人工智能（AI）技術的近期發展為許多傳統人工智能應用帶來了突破，比如計算機視覺、自然語言處理、機器人和數據挖掘。因此，最近也有許多工作將人工智能的新發展用於軍事應用，如監視、偵察、威脅評估、水雷戰、網絡安全、情報分析、指控、教育和訓練。然而，人工智能在有可能得到軍事應用的同時，也存在許多挑戰，比如：

（1）軍事行動的高風險意味着軍事人工智能系統必須保證透明，以取得決策者的信任並便於進行風險分析，而許多人工智能技術都是缺乏足夠透明性的黑盒；

（2）軍事人工智能系統必須魯棒且可靠，而人工智能技術則可能易受難以察覺的輸入數據操控攻擊的影響，輸入數據操控方甚至不需要了解所用的人工智能技術；

（3）許多人工智能技術是基於機器學習的，需要大量訓練數據，而軍事應用中通常缺乏足夠的數據。本文給出了一些正在開展項目的結果，試圖闡明人工智能軍事應用的可能性和所面臨的挑戰，以及如何解決這些挑戰。

人工智能，特別是其分支領域機器學習（ML）和深度學習（DL），在十年內已經從研究機構和大學中的原型開發演變為實際應用。利用深度學習技術的現代人工智能已經讓傳統人工智能應用的性能發生了革命性變化，比如機器翻譯、問答系統和語音識別。這一領域的眾多進步也將很多奇思妙想變成了了不起的人工智能應用，能夠實現圖像描述、脣讀、語音模仿、視頻合成、連續控制等功能。這些結果表明，具有自我編程能力的機器有以下潛力：

（1）提高軟件和硬件研發費用的使用效率；

（2）以超人類的水平執行特定任務；

（3）為人類之前從未思考過的問題提供創造性解決方案；

（4）在人類容易作出主觀、偏頗和不公平決定的領域，提供客觀公正的決策。

在軍事環境中，人工智能的潛力展現在了戰爭的各個領域（陸、海、空、天和信息域）和各個層級（政治、戰略、戰役和戰術級）。具體而言，例如在政治和戰略級，可以利用人工智能製造和發布大量虛假信息，打亂對手陣腳。此時，人工智能很可能也是防禦此類攻擊的最佳手段。在戰術級，人工智能能夠提高無人系統中的部分自主控制能力，這樣操作人員就能更有效操控無人系統，最終增強戰場影響力。

然而也有幾個關鍵挑戰可能會延緩或限制現代人工智能的軍事應用：

· 機器學習模型的透明性和可解釋性不足。例如，使用深度學習對利用深度神經網絡（DNN）的自動駕駛車輛控制問題建模時就需要幾十萬個參數。顯然，如此復雜的程序很不容易解釋。即使是在處理玩具問題時，用實現了模型可視化的其他機器學習算法生成的模型也很難解釋。由此引發的一個相關亦或更加重要的挑戰是人工智能系統不能向決策者或操作人員解釋其推理過程。

· 使用機器學習開發的模型在面對對手攻擊時十分脆弱。例如，通過操控輸入信號，攻擊者很容易欺騙基於深度學習的模型，即使他們並不瞭解這一模型。舉例說明，利用精心設計的地面偽裝模型就可能能夠欺騙使用先進目標探測技術的無人機。

· 任何機器學習應用的主要要素都是數據，機器要利用數據進行學習並最終提供深入洞察能力。軍事組織通常善於收集數據用於情報或復盤。然而這並不能保證相同的數據同樣能夠成功用於機器學習。因此，軍事組織需要改變其數據收集過程，以便充分利用現代人工智能技術，如深度學習。

本文旨在闡明人工智能軍事應用的可能性和麪臨的主要挑戰。第二部分簡要介紹了深度學習，這也是本文主要關注的人工智能技術。第三部分舉例說明瞭幾種人工智能軍事應用。第四部分闡述了人工智能軍事應用面臨的主要挑戰，以及一定程度上解決這些挑戰的技術。第五部分為結語。

