安全的本质是对抗。

在网络安全领域，当我们试图通过非正常途径进入并控制一台计算机的系统时，我们对抗的是什么？

毋庸置疑，是漏洞，计算机漏洞——更确切地说，是人类的漏洞——因为构成计算机程序的代码，包括其存在的缺陷，都由我们人类写就。

所以，在一定程度上也可以说，安全的本质是人与人的对抗。

2014年年初，《人工智能安全》一书的作者之一王琦带领的KeenTeam开始研究特斯拉电动汽车的安全问题。

尽管在此之前团队从未接触过车载计算机，但大家笃信可以找到特斯拉的漏洞。其原因非常朴素：只要是人编写的程序，就不可避免地会存在漏洞。这个出发点在此前两年，KeenTeam开始尝试破解当时最新的iPhone时就得到过验证。半年多以后，特斯拉总部给KeenTeam颁发的一枚安全荣誉勋章证明了这个朴素的推断依然成立。

在破解特斯拉时，KeenTeam接触了无人驾驶技术。

我们把特斯拉汽车比做一个人，在过去，我们使用传统的网络安全手段通过漏洞去破解特斯拉，无非是在寻找CPU（好比人类的大脑）、操作系统（好比管理身体机能的神经系统、内分泌系统、循环系统等）、APP等的“肉眼可见”的漏洞。

特斯拉无人驾驶所使用的视觉及其背后的人工智能技术，忽然打开了王琦的新脑洞：有没有可能通过视觉的污染或欺骗，去破解这个“人”的“肉眼不可见”的“意识”，让这个“人”做出错误的决策？

这成了KeenTeam研究人工智能安全的最初驱动。随后，包括《人工智能安全》一书的另一位作者王海兵在内的KeenTeam成员，在多种人工智能应用系统、机器学习框架等处发现了大量的安全问题。

在学术界，也悄悄形成了一股关于人工智能自身安全问题的研究热潮。

早期的学术研究显示，经典机器学习模型（如支持向量机）可以被噪声数据或投毒数据欺骗。2014年，学者们进一步发现，深度神经网络很容易被人工智能算法所寻找的对抗样本误导，产生错误的预测或决策。这种“反直觉”的现象很快吸引了大量关注，引发了学者们对人工智能自身安全问题的研究。

同样是《人工智能安全》一书作者的朱军带领的清华大学TSAIL团队，基于长期的机器学习模型算法研究，形成了敏锐的嗅觉，在国内率先开展了深度学习对抗攻击与防御方面的研究，从深度学习的基础原理出发，探讨对抗样本形成的机理，发展对抗鲁棒的深度学习方法。TSAIL团队的学术成果发表在机器学习的主要期刊和会议上，一些算法被主流的开源算法库（如CleverHans、FoolBox）收录，团队因此荣获2021年度吴文俊人工智能自然科学一等奖。基于扎实的理论和算法功底，TSAIL团队一举荣获了由谷歌发起的NeurIPS 2017首届国际AI对抗攻防竞赛全部三个赛道（有目标攻击、无目标攻击和对抗防御）的冠军。

可见，网络安全界和人工智能学术界都在关注人工智能的安全性。

在过去近十年里，我们一起见证了人工智能安全领域的蓬勃发展，人工智能和安全的融合研究与思考逐步成为常态。尽管两个团队分别从应用实践和理论研究的不同角度出发，但殊途同归，我们对人工智能安全的判断和想法不谋而合，于是便一起创作了《人工智能安全：原理剖析与实践》这本书。

安全的本质是对抗。

在网络安全领域，当我们试图通过非正常途径进入并控制一台计算机的系统时，我们对抗的是什么？

毋庸置疑，是漏洞，计算机漏洞——更确切地说，是人类的漏洞——因为构成计算机程序的代码，包括其存在的缺陷，都由我们人类写就。

所以，在一定程度上也可以说，安全的本质是人与人的对抗。

2014年年初，《人工智能安全》一书的作者之一王琦带领的KeenTeam开始研究特斯拉电动汽车的安全问题。

尽管在此之前团队从未接触过车载计算机，但大家笃信可以找到特斯拉的漏洞。其原因非常朴素：只要是人编写的程序，就不可避免地会存在漏洞。这个出发点在此前两年，KeenTeam开始尝试破解当时最新的iPhone时就得到过验证。半年多以后，特斯拉总部给KeenTeam颁发的一枚安全荣誉勋章证明了这个朴素的推断依然成立。

在破解特斯拉时，KeenTeam接触了无人驾驶技术。

我们把特斯拉汽车比做一个人，在过去，我们使用传统的网络安全手段通过漏洞去破解特斯拉，无非是在寻找CPU（好比人类的大脑）、操作系统（好比管理身体机能的神经系统、内分泌系统、循环系统等）、APP等的“肉眼可见”的漏洞。

特斯拉无人驾驶所使用的视觉及其背后的人工智能技术，忽然打开了王琦的新脑洞：有没有可能通过视觉的污染或欺骗，去破解这个“人”的“肉眼不可见”的“意识”，让这个“人”做出错误的决策？

这成了KeenTeam研究人工智能安全的最初驱动。随后，包括《人工智能安全》一书的另一位作者王海兵在内的KeenTeam成员，在多种人工智能应用系统、机器学习框架等处发现了大量的安全问题。

在学术界，也悄悄形成了一股关于人工智能自身安全问题的研究热潮。

早期的学术研究显示，经典机器学习模型（如支持向量机）可以被噪声数据或投毒数据欺骗。2014年，学者们进一步发现，深度神经网络很容易被人工智能算法所寻找的对抗样本误导，产生错误的预测或决策。这种“反直觉”的现象很快吸引了大量关注，引发了学者们对人工智能自身安全问题的研究。

同样是《人工智能安全》一书作者的朱军带领的清华大学TSAIL团队，基于长期的机器学习模型算法研究，形成了敏锐的嗅觉，在国内率先开展了深度学习对抗攻击与防御方面的研究，从深度学习的基础原理出发，探讨对抗样本形成的机理，发展对抗鲁棒的深度学习方法。TSAIL团队的学术成果发表在机器学习的主要期刊和会议上，一些算法被主流的开源算法库（如CleverHans、FoolBox）收录，团队因此荣获2021年度吴文俊人工智能自然科学一等奖。基于扎实的理论和算法功底，TSAIL团队一举荣获了由谷歌发起的NeurIPS 2017首届国际AI对抗攻防竞赛全部三个赛道（有目标攻击、无目标攻击和对抗防御）的冠军。

可见，网络安全界和人工智能学术界都在关注人工智能的安全性。

在过去近十年里，我们一起见证了人工智能安全领域的蓬勃发展，人工智能和安全的融合研究与思考逐步成为常态。尽管两个团队分别从应用实践和理论研究的不同角度出发，但殊途同归，我们对人工智能安全的判断和想法不谋而合，于是便一起创作了《人工智能安全：原理剖析与实践》这本书。