内涵型人工智能及其伴生安全问题 - 网安 - 专业的网络安全产业、社区、知识平台

摘　要

人工智能的未来发展有两大趋势，一是继续向外扩展人类的外延，二是努力向内丰富人类的内涵，前者称为外延型 AI，后者称为内涵型 AI。与外延型 AI 的发展方向相反，内涵型 AI 意在借助现有的机器智能来提高人类自身的整体智能。在全面综述内涵型人工智能及其发展趋势的同时，从宏观、中观和微观角度分析了相关新技术和新理念的伴生安全问题，其中有些问题已有解决思路，有些问题还需在发展中不断探索解决方案。

人工智能（Artificial Intelligence，AI）的未来发展有两大趋势，一是继续向外扩展人类的外延，二是努力向内丰富人类的内涵。前者称为外延型 AI，后者称为内涵型 AI。外延型 AI是将机器视为人体的外延，让这个外延（机器）的“智能”越来越高，让机器做事越来越像真人而且还是能人，不但能下棋，还能开车，更能聊天，能代替人类从事许多复杂的智能工作，使人类越来越严重地依赖于机器，以至于假若某天人类不得不突然离开机器时，人类文明将立即大幅度倒退。外延型 AI 是目前人工智能研究的主流，所取得的成就有目共睹，其安全性也已被广泛研究。但它所面临的发展瓶颈也越来越明显，比如，最近图灵奖得主姚期智先生就指出了这种外延型 AI 面临脆弱性瓶颈、解释性瓶颈、对抗性瓶颈 3 方面的技术瓶颈。其实，外延型 AI 还有一个更大的发展瓶颈，即社会性瓶颈。具体来说，如今上至科学家、哲学家和高层决策者，下至普通老百姓等，许多人都开始对外延型 AI 的飞速发展感到恐惧，生怕人类会最终沦为机器的奴隶。虽然我们不知道人类的这种顾虑是否是杞人忧天，但若有办法在整体上迅速提升人类自己的智能，那么，人类被机器奴役的可能性将大大降低。

如何才能在整体上迅速提升人类自己的智能呢？这就是本文将重点介绍的内涵型 AI。更准确地说，与外延型 AI 的发展方向相反，内涵型 AI 意在借助现有的机器智能来提高人类自身的整体智能。或更形象地说，外延型 AI 的“格物致知”更像是朱熹的做派，是在外求；而内涵型 AI 的“格物致知”则更像是王阳明的风格，是在内求，即圣人之道，吾性自足，不假外求。总之，内涵型 AI 的理想终极目标也许可以形象地描述为：一旦人类出了一个牛顿，那么几乎所有人都能在一夜之间成为牛顿；于是，在这众多牛顿的共同努力下，可能只需数十年或更短的时间，而非过去的 200 多年，就又能出现一个爱因斯坦；接着，几乎所有人又能在一夜之间都成为爱因斯坦。总之，按此方式迅速滚雪球，也许人类就再也不用担心成为机器的奴隶了。

内涵型 AI 的详细内容请参阅《人工智能未来简史》。限于篇幅，本文只从信息技术出发，聚焦于脑电图、大脑地图和神经元电脉冲的安全精准检测、提取、产生、复制和输入等，同时重点分析相关新技术和新理念伴生的安全问题，其中有些问题已有解决思路，有些问题还需在发展中不断探索解决方案。

内涵型 AI 与安全的一般性关系

包括内涵型 AI 在内的任何新技术，都存在着正反两个方面的矛盾：一方面，新技术会带来新发展；另一方面，与新技术相伴，将会带来新的安全问题，甚至是非常严重的安全问题。一般说来，这些伴生的安全问题，在新技术普及到一定程度后才会暴露，很难事先给以全面精准的预测。因此，随时关注内涵型 AI 的发展状态，随时发现伴生的安全问题并给予及时解决，就显得尤为重要。特别是针对一些战略性的安全隐患，更应该尽早准备好一些可能的预案，毕竟凡事“预则立，不预则废”。