深度學習是指包含多層非線性處理單元的機器學習模型。這類模型以人工神經網絡為典型代表。在這裏，一個神經元指一個單一的計算單元，計算單元的輸出是已通過（非線性）激活函數（例如，只傳導正信號的函數）的輸入的加權和。深度神經網絡（DNN）則指將大量並聯神經元層級串聯起來的系統。與之相對的是僅有一層並聯神經元的淺層神經網絡。

直到大約十年前，深度神經網絡的訓練還幾乎不可能。首個成功的深度網絡訓練策略是基於一次訓練一層。最後利用隨機梯度方法對逐層訓練深度網絡參數進行精調，最大程度提高分類準確率。之後的許多研究進展使得直接訓練DNN成為可能，不用再進行逐層訓練。例如，網絡權重初始化策略結合激活函數選擇十分關鍵。甚至像訓練階段中的讓神經元隨機失效以及在信號到達激活函數之前進行歸一化這樣的技術對於利用深度神經網絡達成良好結果也十分重要。

表示學習是實現深度神經網絡高性能的主要原因之一。通過深度學習和深度神經網絡，不再需要人工編制學習某個特定任務所需的特徵。而是由深度神經網絡在訓練期間自動學習鑒別特徵。

當前，支撐深度學習應用的技術和工具可用性更高了。通過廉價的計算資源、免費的機器學習框架、預先訓練好的模型、開源數據和編碼，僅僅利用有限的編程/腳本技術就能成功使用和定製先進的深度學習能力。

本節介紹了幾個利用人工智能增強軍事能力的實例。

海上監視可利用固定雷達站、巡邏機、船隻完成，近年來還使用自動識別系統（AIS）對海上船隻進行電子跟蹤。這些信息源提供了大量船隻運動信息，可能揭露非法、不安全、威脅性以及異常行為。然而，由於有關船隻運動的信息量很大，人工檢測此類行為十分困難，可利用機器學習方式根據船隻運動數據生成正態模型。任何偏離該正態模型的船隻運動都被視為異常行為，並呈現給操作人員進行人工檢測。

早期的海上異常探測方式使用Fuzzy ARTMAP神經網絡架構基於港口位置建立正常船隻速度模型。另一種方式是使用運動模式聯想學習來預測基於船隻當前位置和航向的船隻移動。還有其他方式使用基於高斯混合模型（GMM）和核密度估計（KED）的無監督聚類。以上模型能夠檢測出改變方向、跨越航線、向相反方向運動或高速航行的船隻。較新一些的方式則使用貝葉斯網絡探測虛假船隻類型，以及不連貫、不可能和走走停停的船隊運動。海上異常探測的未來發展也應當考慮周邊船隻以及多艘船隻間的相互作用。

水雷會對海上船隻造成重大威脅，用於引航或阻止船隻通過管制水域。因此，反水雷（MCM）對抗措施則是要定位並消除水雷威脅，實現艦艇自由航行。水雷搜尋任務越來越多地利用裝備有合成孔徑聲吶（SAS）的自主潛航器（AUV）執行，提供海底釐米級分辨率聲波成象。由於自主潛航器會收集大量的SAS圖像，因而可採用自動目標分類方式區分潛在水雷與其他物體。水雷自動目標分類已經研究多時，而將高性能深度神經網絡用於圖像分類的研究熱潮也讓軍方開始關注如何將此類方式用於自動水雷探測。

幾項研究證明瞭深度神經網絡用於水雷探測的潛力。例如，有研究進行了利用帶SAS的自主潛航器探測海底的實驗。結果證明，與傳統目標分類器相比，採用深度神經網絡方式檢測到水雷形狀的概率要高得多，虛警率則要低得多，因而性能更好。同樣，還有研究闡述瞭如何生成柱狀物體和各種海底地貌的合成SAS圖像用於訓練深度神經網絡。未來研究可能探究如何從各類雜亂物體中區分出水雷，將探測與分類相結合，以及如何解決噪聲、模糊性和遮擋問題。

