美国政府“全押”AI计划：隐私与安全隐患重重

美国政府正在推行一项雄心勃勃的“AI优先战略”，旨在将人工智能深度融入其核心职能。7月23日公布的一项新行动计划印证了这一重大举措，标志着联邦机构全面转向利用人工智能。近期多项举措也凸显了这一承诺，包括美国国防部向Anthropic、谷歌、OpenAI和xAI等领先AI公司授予了2亿美元合同。值得注意的是，埃隆·马斯克的xAI公司推出了“Grok政府版”平台，旨在通过总务管理局促进联邦机构采购AI产品。

这项战略的核心支柱之一是整合大量敏感的政府数据。报告显示，名为“政府效率部”的咨询小组已开始从财政部和退伍军人事务部等多个联邦部门访问并整合个人信息、健康记录、税务详情以及其他受保护的数据。最终目标是将这些多样化的信息汇集到一个单一的集中式数据库中。

尽管提高效率的驱动力显而易见，但这种对AI的迅速采纳，尤其是在涉及敏感信息时，已引发专家对潜在隐私和网络安全风险的严重担忧。随着数据访问的严格限制等传统预防性防护措施似乎正在放松，这些担忧被进一步放大。

伊利诺伊大学厄巴纳-香槟分校的AI与安全专家Bo Li强调了数据泄露的直接危险。当AI模型使用机密信息进行训练或微调时，它们可能会无意中记住这些信息。例如，一个在患者数据上训练的模型，可能不仅能回答关于疾病流行率的一般性查询，还可能无意中泄露特定个人的健康状况、信用卡号、电子邮件地址或家庭住址。此外，如果这些私人信息被用于训练或作为生成响应的参考，AI可能会推断出不同个人数据之间新的、可能具有破坏性的联系。

乔治城大学安全与新兴技术中心的AI与网络安全专家Jessica Ji指出，将来自各种来源的数据整合到一个大型数据集中，为恶意攻击者创建了一个“无法抗拒”的目标。黑客不再需要入侵多个独立机构，而是可能通过攻击单一的集中式数据源，获取前所未有的信息宝库。历史上，美国机构一直刻意避免将个人身份信息（如姓名和地址）与敏感健康状况关联起来。现在，为AI训练整合政府数据带来了重大的隐私风险。AI系统在大数据集中建立统计联系的能力，特别是包含财务和医疗信息的数据集，带来了抽象但深刻的公民自由和隐私挑战。个人可能会在完全不理解这些影响如何与AI系统相关联的情况下受到不利影响。

Li进一步阐述了可能发生的特定网络攻击。“成员攻击”允许攻击者确定特定人员的数据是否包含在模型的训练数据集中。更严重的“模型反演攻击”则超越了简单的成员判断，使攻击者能够从训练数据中重建整个记录，可能揭示一个人的年龄、姓名、电子邮件甚至信用卡号。最令人担忧的是“模型窃取攻击”，它涉及提取AI模型的核心组件或参数，然后可以用于泄露更多数据或复制模型以达到邪恶目的。

尽管正在努力保护这些高级模型，但一个完整的解决方案仍然遥不可及。Li指出，“防护模型”可以充当AI防火墙，识别并过滤输入和输出中的敏感信息。另一种策略是“遗忘”，旨在训练模型忘记特定信息。然而，“遗忘”可能会降低模型性能，并且不能保证完全擦除敏感数据。同样，防护模型需要持续且日益复杂的开发，以应对不断演变的攻击和信息泄露载体。正如Li总结的那样：“防御方面有所改进，但尚未找到最终解决方案。”

除了技术挑战，组织和流程方面的风险也十分突出。Ji强调，快速采纳AI的推动力往往来自高层，这给基层员工带来了巨大压力，要求他们快速实施系统，而没有充分考虑潜在后果。这可能导致对数据内部流通缺乏控制和可见性。例如，如果一个机构缺乏明确的政策禁止员工使用商业AI聊天机器人，员工可能会无意中将敏感代码或内部数据输入到这些外部平台以寻求帮助。这些数据随后可能被聊天机器人提供商用于其自身的训练目的，从而产生一种看不见的、不受控制的暴露风险。

专家们普遍建议将安全性放在首位。Ji建议根据AI工具的独特性质调整现有的风险管理流程，强调组织必须彻底评估风险和收益。Li强调，当务之急是将每个AI模型与防护措施配对，作为基本的防御机制。此外，持续的“红队演练”（即道德黑客模拟攻击以发现漏洞）对于及时发现新弱点至关重要。随着美国政府在AI领域“全力投入”，平衡创新与强大的安全和隐私措施的需求从未如此关键。