人工智能与犯罪：犯罪学家入门读物

今天给大家介绍一篇由丹麦哥本哈根大学学者基里·海德沃撰写的探讨人工智能与犯罪的文章。本文向犯罪学受众介绍了人工智能的概念。在对这一现象进行了总体回顾(包括对“机器学习”、“深度学习”和“强化学习”等重要同源领域的简要解释)之后，本文接着转向犯罪分子对人工智能的潜在应用，包括我们在这里所称的“与人工智能相关的犯罪”、“针对人工智能的犯罪”和“人工智能实施的犯罪”。在这些部分中，文章强调人工智能作为一种犯罪现象的潜力，既包括扩大现有犯罪规模，也包括促进新的数字犯罪。在文章的第三部分，研究注意力转向人工智能范式通过基于预测和预防的分散监控模式改变警务、监控和刑事司法实践的主要方式。

关键词:人工智能 大数据犯罪学 网络犯罪 数字犯罪学 不可逃避的监控 机器学习 技术和犯罪

什么是AI

人工智能理论家埃利泽·尤德科夫斯基(Eliezer Yudkowsky)曾调侃道，“迄今为止，人工智能最大的危险是，人们过早地得出结论，他们理解它”。事实上，根据凯尔西·派珀的说法，“关于人工智能的对话充满了混乱、错误信息，很大程度上是因为我们用‘人工智能’这个词来指代很多事情”。为了克服语义扩散带来的混乱，本节澄清了关键的人工智能术语，以及当今人工智能系统的一些主要功能和局限性。

人工智能的犯罪用途

在他们最近深思熟虑的调查文章中，King等人指出了“人工智能犯罪”(AIC)带来的一系列威胁，包括贩毒、性犯罪、盗窃、欺诈和伪造。虽然他们的理论是一个有用的出发点，但我们的分类结构不同——不是根据受影响的法律领域，而是罪犯可能如何使用人工智能。这里，我们确定了三个类别:(1)以人工智能为工具犯罪，(2)基于人工智能的犯罪，以及(3)人工智能的犯罪

1.以人工智能为工具的犯罪

最根本的是，人工智能可以通过扩大和改变现有威胁的固有性质，或者通过完全引入新的威胁，成为“恶意”犯罪使用的有力工具。

现有威胁的扩展可能发生在物理环境中。例如，贩毒者可以转向无人驾驶车辆(特别是无人水下航行器)，以提高走私成功率和走私网络的复原力。更引人注目的是，一些人警告说，廉价的四旋翼无人机与面部识别软件和小型炸药的结合，不久可能会为针对平民的大规模恐怖袭击创造一个新的载体。他们对一种新的“大规模杀伤性武器”发出警告，这种武器的攻击目标可能存在(种族或政治上的)“歧视性”，这一事实更令人不安。

尽管这些都是值得关注的问题，但它将出现在人工智能构成最大犯罪威胁的本土网络空间。一个用途是扩大现有的黑客和恶意软件威胁。研究人员已经开发了GANS，以产生新的恶意软件，可以通过病毒过滤器。另一个用途是扩大社交工程网络攻击。如今，91%的网络犯罪/攻击始于网络钓鱼电子邮件——该邮件邀请某人点击链接，然后将他们带到允许犯罪分子出于身份盗窃或欺诈目的获取敏感个人信息的网站。然而，到目前为止，网络钓鱼电子邮件通常是通用的(例如，“你赢了100万美元！”)因此要么很容易被垃圾邮件过滤器捕获，要么除了相对较少的特别易受攻击的用户之外不与任何人联系。更个人化的网络钓鱼攻击(“鱼叉式网络钓鱼”)比非目标网络钓鱼攻击的效率高四倍，但这是劳动密集型的，因为它们需要针对特定的人口统计数据或个人进行手工定制。然而，有了“深度网络钓鱼”人工智能，系统可以自动学习和组合特征(合成网址等)。)免受其他网络钓鱼攻击，避免垃圾邮件过滤器并提高成功率。与此同时，AI也可能在提高防御方面发挥作用:最近开发的‘万能药’AI系统使用自然语言处理来响应传入的欺诈电子邮件，让攻击者参与对话以获得关于其真实身份的信息，同时也浪费了他们的时间。

在另一项实验中，两名研究人员使用人工智能自动生成大量社交媒体消息，这些消息都是根据特定目标的个人资料和过去的行为定制的，说服这些用户点击网络钓鱼链接。同样，模仿社交媒体上的人的“身份克隆”机器人在将自己嵌入社交网络方面显示出很高的成功率，因为许多用户习惯性地接受所有朋友的请求。事实上，2019年，美联社报道称，人工智能生成的人脸被用来创建虚拟的领英账户，目的是嵌入华盛顿特区的政策制定中。