入侵檢測是網絡安全措施的重要組成，用於在惡意網絡活動危及信息可用性、完整性或保密性之前將之檢測出來。入侵檢測通過區分網絡業務是正常業務還是入侵行為的入侵檢測系統（IDS）實現。然而，由於正常網絡業務通常與實際攻擊特徵相似，網絡空間安全分析人員需要分析所有入侵預警情境，判定是否存在真正的攻擊。基於特徵的入侵檢測系統通常擅長檢測已知攻擊形式，無法檢測以前沒見過的攻擊。再有，由於需要大量專業知識和技術，基於特徵的檢測開發通常緩慢且昂貴，降低了系統對快速變化的網絡威脅的適應能力。許多研究使用機器學習和其他人工智能技術來提高對已知攻擊的分類準確率，探測異常網絡業務（因為這可能意味着偏離正常網絡業務的新攻擊類型），以及實現自動模型構建。然而，這些系統幾乎沒有運行使用。原因在於入侵監測帶來的特定挑戰，比如缺乏訓練數據、網絡業務中的巨大可變性、高差錯成本，以及執行相關評估困難等。即使可採集大量網絡業務數據，信息也通常是敏感的，且僅能部分實現匿名。使用仿真數據是另一種方法，但卻通常真實性不足。然後必須標記數據，以實現監督學習，判定業務模式是正常活動還是入侵行為，或進行異常檢測，保證可防範攻擊的匿名探測，而這點通常很難實現。最後，模型需要透明，這樣研究人員才能瞭解檢測的侷限性和特徵的顯著性。

另一種增強網絡安全的方法是安全審計中的滲透測試，目的在於識別可能被利用的安全缺陷。基於網絡的復雜性以及許多網絡中主機數量龐大，滲透測試通常自動進行。一些研究研究了人工智能技術可能怎樣用於使用網絡邏輯模型而非實際網絡的模擬滲透測試。網絡通常用攻擊圖/樹表示，攻擊圖/樹描繪了對手如何利用網絡脆弱性侵入某一系統。有文獻則描述了不同模型在其表徵方式上的不同：（1）攻擊者不確定性，從抽象的成功和檢測概率到網絡狀態的不確定性；（2）攻擊者行為，從已知前置條件和後置條件到結果的一般感測和觀測。另外，採用網絡和主機形式模型，可以執行不同攻擊減輕策略的模擬假設分析。未來滲透測試研究很可能使用攻擊者和防禦者之間相互作用的認知有效模型以及深度強化學習來研究可能發生攻擊這一巨大問題空間。

如上文所述，在開發和部署用於軍事用途的人工智能應用之前，還有幾項重大挑戰未解決。本節將探討人工智能軍事應用面臨的最主要挑戰：（1）透明性；（2）脆弱性；（3）在訓練數據有限條件下學習。其他重要但非關鍵性問題，本文不做討論。

除需要高性能外，許多應用還有高透明性、高安全性以及用戶信任或理解需求。這些需求包括安全關鍵系統、監視系統、自主智能體、醫療和其他相似應用中的典型需求。隨着近期人工智能技術的突破，越來越多的研究也在關注透明性，以在此類人工智能應用中更好地支持終端用戶。

