动态分析丨生成式人工智能与2024年美国大选
随着生成式人工智能的应用越来越广泛,人工智能对选举基础设施的安全性和完整性所产生的影响也越来越令美国感到担忧。不少官方和民间研究机构均针对这一问题进行了研究,本文将基于美国网络安全与基础设施安全局近期发布的报告《风险聚焦:生成式人工智能与2024年美国选举周期》,介绍生成式人工智能的功能、试图干预选举者如何利用这些功能破坏选举基础设施的安全性和完整性,以及缓解生成式人工智能风险的基本措施。
报告指出,人工智能具备增强选举安全和选举管理的潜力。然而,人工智能也可能带来负面影响,例如,包括相关国家实体和网络行为者在内的恶意行为者有可能出于特定目的利用人工智能。对于2024年美国总统选举,报告认为,生成式人工智能或许不会带来新风险,但有可能扩大选举基础设施面临的现有风险。
一、生成式人工智能的分类
生成式人工智能是一款利用统计模型来概括现有数据模式和结构的软件,能够重组现有数据或创造新内容。这些内容的创造途径包括编写计算机代码、撰写新文本、开发合成媒体(如视频、图像和音频文件)等。恶意行为者使用生成式人工智能的示例如下表所示:
二、人工智能针对的潜在选举相关目标
相关行为者能利用生成式人工智能工具降低网络事件和影响力推广活动的成本并扩大其规模。在网络事件方面,相关行为者有可能利用生成式人工智能来创建能规避网络安全防御系统的软件。该软件能实现更有效的分布式拒绝服务(DDoS)攻击,通过向网站(包括选举相关网站)灌输大量数据使其瘫痪。相关行为者还可能利用生成式人工智能来协助部署网络钓鱼和社交工程技术,利用任何个人的声音生成逼真的音频,创建高度逼真的虚假图像,伪造社交媒体资料,利用深度伪造技术支持影响力推广活动。这些策略和攻击类型并非什么新鲜事,但生成式人工智能能使相关行为者以更快的速度、更复杂的手段和更低的成本实施这些策略和攻击。利用人工智能干预选举的潜在示例包括:
三、美国可能采取用于缓解人工智能风险的措施
最后,报告指出,尽管人工智能的发展及其利用会影响选举,但选举官员完全有能力有效缓解这些潜在风险。选举官员已熟悉网络钓鱼、他国影响力推广活动和虚假信息活动等风险,而生成式人工智能能加剧这些风险。许多针对生成式人工智能增强型风险的最佳缓解措施,与专家多年来一直推荐且选举官员很可能已经制定的网络安全最佳举措一致。针对上述风险,报告提出4类措施以缓解人工智能可能对2024年美国大选造成的风险,具体包括:
1.防范人工智能驱动的网络钓鱼和社交工程攻击
构建并强制执行强大的网络安全协议,如多因素身份验证(MFA),特别是线上快速身份验证(FIDO)等防范网络钓鱼的多因素身份验证,以及端点检测和响应软件。
采用电子邮件验证安全协议,如基于域的消息验证、报告和符合性(DMARC)、发件人策略框架(SPF)和域名密钥识别邮件(DKIM),以更好地防范电子邮件欺骗。
通过不断变更来强化个人和组织的社交媒体账户,如尽可能使用最强效的安全和隐私控制措施、停用或删除不再使用的个人资料,以及从社交媒体资料中删除任何个人身份信息(PII)。
逐步落实零信任安全原则,防止未经授权的数据和服务访问,并尽可能具体、详细地执行访问控制。美国网络安全与基础设施安全局(CISA)的零信任成熟度模型(Zero Trust Maturity Model)提供了一系列实施建议,有助于实现向零信任安全原则的过渡。
2.防范人工智能驱动的冒名顶替和骚扰行为
- 保护自身:
考虑将个人社交媒体账户设置为私密账户,这样相关行为者就难以获取用户的形象和语音。
定期在公共记录网站上删除个人信息。
通过不断变更来强化个人和组织的社交媒体账户,如尽可能使用最强效的安全和隐私控制措施、停用或删除不再使用的个人资料,以及从社交媒体资料中删除任何个人身份信息。
向相关部门举报骚扰事件。
- 保护敏感信息:
在发布敏感信息前,即使是在选举工作人员内部发布,也要通过二次质询来确认发布请求,并考虑对实时通信进行身份验证。
采用仅有授权人员才知道的滚动密码,防范虚拟的冒名顶替行为,特别是在投票活动期间。
教育职员提防潜在的冒名顶替行为。
3.为人工智能生成的内容超出响应带宽制定计划
- 主动沟通:
如果符合条件,注册.gov website domain,以方便表明政府组织的身份。
确保公众可查看、可访问所有官方网站和社交媒体账户。
与当地媒体和社区领袖建立关系,打造一支值得信赖的发声团队,以便在不良事件发生时发布准确的信息。
通过多种信息渠道(如线上阅览室、网站、社交媒体、预录信息和传统媒体)提前提供常见问题的解答。
- 实施技术管控,限制非真实请求:
人类身份验证工具,如零信任身份、验证码(CAPTCHA)和物理验证,可将人类用户与自动化程序区分开来。在选举表单和开放记录申请中使用此类工具,可显著减少选举办公室收到的非真实申请的数量。不断审查身份验证工具,以确保它们能够适应不断演变的技术能力(包括人工智能的能力),例如,通过采用基于“人工智能加固”任务的工具,或采用与硬件关联的软件操作,如旋转手机。
4.做好应对人工智能驱动的他国影响力推广活动和虚假信息活动的准备
- 宣传选举安全措施:
如果符合条件,注册.gov website domain,以方便表明政府组织的身份。
与当地媒体和社区领袖建立关系,打造一支值得信赖的发声团队,以便在不良事件发生时发布准确的信息。
考虑使用水印等主动身份验证技术来标记参选者的内容,以表明该内容来源,并且能在凭证应用后识别文件何时被更改。
与供应商探讨对选举相关记录采用来源验证措施。
继续通过沟通增强公众对选举安全措施的信任,例如制定谈话要点,传达基于事实的证据,解释选民为何应该对选举流程的安全性充满信心。
- 做好应对准备:
对职员进行培训,使其掌握应对可疑媒体操纵的标准程序,并了解在组织内部举报此类活动的机制。
思考如何验证发布于组织外部的选举信息(签名、散列、水印等)。