XiaoMi-AI文件搜索系统
World File Search SystemDHS
对抗性人工智能威胁的风险和缓解策略:国土安全部 S&T 研究
执行摘要 本报告是“准备”系列研究的一部分,1 该系列研究探讨了从新兴技术到极端天气和气候的影响,以及国土安全部 (DHS) 科学技术局 (S&T) 可以寻求的机会来支持该部门的任务。本分析的重点是对抗性人工智能 (AAI) 带来的风险——这种威胁可能会破坏我们对来自数字内容的信息的信任,但这种威胁可能以与传统网络安全威胁截然不同的方式出现,可能需要独特的技能才能理解和应对。本报告反映了国土安全部的总体科学和技术任务与国土安全部部分部门之间就 AAI 造成的当前风险状况进行的讨论;国家实验室和学术界就减轻这些攻击的潜在能力进行的讨论;但更广泛地说,它作为如何制定应对当前和未来 AAI 威胁的战略的参考。它以 2023 年 6 月举行的 S&T 国际研讨会“对抗性 AI 威胁的风险和缓解策略”为基础。总的来说,这项研究的贡献者包括国内外专家和政策制定者,他们认识到人工智能 (AI) 技术对国土安全的前景和好处很难被高估。它显然有潜力让我们的边境和入境口岸更加安全,最大限度地减少国土安全官员的认知负担,并帮助自动化固有增强国土安全服务、行动和人员的安全性、生产力和效率的流程。然而,人工智能的变革力量带来了新的挑战和新兴风险,即 AAI 或 AAI 攻击。在可能发生的各种形式的 AAI 攻击中(第 2 节中描述),AAI 专家认为逃避攻击和生成性欺骗性 AI 是近期对 DHS 任务的最大威胁。这些 AAI 类型结合起来尤其强大,使用生成性欺骗性 AI 创建的内容来逃避基于模型的推理过程。但是,由于 DHS 的 AI 技术仍处于早期开发阶段,其他 AAI 类型和形式的攻击将成为更大的问题,因为这些 AI 系统也容易受到各种其他形式的利用和滥用。这应该包括 AI“能力”的结合(例如,负责任、道德等)另一个得到 AAI 专家广泛支持的概念是,需要在系统生命周期的早期和整个过程中纳入 AAI 风险的分析和缓解,尽可能从最左边开始,以通过设计促进安全性。在我们的需求流程、AI 安全评估和 AI 标准开发中,在我们的系统工程流程中,以及需要开发全面的测试和评估工具、方法和程序来了解 AAI 风险并减轻系统和任务级别的后续威胁。这需要在测量和评估潜在漏洞程度的艺术和科学方面取得进步,探索使 AI 更加强大的方法。重要的是,我们如何应对 AAI 对国土的新兴影响将需要一个尚不存在的响应生态系统。我们如何努力支持联邦、州、地方、部落和领土执法部门和急救人员应对日益多样化的 AAI 可能性,将需要与这些社区进行新的讨论,以帮助制定优先事项。类似事件响应团队的构建可能很有价值,与 US-CERT 2 类似,但适用于完全不同的情况。与我们的盟友建立广泛的伙伴关系也将有助于在对抗 AAI 方面取得进展,不仅从了解影响,而且从制定标准甚至测试和评估方面。
国土安全部在实施持续诊断和缓解计划方面取得了有限的进展
管理和预算办公室 (OMB) 力求通过加强用于检测可能威胁组织 IT 环境的网络风险的流程和技术来加强国家的网络安全态势。2013 年,OMB 将网络安全确定为跨机构优先目标,并发布了持续管理信息安全风险的指南。1 具体而言,该指南要求联邦机构建立信息安全持续监控 (ISCM) 计划,以帮助识别和应对新出现的网络威胁。ISCM 是一种持续了解信息安全风险、漏洞和威胁以支持组织风险管理决策的做法。通过建立 ISCM,联邦机构可以收集信息,为组织风险管理决策提供信息并提供支持,并减少对硬件和软件资产的威胁。OMB 还要求联邦机构制定计划并设定优先事项,以了解和管理网络安全风险。
OIG-22-62 - 国土安全部可以更好地减轻与恶意软件、勒索软件和网络钓鱼攻击相关的风险