（1）對透明性的期望

人工智能透明性需求取決於終端用戶需要。可能與透明性相關的五類用戶需求如下：

· 在用戶難以質疑係統建議的態勢下維持用戶信任。然而，用戶信任是否基於系統性能或是魯棒性、與用戶相關性能、亦或用戶對系統建議的滿意度，目前還不明確。

· 洞察可能用其他方式測試過的先前未知的因果關系。

· 瞭解系統性能侷限性，侷限性的原因在於，與用戶能力相比，模型泛化能力有限。

· 關於系統建議的一些額外信息。

· 公平性，避免可能導致某些場合下不平等處理的系統偏差。例如，信用評估應用不應基於個人屬性，比如性別或民族，雖然這些屬性可以從總體統計學角度區分出不同人羣。

原則上，人工智能系統透明化的方式有兩種。第一種，一些模型可解釋性比其他模型更好，比如線性模型、基於規則的系統或決策樹。觀察這些模型可以瞭解其組成和計算。第二種，系統也許能夠解釋其建議。這種解釋可能是文本或圖像方式。例如，通過指出圖像的哪方面信息最有助於其分類。典型來說，人們依據其信念、願望和意圖解釋其他行為者的行為。就人工智能系統而言，信念對應系統態勢信息，願望對應系統目標，意圖對應中間狀態。另外，解釋還可能包括行動異常性、最大程度降低費用或風險的偏好、對規範或標準的偏離、新事件以及對行為的控制能力。主要結論包括：

· 解釋關注的是為何給出這一特定建議而不是其他建議。

· 解釋是有選擇的，聚焦一種或兩種可能原因，而不是給出特定建議的所有原因。

· 解釋是為了傳遞知識而進行的社交對話和交互。

（2）可解釋模型舉例

貝葉斯規則表（BRL）是可解釋模型的一個例子。BRL包括一系列if（條件）、then（結果）、else（備選）狀態。條件是對影響突發風險的高維多變量特徵空間的離散化處理，結果則描述了預測的突發風險。BRL與預測突發風險的其他機器學習方法性能相近，可解釋性也與準確率不足的其他現有評分系統差不多。

另一個用於文本分類的可解釋模型實例是基於詞典的分類器。基於詞典的分類器會用詞頻乘以每類中詞出現的概率。選擇得分最高的類作為預測類。詞典模型的性能要優於其他機器學習模型，同時還兼備可解釋性。

（3）特徵可視化舉例

盡管深度神經網絡在許多應用中能提供高性能，但其亞符號化計算可能有幾百萬個參數，很難準確瞭解各輸入特徵對系統建議的影響。鑒於深度神經網絡的高性能對於許多應用很重要，研究人員十分關注如何使其變得更具可解釋性。許多解釋深度神經網絡的算法將深度神經網絡處理轉換到原始輸入空間，以實現鑒別特徵的可視化。典型來說，實現特徵可視化、激活最大化和深度神經網絡解釋有兩種一般性方法。

激活最大化計算哪些輸入特徵將最大化激活可能的系統建議。對於圖像分類，指的就是能夠顯示各類的可識別鑒別特徵的理想圖像。然而，由於多個類也許會使用同一對象許多方面的信息，且圖像中的語義信息經常會展開，因而圖像經常看起來不自然。激活最大化的一些方法包括梯度上升，實現更好的正則化以提升泛化能力，以及合成優選圖像。

深度神經網絡解釋會通過強調鑒別輸入特徵來解釋系統建議。在圖像分類中，這類可視化可能會高亮顯示提供某一類支持或反對證據的區域，或僅僅顯示包含鑒別特徵的區域。計算鑒別特徵的方法之一是運用局部梯度或其他變量測量進行敏感度分析。然而，敏感度分析的一個問題在於它可能顯示出輸入中未呈現的鑒別特徵。例如，在圖像分類中，敏感度分析可能指向某一物體的被遮擋部分而非可見部分。而分層相關傳播則可通過同時考慮特徵存在和模型反應避免這一問題。

（4）應用具體解釋舉例

與分類不同，人工智能規劃是基於域動態模型的。鑒於公平性對於許多人工智能應用都很重要，可以採用模型蒸餾檢測黑盒模型中的偏差。模型蒸餾能夠在沒有顯著準確率損失的前提下，簡化更大更復雜的模型。對於透明性，可以使用基於影子樹的廣義相加模型，模擬每個參數以及兩個參數間的相互作用。基於來自黑盒模型和一個基於實際結果的透明模型的系統建議訓練一個透明模型。對兩個模型建議的差異性假設測試表明，黑盒測試引入了某一偏差的情境，偏差隨後可能通過對比兩個透明模型而被診斷出來。

