《2025年计算机等级考试(三级人工智能应用安全测试工程师)试卷及答案》

《2025年计算机等级考试(三级人工智能应用安全测试工程师)试卷及答案》一、单项选择题（共20题，每题1分，共20分）1.以下哪种数据脱敏技术通过泛化或抑制敏感属性，使得至少k个记录在准标识符上不可区分？A.L多样性B.K匿名C.T接近性D.差分隐私答案：B2.对抗样本的核心特征是？A.对人类感知无显著差异，但导致模型输出错误B.对模型输入进行大幅修改以触发错误C.仅在黑盒攻击场景下有效D.仅影响深度学习模型的分类任务答案：A3.联邦学习中“横向联邦”与“纵向联邦”的划分依据是？A.参与方数据特征重叠度与样本重叠度B.模型训练的通信频率C.数据标注的完整性D.计算资源的分布方式答案：A4.以下哪项不属于AI模型后门攻击的典型触发条件？A.输入图像中特定位置添加小图案B.文本中插入特定关键词C.输入数据的统计分布偏移D.语音中特定频率的背景音答案：C5.差分隐私中参数ε越小，表示？A.隐私保护强度越低B.隐私保护强度越高C.数据可用性越高D.计算复杂度越低答案：B6.模型可解释性工具LIME的核心思想是？A.对全局模型进行简化近似B.对局部预测进行线性近似解释C.可视化模型的神经元激活模式D.生成对抗样本来反推模型决策逻辑答案：B7.以下哪种攻击属于“数据投毒攻击”？A.在测试阶段向模型输入对抗样本B.在训练数据中添加恶意样本，诱导模型学习错误模式C.通过API接口窃取模型参数D.利用模型梯度信息推断训练数据隐私答案：B8.AI系统公平性测试中，“人口统计学parity”要求？A.不同敏感群体的正例率相同B.不同群体的预测准确率相同C.不同群体的误判率相同D.模型输出与敏感属性完全无关答案：A9.依据《生成式人工智能服务管理暂行办法》，生成内容需显著标识的场景是？A.企业内部培训材料B.新闻资讯类生成内容C.个人社交平台分享D.学术研究数据答案：B10.模型鲁棒性测试中，“对抗强度”通常通过以下哪个指标量化？A.攻击成功率B.对抗样本与原样本的Lp范数距离C.模型输出置信度下降幅度D.测试集整体准确率答案：B11.以下哪项是AI安全测试中“灰盒测试”的特点？A.测试者完全知晓模型结构与参数B.测试者仅知晓部分模型信息（如输入输出格式）C.测试者对模型内部无任何了解D.仅针对模型推理阶段进行测试答案：B12.隐私计算技术中，“安全多方计算（MPC）”的核心是？A.在加密数据上完成联合计算，不泄露原始数据B.通过联邦学习实现模型共享C.对数据进行脱敏后再联合分析D.利用同态加密直接处理明文数据答案：A13.模型记忆性测试的主要目的是？A.评估模型对训练数据的过拟合程度B.验证模型长期存储能力C.测试模型对历史输入的响应一致性D.检测模型是否泄露训练数据隐私答案：D14.以下哪种场景最需要进行AI系统的“可解释性测试”？A.电商推荐系统B.自动驾驶决策系统C.短视频内容审核系统D.智能客服对话系统答案：B15.对抗样本防御技术“输入转换”的典型方法是？A.在模型输入前对数据进行去噪或压缩B.修改模型损失函数以增强鲁棒性C.增加模型深度以提高复杂度D.在训练数据中添加对抗样本答案：A16.AI系统安全风险评估的“威胁建模”步骤中，关键任务是？A.确定系统资产与潜在攻击者B.计算风险发生的概率与影响C.设计具体的测试用例D.验证防御措施的有效性答案：A17.以下哪项属于“模型窃取攻击”的防御措施？A.限制模型API的调用频率与次数B.使用对抗训练增强模型鲁棒性C.对训练数据进行差分隐私处理D.增加模型的可解释性答案：A18.语音识别系统的安全测试中，“对抗语音”的构造通常针对？A.语音的语义内容B.语音的声学特征（如梅尔频谱）C.语音的语速与语调D.语音的说话人身份答案：B19.联邦学习中“掉队者（Straggler）”问题主要影响？