专访|腾讯杰出科学家于旸谈大模型安全及隐私保护技术

腾讯杰出科学家、腾讯安全玄武实验室负责人  于旸

“人工智能技术听起来是比较高上大的技术,但是高上大的技术要落到实处、用到实处,实实在在发挥作用,就要做到接地气。星辰本质上就是泥土,人工智能技术需要接地气才能真正在行业里得到应用。”

腾讯杰出科学家、腾讯安全玄武实验室负责人  于旸

7月22日,在澎湃新闻主办的2023外滩新媒体年会“坚守媒体初心 拥抱AI时代”上,腾讯杰出科学家、腾讯安全玄武实验室负责人于旸如是说。他指出,人类每一次科技进步形成的红利被人们消化的时间越来越短,科技进步的速度越来越快。当前我们完整经历了第五次科技浪潮。同时也很可能正踩在第六次科技浪潮的边缘,第六次科技浪潮的引领技术很有可能就是AI。

技术本无善恶与对错,但使用技术的人却往往带有不同的初衷。当前,AI大模型已经被应用在互联网的攻防两端,而不加安全限制的“邪恶GPT”也出现在了公众视野。

如何看待AI大模型的火爆出圈?它会给安全行业带来怎样的影响?未来大模型在安全领域将如何落地应用?

针对这些问题,近日,澎湃新闻(www.thepaper.cn)记者对于旸进行了专访。在谈及对通用人工智能的预期时,于旸称通用AI一定会实现,只是时间早晚的问题。对此他给出了非常乐观的预计:2026年到2030年间或将实现通用人工智能。

作为网络安全技术人员,于旸也关注到了有恶意使用者利用大模型输出恶意代码、进行网络攻击。对此他表示,AI大模型作为一种通用技术,既可以用于“攻”,也可以用于“防”,而在攻防之间,“攻”往往走得更快,因为价值转换链条短。

于旸表示,网络攻防的本质仍然是人与人的对抗,是知识对抗,比的是双方拥有的知识。攻防双方谁先掌握新的攻防知识,谁掌握得更深入,谁就占有优势。

AI作为颠覆性新技术,每个行业领域都需要积极拥抱适应,安全领域也不例外。于旸介绍道,腾讯安全已经将AI大模型技术应用于日常工作和研究中了,特别是让研究者从某些繁琐重复的工作中解脱出来,专心聚焦需要更高能力、需要人脑创造性完成的工作中。然而对大模型能力评估后,于旸也表示其尚不能完全替代专业的研究人员,至于劳动力替代也无需过分担心,每一次新技术革命在替代一些劳动岗位的同时也会创造出更多新的岗位,要相信人类社会的适应能力。

除了要关注大模型在互联网上的攻防对抗,于旸也指出,大模型本身的安全和隐私问题同样引发了担忧。为此,腾讯安全基于同态加密技术研发出了隐私数据过滤墙,能够实现在不改变大模型输出结果的情况下对原始数据进行加密和解密,防止用户隐私数据泄露,目前这一技术可以应用在文本摘要、机器翻译、文本分类等场景上。

谈及未来的愿景,于旸表示,腾讯安全愿意拥抱各种各样的新技术,使用这些新技术“多快好省”地服务客户。一方面,新技术将帮助我们把安全做得更好,另一方面,新技术也能降低客户在使用安全产品中的成本投入。

以下为采访实录(在不改变原意的基础上略经编辑):

澎湃新闻:从ChatGPT爆火出圈以来,大模型的热度持续至今。有统计显示,截至今年5月,我国10亿级参数规模以上大模型已发布了79个,近期又接连有大模型发布,形成了百模大战的业态。为什么大模型会突然火爆起来?是技术突然有了颠覆性突破么?

