互聯網給人們帶來了無盡的便捷，但這種便捷的同時也給安全守護帶來了難題。

就像霍格沃茨里邊的魔法師們在守護平凡人的安全一樣，在阿里安全部，也有一群“老法師”的，他們在用先進的技術施展“數字魔法”，保護阿里巴巴的海量數據免受邪惡力量的侵害。

01

阿里巴巴控股集團下面有很多子集團，淘寶、天貓、閑魚、飛豬、盒馬等等共同組成了“阿里動物園”，每個動物都無差別地面臨一波又一波像“吸血蟲”一樣黑產的威脅。

這些黑灰產業為了利潤無孔不入，比如“賣假貨”、“刷單”、“惡意引流”等。

在過去十幾年的持續對抗下，這些“正常的作案方法”已經能被安全系統有效攔截。然而，正常的方法不行，黑產者們往往另辟蹊徑，不斷試圖繞過安全系統繼續作惡。

以“內容安全”為例，“擦邊老司機”是出現得比較多的情況。

這群人會把要表達的違規信息用奇葩的方式暗藏在文字或圖片里，比如這樣的：

這種“藝術字”，人能明白，安全系統識別起來就很費勁。

這樣的：把電話號碼寫在一個復雜圖案的紙上

比如這樣的：用紙把貨品的商標擋住一半，但是你我都能認出這是啥牌子

要說背后的原理，其實并不復雜：

語言的意義有很多層次，從淺層的意義到深層的意義，如果壞人表達的內容在淺層意義上就違規了，那很簡單，可以直接用規則封禁。但是！“人”和“機器”理解世界有一個深度差——某個深層意義空間，人的思維夠得到，機器的思維夠不到。

壞人就會鉆進這個深層空間，達到“懂的人都懂，但安全系統不懂”的目的。

面對這種情況，安全工程師可以針對這個區域訓練一個專門的“AI 小模型”作為補丁。然而問題在于：這個補丁照亮的區域太小，而且不夠靈活。“擦邊老司機”能把同一個意思變化出成千上萬種姿勢表達，一種姿勢被察覺，他馬上又推陳出新。

如此，安全系統一直得追著壞人屁股后面跑，為了持續壓制壞蛋，法師們必須想辦法把燈籠換成探照燈，徹底照亮深層意義空間里的一切。

終于到了2023年初，“關鍵先生”終于出場了，它就是人工智能大模型！

02

2023年春天，阿里巴巴內部完成了神秘的自研大模型項目——“通義千問”。而幾乎同時，阿里安全團隊也基于“通義千問”這個大腦制造了一個能橫掃牛鬼蛇神的“變形金剛”！

通義千問這樣的大模型，就像一個高中生，它雖然具有“通識”，但它的通識主要是“打雷要下雨，下雨要打傘”這種層面的，不會在某個領域有“特長”；

要解決這個問題，就需要讓通義千問去大學里繼續深造，而深造的“教材”就是各種違規內容的”毒數據“集——這種數據越多，大模型就學得越透徹！

更重要的是，阿里這些年來攢下來的違規內容都被存了下來成為“教材”,這是阿里比其他公司具備的最有優勢的“養料”。

早在2017年，剛剛負責大安全團隊時，錢磊就有兩個判斷：

1）安全一定是個“大數據”的活兒。

2）開采大數據的最好手段一定是 AI。

正是在錢磊的不斷要求下，最有價值的數據都被攢了下來。

除了“毒養料”以外，阿里的所有代碼都在系統里儲存形成了一套恢弘的“代碼生命周期數據體系”，而且這套質量極高的“代碼安全開發教材”獨此一家，全世界都別無分號。

大模型煉成之后，它能同時理解成千上萬行代碼的前后邏輯，于是很多以前人工檢查漏過的“邏輯漏洞”和“越權漏洞”，直接就浮現出來了，代碼質量躍升！

同時，工程師越用大模型做日常“體檢”，這個變形金剛就越聰明。這個過程，其實對模型的工作給出了非常好的反饋數據，反饋也會沉淀在數據系統里，成為“教材”的一部分。

就這樣，鑄成了“御風安全大模型”。

03

“御風安全大模型”主要有三個特點：

第一個特點，這個變形金剛能“以一敵百”。

深層意義空間被照得雪亮，原本需要將近100個小機器人才能勉強照顧的局面，現在一個變形金剛都能搞定，算下來，處置單位風險消耗的算力成本反而更低。

第二個特點是，這個變形金剛居然還能“融會貫通”。

把“暴力”和“色情”的數據混在一起給御風大模型學，比單獨學習“暴力、學習“色情”之后對兩者的識別能力都要強。這種多任務學習的能力，說明人類思維的不同側面存在一些深刻的聯系，也意味著他們這些年攢下的豐富維度的數據比想象中更有價值！