与外延型 AI 类似，内涵型 AI 既具有安全赋能效应，也具有安全问题伴生效应；前者可以提供安全保障，后者则刚好相反。比如，安全赋能效应既能增强攻击能力，让黑客更厉害；又能增强防御能力，让系统更安全。安全问题伴生效应不但具有一定的滞后性，还具有相当的特殊性，必须个案分析，因为只有当相关技术和系统经过大量的实践检验后，其所呈现的不成熟性、不完备性或给予黑客的便利性等，才容易引发伴生的安全问题，从而为解决相关问题提出方向和目标。比如，由于内涵型 AI 技术自身的不成熟，就一定存在若干漏洞，它们一旦被黑客发现和利用，就会造成更大的破坏；此外，内涵型 AI 技术也会存在若干暂时无法弥补的天然缺陷，只能采取额外的手段适当加以防护。

以下各小节将在介绍内涵型 AI 的相关技术的同时，及时指出它们可能在安全赋能和安全伴生方面的问题。实际上，从本质上看，赋能攻击与伴生安全的外显行为都是内涵型 AI 系统的安全风险，其差别仅仅在于内因不同而已：一个是黑客利用内涵型 AI 技术来主动提升攻击能力，另一个是内涵型 AI 的脆弱性导致新的安全意外等。

基于宏观脑电图的内涵型 AI 及安全

宏观内涵型 AI 可能将是最先取得突破的领域，马斯克已投资实现的意念控制等便是案例之一。宏观内涵型 AI 的思路非常清晰，即人类个体的知识和智能水平由其脑电模式或神经回路的发射情况确定，若能安全可靠地改变脑电模式或神经元的联结网络，就能改变当事者的知识和技能。同时，脑电模式确实能被安全地改变，甚至大脑具有很强的可塑性，若能在一定程度上改变大脑的电活动模式，就可安全地实现内涵型 AI 的某些目标。

早在 100 多年前，人们就发现人脑会发射很强的“脑电波”，而且脑电波还会随着当事人的思想和心理状态的改变而改变。目前科学家们已经可以利用脑电波来安全地控制远端的计算机和假肢等，已实现了曾经是梦想的意念控制。随着各种安全脑机接口技术的不断发展，人与机器的安全融合程度将达到无与伦比的水平，因此，有理由相信，在不远的将来，人机充分融合后，人类将在安全感知、分析和解决问题的能力方面，远远超过以往的单独依靠电脑或人脑的智能水平，当然就不必担心成为机器的奴隶了。

当然，若想不断地推进上述目标，就必须在以下 3 方面继续下功夫：一是充分利用电磁手段，更加安全而精准地获取和理解脑电波；二是充分利用植入和非植入等方法，更加安全而精准地将相关电脉冲输入或输出大脑；三是充分利用各种微电子和虚拟现实等技术，更加安全而精准地复制和处理各种微弱电波等。

基于宏观脑电波的内涵型 AI 的原理很简单，即人脑是一个特殊的电网络，既可以向该网络注入相关电脉冲，以影响其既有的运行状态；也可以从该网络中取出相关的控制信号，然后利用这些信号去控制其他机器，甚至是控制其他人或动物。此外，实验表明，大脑还是一个可塑性很强的电网络，外界的安全输入电脉冲只要足够强和足够持久（当然不能过分），大脑的既有网络结构就可能被安全地永久性地改变，用行话来说，就是“一起发射（激活或兴奋）的神经元会连接在一起”；因此，今后某天，也许人类能像电脑下载文件那样，将任何知识，从电脑或他人的大脑中安全地注入自己的大脑，使得某人就像获得了某种心灵感应一样，突然就变成了“万事通”的超人。