于旸:一项新技术对行业、对社会乃至对整个世界的影响,都是由主客观两种因素共同作用形成的。一方面由技术自身内在的客观因素决定,另一方面也由人们对其的主观认识决定。历史上也出现过很多主观认识与客观实际相偏离的情况,错误的认识也会让大家去追捧某些技术。

对于大模型来说,搞技术的人会有一些看法,社会公众又会有一些看法,最终可能大家的看法会统一起来,但这中间需要时间。大模型本身并不是今年才出现的,之所以火爆出圈,是因为随着ChatGPT出现,大模型走出了专业领域,有很多人开始对它感兴趣,开始思考它,并产生了自己的判断。

技术圈从去年底就逐渐开始形成了一个共识:这是一个革命性的技术,它不像大多数技术只会在某个领域带来变化,而是会影响人们生活的方方面面,对整个经济、社会产生全方位的影响。而公众认知的突破,主要得益于ChatGPT,它的界面没有什么使用门槛,所有的功能都通过对话实现,呈现的效果又足够惊艳。

此前GPT-3也拥有相类似的能力,但可能还没达到那个临界点。到ChatGPT的时候,可能正好越过了人们心理上对AI认知的临界点,从量变走到了质变。

澎湃新闻:可以预见行业博弈将更加激烈,您怎么看下阶段大模型行业的竞争态势?

于旸:广义上的大模型行业现在正处于上升期,竞争肯定会很激烈,这一点毫无疑问。

大模型本质上是个软件,其最核心的经济学特征是复制成本很低,尽管前期研发费用可能很高,但完成研发后,它服务再多客户也只要增加算力就可以,因此很容易出现赢者通吃的现象。当前行业内有些恐慌的原因,是大家担心自己不是赢家,会被“通吃”。

如果从另一个角度看,这种发展态势可以让少数几个大模型作为基础底座而存在,它们可以专心发展基础能力。而其他企业则可以在这个基础底座上开发各式各样的应用。这就像操作系统与应用软件之间的关系。

当然也不排除另一种可能,就是大家都做自己的大模型,百花争妍。但我觉得最终数量也不会特别多,全世界几百个大模型的态势也不会持续很久,最终用户会用脚投票。

澎湃新闻:AI大模型需要大量数据训练,数据质量决定了大模型水平。互联网泛在的公开数据质量值得信任么?互联网有乌合之众效应,用这样数据训练的大模型是否也有这样的特征?

于旸:今天的AI技术,在设计原理上是尽可能去模仿人脑工作方式的,它的训练学习过程跟人类学习过程有相似之处。你让一个孩子接触什么东西、接触什么人,实际上会影响他的成长方向,大模型也是一样的,它学习的结果也取决于数据。

为此,我们要做几方面的工作:第一是数据清洗,去除有问题的数据;第二是训练完成后要做检测,看看有没有学坏;第三就是要针对问题进行矫正。

虽然行业也一直在探索可解释技术,但从目前的进展来看,我觉得暂时还不能指望,不能假设未来一定能做出可解释的大模型。

即便不可解释,其实还是有可能把AI用到重要岗位上。这就好比我们虽然没有读心术也会把人安排到关键工作岗位。但事前要进行考察,过程中还要有监督,有持续的机制和措施保障安全。对AI也是一样的。

澎湃新闻:我们知道,目前AI缺乏对世界的基本认识,但随着AI知识库的扩展、学习能力提升,是否会因为量变引起质变?您相信通用人工智能可实现吗?

于旸:在今天来看的话,可以说几乎一定可以实现,只是时间早晚的问题。

现在我们看到的大模型主要是基于语言文字学习的,还有一些加上了影像,实现了多模态。当前很多应用场景下语言文字加图片基本也就够了。而人类对世界的认知是通过五感实现的,大模型也会往这个方向走,更多模态的大模型配备相应的传感器并收集相关数据,让大模型也可以拥有“五感”,它们对整个世界的认识就会跟人一样,甚至超越人类。

大模型目前发展还受到很多制约因素,比如大模型对算力、对能源有巨大的需求,而在硬件方面,今天机器人技术相比于大模型的发展是远远滞后的。

当然,大模型在发展过程中也可能帮助人类解决这些问题,从而突破在发展过程中可能遇到的上限和障碍。比如大模型或许可以帮助探索消耗更少算力就能训练的技术路径;大模型或许可以帮助人们在算力、能源上实现突破,如可控核聚变,或是帮助寻找一条突破芯片摩尔定律极限的道路。

随着大模型技术不断发展,通用人工智能今天来看是一件非常有希望的事情,即使在现有科技水平下,不考虑产生的新突破,我依然对通用人工智能实现比较乐观。如果要说一个实现时间的话,早一点可能2026年,晚一点可能2030年。

澎湃新闻:此前您也曾指出,GPT的出现犹如“瓦特改良了蒸汽机”,为什么会得出这样的判断?在可预期的未来,您认为AI应用将对人类社会带来的最大改变是什么?