本節討論深度神經網絡兩個不同方面的脆弱性：（1）輸入被操控；（2）模型被操控。首先探討輸入信號被操控。

（1）惡意編造輸入

使用深度神經網絡時，很容易調整輸入信號，從而導致分類系統徹底失效。當輸入信號的維度很大時（典型如圖像），對輸入中每個元素（即，像素）的細微調整就足以欺騙系統。使用與訓練深度神經網絡相同的技術，典型的是隨機梯度法，可通過觀察梯度符號很容易發現每個元素的修改方向，進而導致分類器錯誤挑選目標類或誤分類。僅僅通過幾行代碼，就可以欺騙最好的圖像識別系統，讓它相信一輛車的圖片顯示的是一條狗。

以上方法假設的是有深度神經網絡的完全訪問權，即所謂白盒攻擊。研究發現，甚至可能實現黑盒攻擊（僅瞭解系統輸入和輸出的類型）。有人曾使用從其想要攻擊的黑盒系統獲得的稀疏樣本數據訓練一個替代網絡。給定了替代網絡，就可以使用白盒攻擊方式編造惡意輸入。有人還給出了學習替代網絡的一個備選方案，即利用遺傳算法來創造導致系統錯誤分類的攻擊矢量。甚至證明瞭僅修改圖像中的一個像素（即使通常會被察覺）就足以成功實現攻擊。

（2）利用預先訓練深度神經網絡的隱藏後門

在設計深度神經網絡時，除要訪問少量訓練數據外，通常還要使用預先訓練的模型來實現良好性能。這一概念稱為遷移學習，常用程序是採用基於大量數據訓練的模型，針對具體問題替換定製網絡中的最後幾層，然後使用可用訓練數據對最後階段（有時甚至是整個系統）的參數進行微調。互聯網上已經有大量預先訓練模型可以下載。但這樣就出現一個問題——無法保證那些上傳模型的人沒有惡意。有人曾研究了這種脆弱性，在一個模型中插入後門，用來識別美國交通標志。例如，用在停止標志上粘貼貼紙的方式進行訓練，以便分入與停止標志不同的類。隨後實驗顯示，如果使用後門（例如，在交通標志上放置一個粘貼標簽），用一個基於美國交通標志網絡的系統識別瑞典交通標志時效果極差（極大削減了瑞典交通標志系統的分類準確率）。

（3）防禦方法

減小深度神經網絡輸入信號操控漏洞的一個方法是在模型訓練過程中明確包含被操控/對抗實例。也就是說，除了原始訓練數據外，也在模型訓練中生成並使用對抗實例。

另一種防禦方法是利用一種所謂防禦蒸餾概念。簡單來說，這種方法試圖減少需求，輸出信號僅僅指出真正類別，並迫使其他類概率為零。這一方法可通過兩個步驟實現。第一步是深度神經網絡常規訓練。第二步，將首個神經元網絡的輸出（類概率）用作新類標簽，新系統（架構相同）使用新（軟）類標簽進行訓練。經驗證，這種方法能夠減少脆弱性，因為沒有讓深度神經網絡過於貼近訓練數據，且保留了合理的類間相互關系。

其他防禦措施還有特徵壓縮技術，比如平均數或中位數過濾，或非線性像素表示，例如獨熱或溫度計編碼。

不幸的是，以上所述方法都沒有完全解決脆弱性問題，尤其是當攻擊者完全瞭解模型和防禦方式時。

在軍事環境中開發基於機器學習的應用很有挑戰性，因為軍事組織、訓練設施、平臺、傳感器網絡、武器等中的數據收集程序最初並不是為機器學習設計的。因此，在這一領域中通常很難發現真實、高質量且足夠大的數據集用於學習和獲取知識。本節將探討能夠用於建立機器學習應用（即使在有限訓練數據條件下）的技術。