当然，原理简单是一回事，具体的实现又完全是另一回事，其重点和难点之一便是安全而合适的脑机接口。随着内涵型 AI 的不断发展，脑机接口的种类将有很多，而且还会越来越多；既有植入式脑机接口，也有非植入式脑机接口。比如，人工耳蜗就是一个能让失聪者恢复听力的非植入式安全宏观脑机接口，它利用麦克风采集到的声音来产生一系列电脉冲，并用这些电脉冲去刺激听觉神经，以重新产生“听觉”。又比如，人们已能安全地在实验室里用植入式宏观脑机接口让盲人“睁眼”。其工作原理是：利用脑机接口，把来自摄像机的视频信号安全地输入已经植入视网膜或视觉皮层的电极阵列中，从而激发相应的“视觉”。

目前，虽有不少成功而安全的植入式宏观脑机接口案例，但必须强调，此类脑机接口其实才刚开始，困难很大，问题很多，绝不可随意应用和推广。幸好，人们可以利用已有的外延型 AI 的“机器学习算法”来识别与特定感觉或运动相关的脑电活动模式，并将这些模式作为确定性的电信号来安全地指挥假肢等各种外部设备，以实现相应的功能。当然，如果今后脑机接口所采集的脑电信号足够全面和精准，那么直接将这些脑电信号安全地注入另一个人的相应神经回路而不做任何解码，就完全可能实现一个人对另一个人的安全而精准的控制，例如舞蹈家用意念指导另一个外行一次性学会某个动作。

非植入式脑机接口技术无需任何手术，虽然它们的脑电波采集能力肯定远不如植入式设备，但在某些精度要求不太高的情况下，特别是在宏观情况下，仍然足够有效。比如，有这样一个非常简单的基于脑电图的非植入式脑机接口，它仅仅是基于如下事实：当你默想不同的单音节文字时，你的脑电图中的响应波纹也不相同。于是，你只需要默想“前”“后”“左”“右”这 4 个字，通过贴在你外头皮上的 5 个电极，就能以 90% 的准确度检测并区分你的脑电图模式。因此，在非植入式情况下，用意念控制玩具车前进、后退、左冲、右突就轻而易举了。此类方法显然不难扩展为意念下棋、走出迷宫、挪动鼠标等操作。更一般地说，该非植入式方法，能够以较高的安全可靠性来实现任何命令数不多的意念控制场景。

当然必须指出的是，若仅仅采用非植入式脑机接口技术，虽然可以从大脑中读出某些特定的信号，实现意念控制或心灵感应等，但它离真正的意念通信还差得很远，毕竟读取信号与全面通信根本就不是一回事。

总之，在非植入情况下，仅基于宏观的脑电图的内涵型 AI 的能力还是有限的，但是，积极继续探索大脑的运行机制，积极在脑电图的全面而安全的精准检测、采集、处理、传输和注入等方面稳步前进，仍然可以取得许多重大的实用性成果，大大提升人类的整体智能和体能。

基于中观大脑地图的内涵型 AI 及安全

上一节叙述的内涵型 AI 始终只锁定了神经电脉冲的宏观形态，即所谓的“脑电图”。这就意味着，一方面，输出的脑电图无法区分大脑电模式的许多中观和微观区别，因此很难精准地表达相关意念；另一方面，宏观脑电图几乎不可能输入，至少不能精准输入到别人大脑中。总之，若想基于各种脑机接口来实现更高水平的内涵型 AI，显然不能只停留在宏观的脑电图水平上，还需要分别锁定中观的大脑地图和微观的神经元电脉冲。

脑科学已揭示了两个重要事实：一是脑电波很重要，它甚至能决定一个人的各种智能和技能水平，或者说，你若拥有了超人的脑电波，你便可以拥有超人的智能和技能；二是脑电波可以被重塑，因此，你若能重塑你的脑电波，使它们与爱因斯坦的脑电波相同，那你就能成为第二个爱因斯坦。于是，从理论上看，其实每个人都有机会成为爱因斯坦，只要你能巧妙而安全地重塑自己的脑电波。