A.模型训练的隐私性B.模型训练的效率C.模型的泛化能力D.参与方的计算资源答案：B20.依据《人工智能伦理规范》，AI系统设计应优先保障的是？A.技术创新性B.用户体验C.社会公共利益D.企业商业利益答案：C二、多项选择题（共10题，每题2分，共20分。每题至少2个正确选项，错选、漏选均不得分）1.以下属于AI数据安全测试内容的有？A.数据收集的合法性（如GDPR合规）B.数据存储的加密强度（如AES256）C.数据传输的完整性（如哈希校验）D.数据标注的准确性答案：ABC2.模型后门攻击的检测方法包括？A.激活值聚类分析（如NeuronInspect）B.输入触发模式扫描（如BadNets检测）C.模型剪枝（Pruning）D.对抗样本生成答案：ABC3.AI安全测试的主要阶段包括？A.需求分析阶段（安全需求提取）B.设计阶段（安全架构验证）C.训练阶段（数据与模型安全测试）D.部署阶段（运行时安全监控）答案：ABCD4.数据投毒攻击的防御措施有？A.数据清洗（如异常样本检测）B.多源数据交叉验证C.动态调整训练超参数D.使用差分隐私训练答案：ABD5.以下哪些指标可用于评估模型公平性？A.均等赔率（EqualizedOdds）B.预测平等（PredictiveParity）C.准确率（Accuracy）D.F1分数答案：AB6.对抗攻击的分类维度包括？A.攻击知识（白盒/灰盒/黑盒）B.攻击目标（有目标/无目标）C.攻击阶段（训练/推理）D.攻击数据类型（图像/文本/语音）答案：ABCD7.隐私保护技术中，属于“数据可用但不可见”的有？A.联邦学习B.安全多方计算C.差分隐私D.K匿名答案：AB8.AI系统运行时安全风险包括？A.对抗样本攻击B.模型参数被篡改C.数据输入越界（如非法字符）D.训练数据分布偏移答案：ABC9.模型可解释性测试的常用方法有？A.特征重要性分析（如SHAP值）B.决策路径可视化（如决策树规则提取）C.反事实解释（WhatIf分析）D.模型参数统计（如权重分布）答案：ABC10.依据《网络安全法》与《数据安全法》，AI系统需满足的合规要求包括？A.重要数据出境安全评估B.用户个人信息最小必要收集C.数据泄露及时报告（72小时内）D.模型训练数据全量备份答案：ABC三、填空题（共10题，每题1分，共10分）1.对抗样本生成算法FGSM的全称是______。答案：快速梯度符号法（FastGradientSignMethod）2.联邦学习中“本地训练全局聚合”的通信机制通常采用______协议。答案：加密（或安全）通信3.差分隐私的数学定义中，要求任意两个相邻数据集D与D'，对于任意输出集合S，满足______≤ε。答案：log(P(M(D)∈S)/P(M(D')∈S))4.模型后门攻击中，触发条件与目标标签的映射关系称为______。答案：后门规则（或触发标签对）5.公平性测试中，“交叉公平”关注______的敏感属性组合（如“女性+老年人”）。答案：多维度6.隐私计算“联邦学习”的三大类型是横向、纵向和______。答案：联邦迁移学习7.对抗防御技术“对抗训练”的核心是将______加入训练数据。答案：对抗样本8.AI安全测试的“模糊测试（Fuzzing）”主要用于发现______漏洞。答案：输入边界（或鲁棒性）9.模型可解释性工具SHAP的全称是______。答案：沙普利值（SHapleyAdditiveexPlanations）10.依据《生成式AI服务管理暂行办法》，服务提供者需对生成内容进行______标识。答案：显著（或明确）四、简答题（共5题，第13题每题5分，第45题每题8分，共31分）1.（封闭型）简述AI模型“鲁棒性”与“泛化性”的区别。答案：鲁棒性关注模型在输入数据受到微小扰动（如对抗样本、噪声）时的输出稳定性；泛化性关注模型对未见过的新数据（符合训练分布）的预测准确性。