第三個特點：變形金剛還會“七十二變”。

舉個例子，現在的御風大模型可以識別各種黃圖、各種毒品、各種違法辱罵暴恐言論，但這還不夠，因為文化總是在流變中！

假如有一天星際迷航里的“V字手勢”突然被大家認為是不雅的，那么只要給御風大模型描述一下這個手勢，或者看一張“V字手勢”的圖，它馬上就能明白你的意思，幫你在億萬圖片里把這樣的內容都挑出來。

整個策略升級的過程不過幾分鐘。

這是因為，大模型在訓練時就已經掌握了各種“背景知識”，比如什么是手、什么是手指、什么是手勢、以及手指和手掌的生物學關系等等。。。

對他來說，只要把這些背景知識組合起來，就能幻化出千萬種新意義。

04

大模型的變形金剛確實厲害，但身上的責任可就太重了，思維必須清晰，不能出現絲毫差池。

那么，誰來保證大模型的思路清晰？那就是在大模型畢業之前對它進行一場“加訓”。他們的方法就是用一個大模型來做另一個大模型的智能護欄。

那么，阿里的老法師能召喚變形金剛，壞人也可以啊！而且現在很多大模型都開源了，難道壞人就不用嗎？

當然可以，在目前視野內，壞人使用大模型造成的最大威脅就是“P圖”。

比如這兩張圖：

雖然乍一看上去是兩張圖，但如果你仔細分辨人物動作和神態，不難發現他們的的相似性。

這種操作對內容原創是個巨大的威脅。

為了解決這種問題主要的是兩種方法：“被動篡改檢測”和“主動篡改檢測”

“被動篡改檢測”：光線照在一個物體的表面，明暗和色彩的過渡都應該是平滑漸變的，就像一個鏡子，整個平面過渡都是光滑的。

正常拍攝的照片，其中的光影就像鏡子一樣平滑。

但是，如果用PS做圖，也許會騙過人眼，但一定會破壞這種“光照和色彩的平滑性”。設計出一種算法，能夠檢測出一張圖片里的“平滑性破缺”，不就能證明它被P過嗎？而且平滑性破缺的位置，不就是被P的位置嗎？這就是“被動篡改檢測”的基本思想。

而“主動篡改檢測”就是在圖片上加水印！不過這個水印不僅包括“明水印”，還包括不影響圖片觀感的“暗水印”。

暗水印的原理有點像“紙幣防偽”：在圖片中找到一些像素點，把它們的參數做一些微調，人眼看上去沒有變化，但用特殊的算法“照射”，水印就能顯現出來。

如果一張圖是加過水印的，那么只要有人P過，改動位置的水印肯定就被覆蓋了！

由于不影響人的實際觀感，所以圖片上的暗水印可以打得很密集。

05

其實，用軍事來理解安全也是一種比較好的方法：

一個完整的作戰體系，是多層次的，最下面是基礎科技，中間是工業制造體系，上面是武器平臺和技戰法。

一個安全體系，也是多層次的：下面是各項技術，中間是工程基建，上面是安全產品和運營策略。

帶著這個觀點，我們再來遠望“阿里動物園”，一切都變得清晰可辨。

1、前方的“變形金剛”雖然酷炫，但它并非萬能，是眾多安全產品全家桶中的一員；

2、而在中間，阿里集團安全部這么多年默默建立起來的各大數據平臺和數據運營體系，才是誕生和供養變形金剛和諸多機器人的營養；

3、在最后方，這群老法師十幾年如一日對新技術的執念和探索，春種和秋收，才是一切得以誕生的土壤。

全世界大多數中小國家只能采購軍火，而真正能理解并且玩轉一整套“軍事體系”的國家屈指可數，可能只有美、歐、俄、中。

因為只有大國才面臨足夠復雜和長期的威脅，能夠進化出這套體系。

同樣道理，全世界能運營頂尖“安全體系”的公司也是屈指可數。

阿里巴巴之所以能夠成為全世界能夠玩轉“安全體系”的寡頭之一，正是有著厚積薄發的積累以及不斷的升級打怪，阿里集團安全部的老法師每天做的都是如履薄冰，因為：只有技術才是正義永遠可以仰仗的后盾。

本文參考和引用淺黑科技《我在阿里造“軍火”》一文