既然安全重塑脑电波（或重塑大脑）如此重要，人们便会努力研究重塑大脑的思路。当然，人类在这方面的工作才刚开始，需要改进之处还有很多，实际上，内涵型 AI 能否成功，将主要取决于能否找到愉快而无害的方法，使得任何人的大脑能被迅速而安全地重塑，这种重塑既包括宏观脑电图在结构方面的重塑，也包括中观大脑地图在具体功能或技能方面的重塑，还包括微观神经元的突触导电性重塑，或由神经元的发射与抑制组合而成的神经回路重塑等。

重塑脑电波的最暴力手段，可能当数目前医院针对精神病患者经常使用的电休克疗法，即经过 10 余次电击，脑电图就可能被永久性地改变，显然此法只适合于特定人群，且还不够安全。其实对每个人来说，他从一出生，就已在不间断地重塑自己的脑电波了，只不过是采用了最温柔、最缓慢的脑电波重塑手段，那就是众所周知的学习，既包括有意识的学习和无意识的学习，也包括自主学习和辅导学习等。实际上，大脑随时都在因外界的刺激而安全地改变其神经回路的联结，它是环境与基因互动的产物，即我们的观念会产生行为，行为又反过来改变大脑的结构；先天的基因决定某个行为，该行为也会反过来改变大脑的联结。

早在 1949 年，心理学家赫布就提出了“学习发生在细胞水平上”这一基本原则，或者说“一起发射的神经元就会连接在一起”，或者说“不一起发射的神经元就不会连接在一起”。因此，我们从小到大的学习过程，其实就是在以“随风潜入夜，润物细无声”的方式安全地改变脑电模式，准确地说，学习改变了某些神经元的放电特性，改变了某些突触的导电性等。所谓的“活到老，学到老”，就意味着人的大脑终生都可以被重塑，至少可以被缓慢而温柔地重塑，各种学习就是温柔的安全重塑过程。更极端地说，即使某人不想学习，但随着年龄的增大，他大脑的自然退化也是一种重塑过程，只不过是有害的重塑而已。

诺贝尔奖得主、物理学家盖尔曼曾在 1994年畅想到：今后某一天，人类能与计算机直接相连，彼此之间的思想与情感完全被共享，再也没有语言上的选择与欺骗。形象地说，盖尔曼畅想的东西可以是某种“脑联网”，它将人类的大脑连成一体，就像互联网将电脑连成一体那样。

欲实现“脑联网”，就必须克服两大难题：一是解决信息的安全输出问题，即从大脑活动的样本中安全地提取相关信息，并将由此产生的信息安全地传输给人造设备。这一点，在前面介绍的“意念控制”中，都在某种程度上初步实现了信息输出。二是将外部信息包括他人的意念信息安全地输入接受者的大脑，或更准确地说，安全输入到接受者的神经系统中去。这其实是目前的难点和重点，所取得的实质性进展很少，比如，输入信息的主渠道仍然是人类天生的视觉或听觉等，这当然会限制脑联网的深度开发，因为此时被输入的信息只能以图像或声音的形式出现。

基于微观神经脉冲的内涵型 AI 及安全

细心的读者也许已经注意到，内涵型 AI的最终目的是要安全地制造超人，即在某些方面的智能和技能超强之人，甚至是各方面的能力都超强之人，当然，这种超人状态也许只需维持很短一段时间，然后再恢复正常，毕竟超人状态需要耗费太多的能量或需要牺牲其他方面的一些能力。内涵型 AI 制造超人所希望使用的手段主要是脑机接口，即利用输入或输出的电子接口，安全地将大脑或神经系统的潜能长期或短期地发挥到极致。既然是接口，就必须考虑相反的两个方面，即安全输出和安全输入。