（1）遷移學習

遷移學習是一種一般在數據集小且計算資源有限時使用的技術。其理念是在開發瞄準其他相似任務的新模型之時，重用預先訓練模型的參數，典型代表是深度神經網絡。用於深度學習應用中遷移學習的方式至少有以下兩種：

· 重學輸出層：通過這種方式，預先訓練模型的最後一層將由匹配新任務預期輸出的新輸出層替代。在訓練中，只更新新輸出層的權值，其他保持不變。

· 微調整個模型：與第一種方式相似，但在這種方式中，可能會更新整個深度神經網絡的權值。這種方式一般需要更多訓練數據。

有研究證明遷移學習還可能增強模型的泛化能力。然而，遷移學習的正面效果會隨着源任務和目標任務之間距離的增加而減弱。

（2）生成式對抗網絡

生成式對抗網絡（GAN）是一種可用於半監督學習的生成模型，將一個小的標簽數據集和一個更大的無標簽數據集相結合以增進模型性能。基本GAN實現包含兩個深度神經網絡，一個表示生成器，一個表示鑒別器。生成器接受訓練，產生虛假數據，鑒別器則接受訓練，將數據分類為真實或虛假。當兩個網絡同時接受訓練時，一個網絡的改進也會引發另一網絡的改進，直到最終達到均衡。在半監督學習中，生成器的主要目標是產生能夠用於改進最終模型總體性能的無標簽數據，除了半監督學習外，GAN也被用於：

· 重建：填補部分被遮擋的圖像或對象的空白。

· 超分辨率：將圖像由低分辨率轉換到高分辨率。

· 圖像到圖像轉換：將圖像由冬天轉換為夏天，白天轉換為黑夜等等。這一技術的軍事應用是可以將夜視圖像轉換為日間圖像。

（3）建模和仿真

軍隊中已將建模和仿真廣泛應用於訓練、決策支持、研究等等。因此，長期以來已經開發出了許多經驗證的模型，這些模型也可潛在用於為機器學習應用生成合成數據。例如，飛行模擬器可以用來生成置於不同環境中飛機的合成圖像。在此情景中，標簽是自動添加的，因為飛機類型在生成合成圖像前就已知。然而，當將此模型用於真實圖像時，使用合成圖像可能導致性能變差。當前正在研究的一種方式是通過GAN增強合成圖像，使圖像更加真實。

近期人工智能技術的突破已逐漸使其能夠用於軍事應用中。本文闡述了在監視、水雷戰和網絡安全中使用人工智能的一些可能性。其他潛在應用包括使用部分自主車輛和傳感器系統進行偵察，具有高時間需求的防空系統的威脅評估，新興模式的情報分析，指控系統，以及教育和訓練。然而，人工智能的軍事應用還需思考以下幾方面的挑戰：

· 透明性，保證模型性能與軍事需求一致。

· 脆弱性，可能大幅降低系統性能。

· 機器學習所需的訓練數據不足。

研究人員在關於人工智能透明性、可理解性以及可解釋性問題上已取得了許多進展。許多研究成果很可能也能用於軍事人工智能應用中。然而，要理解如何使用這些研究成果，還需進行更加全面的需求分析。軍事需求在風險、數據質量、合法需求等方面可能有很大差別，某些類型的透明性也許甚至不適用。另外，還需進一步研究如何利用社科研究成果提升人工智能的可解釋性。同時，研究還應包含如何使用在視覺分析研究領域所研發的大量可視化技術。

由於目前沒有解決人工智能脆弱性的萬能方案，密切關注這一研究領域並不斷尋求有前景的解決方案就顯得十分重要。然而，在這類解決方案出現之前，有必要盡量減少外部對各種模型和防禦技術的訪問。否則對手就有可能利用這些脆弱性。

最後，遷移學習使得將預先訓練模型應用於軍事應用中成為可能，但軍事應用中的訓練數據和計算資源均有限。GAN是另一項很有前景的技術，通過標簽和無標簽數據（半監督學習）實現學習。GAN還可結合仿真使用，以增強合成生成訓練數據的真實性。