除了扩大现有威胁之外，人工智能如何被用来开发目前超出人类行为者范围的新威胁？这里一个生动的、现在越来越常见的例子是所谓的“深度假货”——能够伪造任何类型媒体的GAN应用程序，包括人脸照片、16个视频片段、从一分钟语音样本中“克隆”出来的声音或用于定向“神经假新闻”的连贯文本，如GPT-2和Grover系统所示。这些深度假货已经被证明是有说服力的。2019年3月，窃贼使用语音模拟软件复制了一位首席执行官的声音，打电话给英国一家子公司能源公司的董事。这导致后者将243，000美元转移到一个欺诈账户。此外，围绕深度假货的许多评论都担心它们可能被滥用于政治操纵。这不是没有根据的。例如，2018年在比利时，佛兰德社会党利用这些技术制作了一段虚假视频，据称是唐纳德·特朗普呼吁比利时退出《巴黎气候协定》。作为气候变化的噱头，该党的许多支持者分享了这段视频。从那以后，深度假货逐渐出现在一系列选举环境中。然而，尽管DeepFakes无疑将有助于我们的“后真相”政治话语，但目前的情况仍然是，这项技术的主要功能在于犯罪分子能够为骚扰、勒索或“性勒索”(网络勒索)创造合成的、但似乎合理的私密材料。事实上，2019年的一份报告显示，在14 600个在线深度伪造视频中，96%涉及伪造未经同意的色情材料。

人工智能还可以伪造其他类型的成像数据。最近的一项研究显示了恶意行为者如何利用它篡改医院数据，从体积测量(3D)医学扫描中添加或移除医疗状况的证据。然后，这些虚假信息可能被用来破坏政治候选人、破坏研究、损害卫生基础设施，甚至实施谋杀。

最后，人工智能已经说明了现有(网络)安全协议的脆弱性。2017年，纽约大学(NYU)的研究人员使用GANs生成了“DeepMasterPrints”——可以作为生物识别系统主密钥的合成假“指纹”，“PassGAN”在泄露密码的数据集上接受训练，学习生成人类密码的可能候选，以便生成高质量的密码猜测。在测试中，该系统优于现有的最先进的工具，如哈希表，匹配51%-73%以上的密码。

2.人工智能上的犯罪(人工智能作为攻击面)

人工智能上的犯罪包括利用和逆向工程系统漏洞的攻击，企图愚弄或“催眠”人工智能系统。一段时间以来，有可能“毒害”系统的训练数据。臭名昭著的是，微软推特聊天机器人“Tay”在用户向它输入右翼短语后的一天内就变成了种族主义者。此类事件只是冰山一角。ML系统在对数据进行分类时，通常过分依赖违反直觉的细节和模式。黑客可以利用这一功能对输入数据进行逆向工程，以欺骗系统显示特定行为。更糟糕的是，这可以通过人类观察不到的方式来实现。此外，即使在“黑箱设置”中，攻击者也无法访问网络的内部权重，攻击也经常会发生。研究人员已经表明，甚至有可能生成定制的“对抗性补丁”贴纸，这导致人工智能将对象错误地分类为“烤面包机”。在其他地方，研究人员设法3D打印了一个海龟模型，该模型被人工智能从几乎每个角度改变为“步枪”。

顾等人(2017)已经证明，这些问题有时会因ML模型供应链中的脆弱性而加剧。考虑到许多用户外包(计算密集型)训练过程或使用预先训练的模型，对手可以创建一个“BadNet”，这是一个恶意训练的网络，在用户的常规场景中表现非常好，但它包含“环境后门”——欺骗系统做出不正确或危险行为的特定输入。例如，在几个案例中，研究人员表明，在交通标志和街道表面放置贴纸会导致自动驾驶汽车无视速度限制，一头撞向迎面而来的车辆(Evtimov等人，2017年；腾讯敏锐安全实验室，2019)。这样的问题可能会变得越来越普遍。2018年，谷歌研究人员证明，图像识别神经网络可以被骗为攻击者执行免费计算，通过将智能手机暴露在篡改的图像中，有可能将智能手机变成僵尸网络。

这种“人工智能黑客”对不同行业都有严重的现实影响。在医疗保健领域，研究人员已经证明，对抗性攻击可以利用诊断算法来助长医疗保险欺诈(Finlayson等人，2019年)。其他人已经表明，即使是文本处理的人工智能也很容易被操纵，正如最近系统“文本愚人”所显示的那样，该系统可以分析文本，并建议改变战略同义词，以显著改变人工智能系统在从求职到假新闻检测等领域的决策(金，2020；骑士2020)。另一个应用程序利用了语音识别系统的漏洞

比如Alexa、Siri和谷歌助手。研究人员复制音频波形(有些精确到原始波形的99.9%以内)，向这些智能扬声器发送隐藏的语音命令，让它们拨打电话号码或打开网站。理论上，这可能被用来攻击“智能家居”——打开门、接线、或触发购买订单以指控或购买产品(Smith，2018)。