于旸:蒸汽机不是瓦特发明的,但瓦特让这个技术发挥出了最大潜力。人类历史上有很多很多的技术,最终能产生革命性影响都是因为能够实现工业化、能够变得更普惠更经济,发挥技术的最大潜力。

在大模型之前,人类探索人工智能已有几十年的历史了,发展到大模型这个节点时,有了突破性的变化。十年前人工智能已经在视觉等领域展现了它的能力,替代人类来从事一些很初级的脑力劳动。而今天大模型可以替代一些即便人类也需要经过训练和学习才具有的能力。

短期内技术可能会对就业产生一些冲击,但并不至于会导致大量失业。比如过去一百年里科技革命让农业生产效率巨大提升,不再需要那么多农民,但需要更多工人了,于是一些农民变成了工人,或是服务业者。大模型在替代一些劳动岗位的同时,也会创造一些新的岗位。

而且当前大模型的演进速度是明显快于机器人技术的发展,也就是说软件先走了一步,因此大模型对产业的改变基本还停留在数字空间,短期内指望大模型给你理发是不现实的,因此在这个阶段体力劳动岗位受的影响不大。

恐慌是人类天然的情绪,但面对技术进步,不能只是恐慌,而是要更积极地去拥抱变化。

当前也出现了一些针对安全技术领域的大模型,对我们实验室而言,也面临着两个选择:要么无视它,要么接受它。无视它,未来很可能就会有竞争者利用大模型提高效率从而实现替代。接受它,就要自我革命,需要主动应用大模型提高工作效率。

澎湃新闻:在安全领域,AI大模型对于网络安全影响如何?您有没有观察到一些AI被坏人利用的现象?最值得担心的问题是什么?

于旸:AI大模型作为一种通用技术,既可以用于“攻”,也可以用于“防”。

如同任何新技术一样,“攻”往往走得更快,因为价值转换链条短。大模型目前也存在这样的情况。我们观察到有恶意攻击者已经使用大模型技术了,比如有的使用大模型辅助开发恶意程序,有的使用大模型辅助钓鱼攻击。由人力去实施钓鱼攻击的哪怕手速再快,一个人顶多能和十几个人同时聊天,而大模型技术则可能同时与一万人甚至更多人同时对话。

尽管很多大模型厂商也在尽可能地阻止自己的大模型去写恶意程序,会在设计时投入很大力量阻止大模型“作恶”,但这并不能完全阻止坏人利用技术做坏事。我们了解到,当前已经出现了专门“作恶”的大模型——“邪恶GPT”,在它的训练过程中不做任何安全性限制。

如果说科技进步有个衡量指标的话,它会让人类个体所拥有的力量变大,无论是作恶的力量还是做好事的力量。

与此同时,大模型本身也可以用来做安全,也就是用于“防”。此外,大模型自身的安全问题也值得关注。比如,大模型能否被传统攻击方式入侵?一个加了很多安全限制的“善良大模型”,是否可能被攻击从而突破安全限制转变为“邪恶大模型”?

从安全的角度考虑,是否值得担心一定与应用场景有关系,而应用场景取决于使用者有多信任大模型。如果使用场景只是聊天机器人,那么顶多也就是说些让你不开心的话,而如果让大模型扮演医生给病人诊断,这种情况下可能导致的安全问题就大得多。

因此,我们如何应用大模型也取决于它本身的安全性以及我们应该多信任它,这决定了会将大模型应用在什么场景里。因为安全上最坏的情况其实就是应用场景中最坏的情况,所以应对此有充分的认识再做决定。

澎湃新闻:AI将如何提升现有网络安全产品的表现?生成式AI安全产品未来会是大趋势么?它最大的优势是什么?未来的安全主要靠技术还是主要靠人?

于旸:在安全方面,大模型能应用的领域很广阔,凡是涉及信息处理的地方几乎都可以用大模型。

比如,一个企业每天可能会产生百万条、千万条安全日志,人力是不可能都处理的,而且绝大多数安全日志也并没有多少价值,只有极少数的会涉及重要信息。这曾是安全领域最让人头疼的事情,但今天我们可以用大模型来辅助处理。

我们可以设置一个标准,标准之上是特别重要的安全日志由技术人员来看,而标准之下的安全日志可能还有一些有价值信息,让大模型做一些处理。因为性能问题,当前还不能直接让大模型处理所有安全日志,但通过一些间接的办法辅助筛选价值信息还是没有问题的。这就是大模型在安全领域应用的一个典型场景。

安全行业的其他各个领域也都会逐渐用上大模型,这是一种大趋势。当这种颠覆性技术到来的时候,你不拥抱它,你的竞争对手一定会。

事实上,网络攻防的本质仍然是人与人的对抗,是知识对抗,比的是双方拥有的知识。比如出现一个新的漏洞,攻防双方谁先理解得更透彻,谁就占有优势,大模型技术应用也是如此。

澎湃新闻:腾讯安全在应用大模型的过程中,带来的最大改变是什么?