1 https://www.dhs.gov/sites/default/files/2022-04/DHS%20FY21-23%20APR.pdf。2 https://www.cisa.gov/uscert/ncas/analysis-reports/ar20-216a。3 恶意软件是破坏服务、窃取敏感信息或获取私人计算机系统访问权限的恶意代码(例如病毒、蠕虫和机器人),https://www.cisa.gov/report。4 网络钓鱼是个人或团体试图通过使用社会工程技术从毫无戒心的用户那里索要个人信息,通常是通过包含欺诈网站链接的电子邮件,https://www.cisa.gov/uscert/report-phishing。5 https://www.nytimes.com/2016/12/13/us/politics/russia-hack-election-dnc.html。6 https://www.zdnet.com/article/phishing-groups-are-collecting-user-data-email-and banking-passwords-via-fake-voter-registration-forms。7 https://www.cisa.gov/shields-up。8 https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd。www.oig.dhs.gov 1 OIG-22-62
全面实施关键实践有助于国土安全部确保负责任地使用网络安全
人工智能 (AI) 在网络安全中的应用有望增强国家抵御各种网络威胁的能力。例如,人工智能应用程序可用于检测和防御网络攻击。与此同时,它们也可能面临此类攻击的威胁。虽然负责任地使用人工智能有可能帮助解决紧迫的挑战,使世界更加繁荣、高效、创新和安全,但不负责任的使用可能会加剧社会危害,取代和剥夺工人的权力,扼杀竞争,并对国家安全构成风险。1 我们之前曾报告过,网络威胁可能来自寻求经济、政治或军事利益的恶意行为者。2 我们的报告指出,对手会非常积极地利用基于机器学习算法的网络防御系统。联邦机构的努力对于开发能够在检测和防御攻击的同时帮助识别和解决漏洞的软件至关重要。
OIG-22-04 - 国土安全部在满足 DATA 法案要求方面继续取得进展,但挑战依然存在
国土安全部继续在满足《2014 年数字问责和透明度法案》(DATA 法案)规定的报告要求方面取得进展。使用《DATA 法案》下的监察长合规指南,我们发现该部门 2020 财年/第四季度的 DATA 法案提交质量中等,为 84.7 分(满分 100 分),包括非统计和统计测试结果。当排除 DHS 无法控制的第三方错误时,质量从中等(70 到 84.99 分)提高到高(85.3 分)。国土安全部实施了我们之前的审计建议,以提高其 DATA 法案提交中预算和奖励数据的完整性,使支出信息更加透明。然而,系统限制阻碍了联邦紧急事务管理局 (FEMA) 追踪与该部门应对 2019 年冠状病毒病 (COVID-19) 大流行相关的支出的能力。由于 FEMA 在 2020 财年获得了该部门 98%(约 454 亿美元)的 COVID-19 资金,我们得出结论,报告的支出数据不可靠。
OIG-22-62 - 国土安全部可以更好地缓解与恶意软件、勒索软件和网络钓鱼攻击相关的风险
1 https://www.dhs.gov/sites/default/files/2022-04/DHS%20FY21-23%20APR.pdf。2 https://www.cisa.gov/uscert/ncas/analysis-reports/ar20-216a。3 恶意软件是破坏服务、窃取敏感信息或获取私人计算机系统访问权限的恶意代码(例如病毒、蠕虫和机器人),https://www.cisa.gov/report。4 网络钓鱼是个人或团体试图通过使用社会工程技术从毫无戒心的用户那里索要个人信息,通常是通过包含欺诈网站链接的电子邮件,https://www.cisa.gov/uscert/report-phishing。5 https://www.nytimes.com/2016/12/13/us/politics/russia-hack-election-dnc.html。