这些同样的对抗手段也被用于积极对抗普遍的监控文化。在比利时，研究人员设计了一种对抗性图像，如果打印出来并随身携带，就会使人工智能计算机视觉系统看不见一个人(Thys等人，2019年)。同样，艺术家和时装设计师已经开始与技术研究人员合作，创造出可穿戴的物品，如“反人工智能t恤”(徐等人，2019年)和化妆品“炫目伪装”(埃克特等人，2013年)，这两种物品(据称)都可以保护抗议者免受人脸检测摄像头的识别。

总之，对抗性的意见表明，不同的行为者可以在一个环境中撒上沙雷和霍洛维茨(2018，15)所说的“认知地雷”，从而增加“物联网”系统中的关键安全漏洞，并给“智慧城市范例”的倡导者带来问题。虽然检测对抗性例子的工作正在进行中(肖等人，2018年)，但许多这些检测方法本身很容易被绕过(卡林尼和瓦格纳，2017年)，这表明那些寻求确保人工智能基础设施安全的人已经忙得不可开交。

3.人工智能犯罪(人工智能作为中介)

2015年，一群艺术家在黑暗的网络上发布了一个随机购物机器人——结果并不令人惊讶，它最终购买了毒品，并被瑞士警方逮捕(Kasperkevic，2015)。这一事件不仅为我们的第三个AIC类别“人工智能犯罪”提供了一个清晰的例子，更重要的是，它提出了人工智能法律地位的棘手问题——以及它作为“犯罪盾牌/中间人”的潜在滥用。

一些律师认为，可能已经有可能赋予某些算法某种法律人格的外表。拜仁(2016)认为，美国现有公司法的漏洞允许具有法人资格的“人工智能实体”在功能上合并。这种安排背后的法律复杂性，或者这种算法人格更广泛的优点或社会价值(参见特纳，2018)，超出了本文的范围。然而，这里令人感兴趣的是，这种法律欺诈如何促成白领犯罪的新模式(LoPucki，2017年)。具体而言，使用人工智能作为“独立”的犯罪中介对基石法律标准提出了严重问题，如自愿实施的犯罪行为(actus reus)、犯罪意图(mens rea)以及围绕知识门槛、可预见性和责任的各种问题。

这些对刑事责任和意图的担忧很可能在算法市场操纵、价格操纵和共谋的背景下发挥作用(King等人，2019:9–12)。在2016年的一项实验中，计算机科学家表明，人工智能交易代理可以发现并学会执行相当于市场操纵的盈利策略。一个“人工代理人”利用强化学习探索了它在市场上可以采取的行动空间，并发现下欺骗性的虚假购买订单是一种有利可图的策略(米兰达等人，2016)。同样，算法之间近乎即时的定价信息确保了不同公司的算法有时可以人为地、无意地和心照不宣地决定更高的价格——本质上导致相当于共谋的行为(Ezrachi和Stucke，2017)。这种行为可能会出现

很快，可能是由于与其他算法的意外交互。虽然在许多情况下，这些失败很容易被发现——比较两种定价算法，2011年，这两种算法因一本关于苍蝇的书而陷入机器人价格战，将价格推高至2370万美元23(萨特，2011)——但在其他系统中，它们更难被发现。

AIC:评估威胁

让我们用一个问题来结束我们对AIC的讨论:上面概述的犯罪类型会变得司空见惯吗，还是这些例子会再次证明在实验室里容易的东西在现实世界中很难扩展？要估计这些人工智能工具的普及程度，可以借鉴“Blackshades远程访问工具”的例子，尽管从技术上来说，它不是人工智能应用程序，但它可以说明如何在不同参与者之间传播和快速访问数字技术。Blackshades被描述为“盒子里的罪犯Fran-chise”(Markoff，2016)，通过PayPal以低至40美元的价格出售，它允许没有任何技术技能的用户有效地部署ransomware并进行窃听操作。正如网络安全专家布莱恩·克雷布斯(Brian Krebs，2014)简明扼要地指出的那样，Blackshades在2014年盛行，并在一次重大的国际网络打击后才停止，“这是一种主要为不知道如何破解纸袋的买家创造和营销的工具”。虽然Blackshades不涉及人工智能，但当涉及到新兴的犯罪人工智能工具时，不难看出犯罪动机是如何相同的。上面描述的许多(如果不是大部分的话)人工智能能力都是——或者源自——在其他应用中无害或有益的两用能力。而且，AI文化的特点是高度开放，即使在源代码尚未公开共享的情况下，许多新的AI算法也可以在几个月内被其他研究人员独立复制，为扩散制造了较低的障碍(Brundage等，2018:17；Shevlane和Dafoe，2020年)。在供应方面，人工智能工具，尤其是预训练版本，和任何软件一样容易获得；在需求方面，这些工具中的许多提供了(网络)犯罪分子长期寻求获得的精确类型的犯罪能力或技术的扩展或改进，无论是在追求“零日利用”方面，还是通过Blackshades等工具。既然如此，我们估计AIC将在五年内成为一个主要现象。