于旸:在安全领域也有一些比较繁琐、重复的工作,比如和运营相关的工作,这类工作应用大模型之后可以显著提高工作效率,实现降本增效。

举个例子,我们实验室有个栏目《每日安全推送》,我们会从整个互联网去获取当天最新的安全技术信息,进行识别、处理后,向社会公众推送,便于广大网络安全技术从业人员获取这些技术信息,相当于技术情报或知识情报。

这个获取的过程是个传统的自动化技术,需要抓取、分析,然后判断是否有价值,价值高低。我们每期推送大概只推送十几条,要选择最有技术价值的,并进行翻译、摘要。以前这个工作都是人工做的,现在基本上就不需要人来做了。

在企业中,以前安全技术人员每天都要处理安全日志和警告信息,这一类工作未来可以借助大模型,让人力从这部分繁重的工作中解脱出来。

另外在很多安全研发工作场景里,同样也有很多繁琐的工作,比如处理代码有很多比较繁琐的工作,为了能找到某一个真正有价值的点,那才是需要人脑、需要很高能力才能够判断的工作。然而这部分工作往往只需要几分钟,但找到这个点却总是需要几个小时甚至几天。大模型技术应用,可以提高筛选关键点的效率。

澎湃新闻:您会觉得AI大模型很快会取代安全技术人员么?

于旸:我觉得至少现在还是不行,因为目前看大模型的推理能力和我们当前安全技术人员相比还是偏弱的,至少无法达到专业的安全研究人员的水平。

另外,安全研究本身是一个发现新知识的过程,而目前大模型还是更擅长处理已有知识能解决的问题。尽管在测试中,大模型也具有一定的发现新知识的能力,但至少在目前还不能替代高水平的研究者。

如果有一天AI大模型能取代高水平安全研究者,那大概也能取代一切脑力劳动者,至少诺贝尔奖以下的工作大模型都能做了。

澎湃新闻:腾讯安全在GPT的应用落地上正在尝试什么?能否举例讲讲腾讯安全应用AI的典型场景和案例?

于旸:我们实验室目前在致力于研发保护用户数据安全和隐私的技术。

大家在网上使用的大模型并不是本地化部署的。用户在使用的时候需要将相对隐私的、重要的数据发给大模型。如果只是简单聊天娱乐其实影响并不大,然而当前很多人已经开始应用大模型处理生活和工作事务,这时候将隐私数据、重要数据交给大模型就会引发人们的担忧,这种顾虑并不是用各种保证、协议能够打消的。

现在我们正在做一套系统,去帮助缓解隐私担忧的问题。这个系统应用了一种广义上的同态加密技术,相当于在用户本地设置了一个隔离墙,介于用户和大模型之间,用户输入的信息经过隔离墙过滤,对信息进行加密,到大模型的数据就不再包括隐私数据了,等大模型处理之后,返回的结果再次经过隔离墙,被转换成真正的结果呈现给用户。云端的大模型拿不到用户的隐私数据,使用大模型的效果也不受影响。

目前我们还没有开发出全场景的隔离墙,但一些常见的应用场景已经可以实现隐私保护了,比如让大模型帮你翻译、做总结摘要、做文本分类等等。还有不少场景也可以应用这套系统。

澎湃新闻:大模型应用前景广阔,安全也越发重要。腾讯安全对大模型应用未来有何愿景和期待?

于旸:从做安全的角度来讲,我们愿意拥抱各种各样的新技术,使用这些新技术去更好地服务客户。一方面,大模型可以帮助我们把安全做得更好,另一方面,大模型也能降低客户在使用安全产品中的成本投入。

以前我们经常提一个口号“多快好省”,但多快好省四个字其实是很难同时达成的。现在随着技术的发展,多快好省逐渐成为可能,我们愿意为客户提供多快好省的安全服务。