中文版 | 数据投毒：AI驱动战争中优势地位的隐蔽武器

人工智能(AI)与军事平台的快速融合已引发现代战争革命，为决策、侦察与目标锁定提供前所未有的能力。然而，依赖AI系统亦催生关键脆弱性——尤其体现在训练数据集的完整性层面。美军计划推动通过隐蔽行动对对手AI系统实施战略性数据投毒作战。通过隐秘破坏这些系统，可在未来冲突中获得决定性非对称优势。此战略不仅具备作战可行性，更可依托武装冲突法(LOAC)框架确保道德与法律层面的正当性，为AI驱动战争提供伦理法理制高点。

数据投毒机制与战略应用

数据投毒指在机器学习模型训练集中注入污染/对抗性数据，导致模型运行失常。常用技术包括"标签翻转"（篡改数据集标签引发分类错误）与"后门攻击"（植入触发机制导致定向系统故障）。不少军事强国日益依赖AI执行军事决策（含侦察与目标锁定），通过在训练阶段隐秘注入操控数据，可令敌方AI系统效能瘫痪：错误识别装备或误判战场态势（例如敌方无人机识别军用车辆系统可能误判友军装备，战场分析模型或错误解读战场环境）。此战术与非对称作战经典案例形成历史呼应——如第二次世界大战期间密码破译作战，作战层面的干扰即可获取重大战略收益。

对手对数据投毒的防御措施

数据投毒虽可提供战略优势，但对手也可开发防御手段保护其AI模型。这些措施包括数据完整性防护、对抗训练及异常检测技术。确保训练数据供应链安全、可信数据集验证与数据查验，构成对手降低投毒风险的核心方法。

AI模型正增强识别数据异常偏离的能力，使异常检测成为优先事项。对抗鲁棒性训练与差分隐私技术等防御机制助力AI模型识别细微操控，而实时模型监控可探测AI行为偏差并预警潜在篡改。这种多层防御体系持续挑战着数据投毒行动的可行性。

为维持优势，投毒策略需超越报复性行动模式。最高难度与风险的方案是策反对手AI工程师（蓄意操控或利用其AI系统及组件），此举将确保最大成功率。次选方案包括渐进式投毒（注入微小累积性干扰规避检测）与隐蔽后门植入（污染数据仅在特定条件激活），后者是实现长期潜伏的终极目标。

数据投毒的对称性风险

数据投毒非单家可独掌的单边武器，其构成对手正积极研发的对等威胁。正如可采取隐蔽手段削弱对手AI可靠性，亦需防范针对己方系统的平行攻击。此处的对等逻辑非理论镜像，而是动态非对称博弈。模型反演、标签翻转及清洁标签攻击等技术不仅用于破坏对手AI决策，亦可能瘫痪机器学习系统——尤其危及情报监视侦察(ISR)、目标锁定与后勤优化领域。

与既往关注通用AI隐私（如差分隐私）的案例不同，军事应用要求技术针对性：

• 基于污染地形数据训练的ISR分类算法或误判战场战术特征
• 受损视觉训练集导致目标识别系统误认友军
• 受误导的AI后勤工具或错误降级关键物资优先级
  此类非动能攻击虽无物理毁伤，却具有作战级影响力乃至灾难性后果。

若广泛采用开源、商用及涉外数据集，可导致脆弱（含军事与防务关联领域）。美国首席数字与人工智能办公室(CDAO)及联合人工智能中心(JAIC)等机构正布局对抗韧性。对抗训练或区块链式完整性验证等技术防御需与隐蔽作战条令结合。唯有理解此对称性威胁环境，方能主动发展攻防能力，确保AI战场战略优势。

数据投毒作为隐蔽网络行动

数据投毒构成隐蔽网络行动形式——通过操控AI系统影响或削弱外国军事能力的非动能手段。美国防部《5240.01手册》（DoDM 5240.01）规定，国防情报机构可在武装冲突门槛以下开展对外情报与反情报行动（含网络空间行动），只要行动符合《第12333号行政令》（EO 12333）及批准程序。

虽然美军DoDM 5240.01未定义具体网络技术，但允许在适当授权下执行涉及访问或利用外国军事技术的情报活动。在此框架下，当数据投毒用于削弱涉及侦察、目标锁定或作战规划的敌方AI系统时，属于合法隐蔽行动范畴。关键的是，此类操控可于和平时期实施，作为情报驱动的环境塑造努力组成部分。