（1）关于安全输出。若将大脑看成一个黑箱系统的话，该系统的安全输入渠道有很多，包括但不限于听、看、触、尝、嗅等；但安全输出渠道却很少，几乎只有言和行。而“言”又受限于文字，经常会出现“只可意会不能言传”的情况；“行”也受到身体的限制，经常会出现“力不从心”的情况。因此，若想更安全有效地打造超人，就必须开通大脑的更多输出渠道，特别是要安全而精准地获取或检测神经元发射时所释放的电脉冲。在宏观情况下，这些电脉冲将以脑电波或脑电图的形式被安全地获取或检测，比如，命令个数不多的意念控制系统，内容受限的意念通信系统，给定候选集合的猜心术，认定犯罪嫌疑人的超级测谎仪等。在中观情况下，脑电脉冲将以大脑地图的形式被安全获取或检测。在微观情况下，脑电脉冲将以神经回路电活动的形式被安全获取或检测。

（2）关于安全输入。虽然脑机接口的安全而快速简捷的输入很困难，但非常有趣的是，在宏观和中观情况下，大脑的安全输入问题却很简单，比如，我们从小到大的所有学习和训练过程，以及神经医学中的许多医疗过程，其实都是在有意或无意地向大脑输入脑安全电信号，而且还是可以精细到中观层次的脑电信号，其结果就是安全地改变了相关的大脑地图或脑电图。但在微观情况下，脑电信号的安全输入却是脑机接口的难点和重点，因为人类至今也不知道大脑到底是如何对脑电信号进行编码和解码的，所以，很难制造一段安全的人工电信号让大脑读懂，当然也就很难控制大脑了。但是，“不能制造安全的人工信号”并不意味着就无计可施，比如，从理论上看，我们可以将天才的某段脑电信号，在微观情况下，安全地照搬到普通人身上，从而将后者打造成天才。如果在大脑里动手术太危险的话，也可以先在某些肢体上采取一些安全办法，这也是微观层次上内涵型 AI 可能会优先考虑的课题。比如，钢琴家在弹奏某段曲谱时，他的大脑会向手部肌肉发出一系列神经电信号，若能将这一系列的神经电信号同时并安全地搭接到另一个人的手部，那么这个人也将不由自主地开始弹奏钢琴。钢琴在后者手上产生的感觉信息，将通过他自己天生的神经通道安全地上传到大脑中，这当然可视为钢琴家的脑电信号被间接、精准而安全地输入到了另一个人的大脑中。其结果就是，后者也许很快就能学会弹钢琴，并在自己的大脑中安全地形成新的表征钢琴技能的神经回路。

结　语

曾经，“意念控制”被认为是痴人说梦，如今，它早已变得轻轻松松，甚至连老鼠和猪都能用意念玩转游戏。曾经，“猜心术”被认为是骗人把戏，如今，它早已变成现实，只需扫描你的脑电图，便可一眼看穿你的情绪和部分心思。曾经，人是人，机是机，人机彼此相分离；如今，人即是机，机即是人，小小脑机接口就让你与机器密不可分。其实，这些都还不是最玄幻的事情，因为我们在《人工智能未来简史》中，已经以严谨的科学态度，基于神经生物学、脑科学、微电子学和虚拟现实等领域的成就，展示出了一幅更玄幻的内涵型人工智能愿景。换句话说，也许在将来的某天，你可轻松成为全球第二的钢琴演奏家和画家等，更准确地说，你能在瞬间学会偶像的任何技能。也许在将来的某天，任何人都能轻松掌握全球的既有知识，轻松与他人进行不动声色的意念通信。如此愿景到底能否实现，到底能在多大程度上实现，以及何时能实现等，其实既取决于脑机接口的进展（即人类能否更精准而全面地检测、提取、产生、复制和输入相关神经元的电脉冲，激活或重组某些神经回路），更取决于与脑机接口相伴的安全。毕竟，对普通信息系统来说，黑客攻击要的是钱；而对脑机接口来说，黑客攻击要的可是命！所以，脑机接口大规模应用的前提，就是与其相伴的信息安全能得到足够的保障