6 https://www.zdnet.com/article/phishing-groups-are-collecting-user-data-email-and- banking-passwords-via-fake-voter-registration-forms。7 https://www.cisa.gov/shields-up。8 https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd。www.oig.dhs.gov 1 OIG-22-62
GAO-23-105927,执法:DHS应加强使用力数据收集和分析
在执法遭遇期间备受瞩目的死亡和随后在2020年夏季的公开示威以及2021年9月在南部边境的事件发生后,总统于2022年5月25日签署了一项行政命令,该命令解决了与武力在联邦执法部门中使用有关的问题。2行政命令指出,加强执法人员与他们所服务的社区之间的信任的重要性,并确保刑事司法系统为所有人提供服务并保护所有人。朝向这些目的,行政命令要求联邦执法机构(包括国土安全部)的负责人确保其机构对武力政策的使用反映了估值和维护人类生命的原则,并且等同于或超过司法部(DOJ)(DOJ)对2022年5月20日发布的武力政策的使用。3总体而言,根据司法部政策,执法人员可以使用合理的武力来控制事件,逮捕或保护自己或他人免受伤害。DHS官员
DHS战略行动计划应对中华人民共和国构成的威胁
6。请参阅https://www.justice.gov/opa/pr/eight-ridividuals-charged-conspiring-act-act-illegal-ager-agen-people-s-republic-china。7。2018年的合成贩运和预防过量预防法(Stop)建立了与美国有关的要求邮政服务(USPS)国际邮件发货。除其他要求外,该法案要求USPS收集有关其货物的高级数据,并与美国海关和边境保护局共享此类信息,并评估有关海外入院Express邮件的费用。8。至少从2017年开始,中国将继续拘留超过一百万的Uyghurs,哈萨克人,吉尔吉斯民族,以及旨在消除被拘留者的文化和宗教身份的实习营中其他穆斯林少数民族的成员,并与CCP IDECIDOLOGY灌输。在这些营地中,有极端的人满为患,睡眠和食物剥夺,医疗忽视,身体和心理虐待以及强迫劳动以及其他虐待。
国土安全部:管理和预算办公室 (OMB) 备忘录 M-24-10 合规计划 – 2024 年 9 月
• 国土安全部副部长,担任主席 • 国土安全部首席人工智能官,担任副主席 • 国土安全部参谋长 • 管理副部长 • 战略、政策和计划办公室副部长 • 科学技术办公室副部长 • 情报和分析办公室副部长 • 打击大规模杀伤性武器副部长 • 国土安全部首席财务官 • 国土安全部首席信息官 • 国土安全部首席隐私官 • 国土安全部公民权利和公民自由官员 • 总法律顾问 • 网络安全和基础设施安全局副局长 • 海关和边境巡逻局副局长 • 联邦紧急事务管理局副局长 • 联邦执法培训中心副主任 • 移民和海关执法局副局长 • 国土安全态势感知办公室副主任、运输安全管理局副局长 • 美国公民和移民服务局副局长 • 美国海岸警卫队副司令 • 美国特勤局副局长
GAO-06-672 互联网基础设施:国土安全部在制定联合公私恢复计划方面面临挑战
自 20 世纪 90 年代初以来,互联网使用的增长彻底改变了我们国家沟通和开展业务的方式。虽然互联网最初是由国防部开发的,但目前其绝大部分基础设施由私营部门拥有和运营。联邦政策认识到需要为严重的互联网中断做好准备,并要求国土安全部 (DHS) 制定一项综合的公共/私人互联网恢复计划。要求 GAO (1) 找出互联网重大中断的例子,(2) 找出在发生重大中断时管理互联网恢复的主要法律和法规,(3) 评估国土安全部促进互联网中断恢复的计划,以及 (4) 评估此类努力面临的挑战。