该准备行动契合美军《联合作战纲要JP 3-05》中"环境预置"(PE)概念。PE包含秘密渗透、持续监视与作战条件营造，为未来行动创造有利态势。通过隐蔽网络或人员手段实施的数据投毒，成为该条令的现代延伸——能在对手决策系统投入战场前实施隐秘削弱。

武装冲突法原则作为隐蔽行动的分析框架

武装冲突法(LOAC)适用于武装冲突期间的军事行动。但在实践中，尤其在实施非常规战争与敏感活动时，LOAC原则常被规范性运用，以确保从战前准备到实战行动的法律伦理连续性。

区分原则
数据投毒虽不直接造成平民伤亡或设施损毁，区分原则仍可指导其目标选择。其核心是选择性削弱关联军事目标的AI系统——如敌侦察、目标锁定或指挥控制系统。例如：向识别军用车辆的监控模型注入污染训练数据时，需规避支持民用基础设施的系统，确保效果始终指向合法军事目标。

比例原则
比例原则禁止军事收益与预期附带平民伤害失衡的攻击，此原则在非动能领域仍具相关性——当行动可能间接影响民用系统时。理论上，数据投毒导致模型误判或引发连锁物理毁伤。为避免此后果，规划者须确保污染模型的触发机制仅作用于作战意义明确且严格界定的军事场景。

必要性原则
军事必要性原则要求任何行动（含隐蔽行动）须产生具体军事收益。数据投毒通过削弱对手对AI决策（尤情报监视侦察/战场解析系统）的信赖满足此要求。但技术效果需审慎评估："确保误识别"的论断需更严谨表述，应修正为："定向篡改目标分类数据可能统计性增加对手模型误识概率，削弱其决策优势。"

同理，操控侦察数据集可致敌方AI系统误读地形或兵力部署。此举虽非必然导致误判，但会诱导系统输出偏差结论——若配合伪装、诱饵等欺骗行动效果尤甚。目标非无差别故障，而是受控削弱对手系统决策质量。

因此，区分、比例与必要性三项LOAC原则为数据投毒等隐蔽塑造行动提供政策指导框架。虽在和平时期或武装冲突外情报搜集场景无法律约束力，但其应用能确保隐蔽网络行动。

政策考量
AI在军事行动中角色深化既创造机遇也催生脆弱性。数据投毒作为高性价比、可扩展手段，能对技术先进对手施加不对等代价。实施投毒成本低廉，而对手检测与消解攻击的财务与操作负担巨大。

关键前提是：不预设对手遵守国际规范或关注其AI系统完整性。相反，预判对手可能继续使用已降级或部分受控系统——尤其当系统仍具破坏性产出时。此时数据投毒的战略收益不在迫使合规，而在侵蚀对手信心、增加误判风险，通过延迟/误击/过度修正削弱战场效能。

数据投毒行动亦存战略叙事风险：若受污染对手AI系统致平民伤亡，对手或嫁祸友军（尤其发现隐蔽干预证据）。这要求精准目标选择、伦理监督及先制信息战策略，以塑造全球认知维护合法性。隐蔽行动须权衡其在物理域与叙事域的潜在意外后果。

然而，削弱对手对AI的信任可诱发犹豫、操作失误与战略瘫痪。例如：对目标识别算法的不信任或迫使对手回归低效人工决策。纵使对手继续使用受控系统，其性能降级仍带来战术战略收益。

尽管承认数据投毒或削弱全球对AI信任，但保障国家安全与护佑官兵的迫切性，使其在具备法律授权、作战纪律与伦理监督前提下具备应用正当性。

结论

数据投毒作为隐蔽能力体系的新锐力量，在AI驱动战争演进格局中提供独特优势。随着AI日益定义现代军事运作模式，在对手系统实战部署前实施隐秘降级的能力，使得以预先塑造战场——无需直接对抗或公开升级。

此能力非无风险：对手或继续使用受污染AI达成破坏效果，或利用此类行动宣传造势，将责任转嫁并削弱其公信力。故数据投毒运用须受作战纪律、法律监督与战略连续性约束，其使用应配合在争议域维护道德与叙事优势的整体工作。

最终，未来战争决胜关键非仅取决于谁建造最先进AI系统，更在于谁能最有效利用、削弱并控制支撑这些系统的底层数据环境。通过将进攻性防御性数据战略整合至连贯国安框架，可不费一枪一弹赢得AI战场持久优势。

参考来源：美国西点