人工智能+物联网失去安全会发生什么

人工智能中的深度学习，近年屡创佳绩，首先是 Alpha Zero 在三大棋类（围棋、西洋棋及日本将棋）成为世界第一，不但打败人类，还远远把人类棋手抛在后面，更打败其他的人工智能棋手（包括自家兄弟 AlphaGo Zero）。此外，在视觉辨识与语音识别更是超出人类辨识的水平，就连微软最近也宣布中翻英的语意辨识（自然语言处理）能力也达成跟人类能力接近的水平，而这些佳绩大大的震惊了人类，人工智能近几年被大量重视。

深度学习需要大量的数据与强大的运算力才可能达成高准确度仿真模型，而大量的数据，在很多方面就必须依靠物联网的传感器收集，透过网络实时的传输集中到服务器；物联网的系统，也需要靠人工智能做到正确的辨识、发现异常、预测未来，以提供好的服务。这也是为什么工研院 IEK 与电子时报的研究单位都谈到人工智能结合物联网（AIoT）是接下来的重大发展，而这样的发展，影响到各行各业，甚至会进行产业颠覆，也就是说，接下来 AIoT 服务，将在我们身边大量出现。

服务一多，AIoT 在各个层面（物-终端设备/联-网络联机/网-云端设备）安全的重要性就更加提高，必需处理或预防，以减少问题发生时造成的损失。接下来，本文将从三个层面（物-终端设备/联-网络联机/网-云端设备）来分别切入看可能造成的问题：

1、终端设备在安全上有传输信息被看光光、设备被操控两大问题。

在终端设备上，很多使用者因为没有修改设备商提供的原有管理员账号/密码（如 admin/admin、 root/r00t…等等），或是管理员的账号/密码很容易被猜出来，在被黑客在找到这台设备后，以管理员登入而拥有控制权，得到消费者的所有数据，可能让消费者的相关隐私荡然无存，例如，在家中穿得很少的清凉装扮，就可能透过联网摄影机传到黑客家的机器上了。

骇入之后，此机器也被控制，可以达成其他目的。例如 2016 年 Dyn 公司的 DNS（由英文网域查到真正数字网域功能）被大量被操控的终端设备攻击后，让很多公司的网站（Twitter、Netflix、Airbnb…等等），因为 DNS 信息无法被终端设备及时查知而无法服务。

去年因为比特币挖矿盛行，也让黑客开始骇入这些终端机器与云端机器，运用其运算力帮忙挖比特币，至少造成设备异常大量耗电与通讯传输量大增。

黑客能控制或干扰终端设备的方法还有以下几种：

（1）终端设备的固件，厂商明明更新了，但终端使用者并不知道要更新，或懒得更新。这也给了黑客可趁之机，利用旧有固件的已知安全问题骇入这台机器，获得操控权。这也说明买会不定时升级新的固件的厂商生产的设备，并常常对此设备做固件升级是比较安全的，不然设备被操控后，就等于养了黑客的间谍在身边。

（2）设备没有验证收到的信息或命令，就如之前传出的某些智能音箱会因为黑客发出的人耳无法听出的超音波被控制而误动作。

（3）设备本身的物理安全防护不够，不必要或外露的接头被黑客使用入侵，或是容易被黑客取下来，让黑客窜改固件后再放回，这个风险存在已久，这也反映出设备厂商硬件在信息安全相关的设计考虑很重要。

2、网络联机的信息安全力不够，让黑客可以拦截。

这种联机的安全出包，轻则得出所有通讯清楚内容（如公司机密被获取），更甚者则窜改传输内容，让终端设备们以及云端设备们彼此误认对方的讯息，而做出错误动作：更甚者机器因此被完整操控。

例如使用的网络未加密，当使用时，同在一个场域的黑客就可以透过这个网络拦截到终端设备与云端设备之间传输的信息，让黑客可以直接抓取出以分析读取，甚至窜改后再回送，造成系统误动作。

另外网络联机配对不安全，让黑客找出漏洞破解；或是使用已被攻破或本身被证实不安全的加密算法，都会造成同样的问题。例如 2016 年传出的安全连接协议 Open SSL 的大漏洞，此漏洞会允许黑客执行任何程序，就造成了很多大网站（如 Google、脸书、Yahoo…等等）受害，所以 AIoT 的通信协议就不能用这类被证实有问题的协议。

为了解决消费者自行升级终端设备固件的不便性，让终端设备能自动更新固件是一种新的趋势。也就是让终端设备会进行从网络下载固件升级（Over The Air，简称 OTA），但如果被黑客找出网络漏洞，而让此设备升级了有问题的固件，反而会让黑客取得终端设备控制权，这个信息安全风险不得不考虑。

3、云端设备：黑客利用安全弱点骇入云端设备。

黑客在获得云端设备的控制权后，得到重要信息（特别是公司机密），或被操控后送出错误信息误导终端设备。

缺乏设备验证、或脆弱的用户密码/常用密码，造成黑客直接登入是常见安全风险。不过，这个部分已经随着因特网的发展至今，有二十年以上的历史，相对的黑客的攻击方法与安全对应的解决方案也多元。

在现在较新面对的安全问题，是人工智能深度学习的介入：黑客可以透过深度学习在虚拟世界中找出网站与设备新的弱点，而做进阶持续威胁（APT）的攻击。一般的人类信息安全专家，要对抗这种攻击，会有处理速度太慢的问题，也唯有藉助人工智能深度学习的力量强化，例如从定义正常的网络行为模式，再用人工智能及时发现可能异常行为并因应处理，才有可能达成防范效果。

由以上可知，AIoT 服务，如果没有在信息安全做好防护，将会被黑客利用造成重要信息被获取，有的甚至操控设备：终端设备被操控后，变成客户身边的间谍，让客户有重大伤害或损失：例如隐私被曝光，不雅照让名誉受损，人身伤亡或被绑架…等等；云端设备被操控，造成商业机密被获取，客户公司因而损失重大。

也因为 AIoT 服务在我们身边的兴盛，已经是必然的趋势，这些引发的风险，接下来必须好好预防与及时处理，以避免问题产生时造成的重大损失。