的核心保护目标,网络安全相当于门卫,认为有网络安全了数据就可以不加密裸奔,相当于有门卫了钞票就可以不加任何防护堆在楼里。”除此之外,密码学技术有一个非常重要的特征,就是可以实现工程意义上的绝对安全(毕竟还有渺小到可以忽略的概率可以蒙对密钥,所以科学意义上不是绝对安全,但平均破解时间超过地球寿命亿亿亿亿倍,工程意义上可以算是绝对安全了)。网络安全和系统安全都是概率性的,不能绝对保证所有非法攻击,而数据安全可以做到绝对防护(工程意义上的),其安全性是可以用数学进行形式化证明的。在本次成果中,他和团队就是用数学对安全性进行了形式化证明,从而能确保未来无限智商的AI也破解不了。“也就是说,我不跟你赌漏洞能否被抓住,我就搭建没有漏洞的安全防线,你再有能耐也没用。”他表示。另据悉,王东临有十多项国际领先的技术,其做工程创新的底子源自自己的学术研究能力,过去在工程界只申请专利不写论文(在中美欧日前后有200多项专利)。“所以很多成果除非产业推广做得好(例如电子印章)否则不为人所知,现在开始补课,除了申请专利也得发论文。”他最后表示。