鲁棒性是泛化性的严格子集，鲁棒的模型通常具备更好的泛化性，但泛化性好的模型未必鲁棒。2.（封闭型）列举3种常见的AI数据安全风险，并说明对应的测试方法。答案：风险1：数据泄露（如训练数据包含用户隐私），测试方法：通过模型反演攻击（如利用模型输出推断训练数据特征）；风险2：数据投毒（训练数据被恶意篡改），测试方法：异常样本检测（如基于聚类的离群点分析）；风险3：数据标注错误（标签与实际数据不一致），测试方法：标注一致性检查（随机抽样人工验证）。3.（封闭型）说明“黑盒攻击”与“白盒攻击”的差异，并举例场景。答案：黑盒攻击中，攻击者仅知晓模型的输入输出接口（如API），无法获取模型结构或参数（如通过多次调用API收集输入输出对，训练替代模型实施攻击）；白盒攻击中，攻击者完全掌握模型结构、参数及训练数据（如利用模型梯度信息生成对抗样本）。例如，针对商用AI人脸识别API的攻击多为黑盒，而针对开源模型的研究性攻击多为白盒。4.（开放型）某智能医疗影像诊断系统需进行安全测试，列举其核心隐私风险点及对应的测试措施。答案：核心隐私风险点：（1）患者个人信息泄露（如影像数据中的姓名、病历号）；（2）医疗数据被非法复制或传输（如存储介质未加密）；（3）模型可能记忆训练数据中的敏感病例（如罕见病特征）。测试措施：（1）数据脱敏测试：检查DICOM影像元数据是否移除患者标识（如使用DICOM脱敏工具验证）；（2）数据传输安全测试：通过抓包工具检测传输过程是否采用TLS1.3加密；（3）模型反演测试：利用模型输出（如病灶概率）推断训练数据中的具体病例特征（如通过生成式模型重建原始影像）。5.（开放型）设计一个针对自动驾驶决策模型的对抗攻击测试方案，需包含攻击目标、数据类型、攻击方法及评估指标。答案：测试方案：攻击目标：诱导模型在特定场景下误判（如将“停车标志”识别为“限速标志”）。数据类型：车载摄像头采集的道路图像（RGB格式，1920×1080像素）。攻击方法：采用黑盒攻击中的“遗传算法”，在图像中添加人眼不可察的扰动（L∞范数≤8/255），迭代优化扰动使得模型输出目标标签（如“限速40”）。评估指标：（1）攻击成功率（目标标签输出的比例）；（2）扰动强度（平均L2范数）；（3）场景泛化性（在不同光照、天气条件下的攻击效果）。五、应用题（共2题，每题9.5分，共19分）1.（分析类）某金融机构使用AI模型进行贷款审批，模型输入包括年龄、收入、职业、信用评分等特征，输出为“通过/拒绝”。测试发现模型对“30岁以下女性”群体的拒绝率显著高于其他群体（p<0.05）。（1）可能的公平性风险是什么？（2）提出2种测试方法验证该风险。（3）给出2种优化措施。答案：（1）公平性风险：模型可能存在基于性别和年龄的歧视，违反“人口统计学parity”（不同群体的正例率差异显著）。（2）测试方法：①群体统计测试：计算不同群体（如30岁以下女性vs30岁以上男性）的通过率，验证是否满足统计平等；②反事实测试：将“30岁以下女性”样本的年龄/性别修改为其他值（如35岁男性），观察模型输出是否变化（若拒绝率显著下降，说明存在歧视）。（3）优化措施：①预处理阶段：对敏感特征（年龄、性别）进行脱敏（如分桶处理），或使用公平性转换算法（如Reweighting，为受歧视群体样本增加权重）；②训练阶段：引入公平性约束损失函数（如同时最小化分类损失和群体间通过率差异）。2.（综合类）某公司开发了一款基于深度学习的智能语音助手，需进行安全测试。请设计完整的测试流程，包括测试阶段、关键测试项及对应的技术方法。答案：测试流程设计如下：（1）需求分析阶段测试项：安全需求验证。方法：审查需求文档，确认是否包含隐私保护（如语音数据加密存储）、抗对抗攻击（如语音指令误触发）、合规性（如《个人信息保护法》）等