2026年人工智能安全基础真题及答案

2026年人工智能安全基础真题及答案1.单项选择题（每题2分，共20分）1.1在联邦学习框架下，为防止恶意客户端通过上传异常梯度来窃取全局模型，下列哪种防御机制对“模型逆向攻击”的抑制效果最弱？A.差分隐私噪声注入B.梯度裁剪与加权平均C.安全聚合（SecureAggregation）D.本地差分更新压缩答案：D解析：压缩仅减少通信量，对梯度中包含的私有信息无隐藏作用，故对逆向攻击抑制最弱。1.2针对深度强化学习策略πθ，若攻击者在训练阶段通过篡改环境奖励实现“奖励塑形攻击”，则下列哪种检测思路最符合“因果推断”范式？A.监测策略熵的突变B.利用前门准则估计未篡改奖励下的策略返回值C.统计动作分布的KL散度D.对Q值网络进行对抗训练答案：B解析：前门准则可在存在混淆因子时识别因果效应，适用于奖励被篡改的场景。1.3在模型即服务（MaaS）场景下，若服务商仅返回模型最后一层logits，攻击者仍可能通过“logits向量”恢复输入图像，则该攻击主要利用了哪一类信息泄露？A.模型冗余B.梯度泄露C.表征泄露D.超参数泄露答案：C解析：logits可视为高维表征，与输入存在连续映射关系，可被逆向。1.4对于基于Transformer的文本生成模型，若采用“PromptInjection”诱导模型输出违规内容，则下列哪种缓解措施在推理阶段零成本且不影响正常用户？A.动态后门检测B.输出过滤+日志审计C.输入提示重写D.强化学习从人类反馈（RLHF）重训答案：B解析：输出过滤在推理阶段零额外推理延迟，且对正常用户透明。1.5在可信执行环境（TEE）中运行推理时，若侧信道攻击者通过页表访问时序推断出模型结构，则该攻击主要违反了哪项安全属性？A.机密性B.完整性C.可用性D.可审计性答案：A解析：模型结构属于知识产权，泄露即破坏机密性。1.6对于DiffusionModel，若攻击者在采样链中期注入微小噪声，导致最终图像出现特定后门水印，则该攻击的最佳检测窗口为：A.初始噪声阶段B.中期采样步骤C.最终去噪步骤D.后处理阶段答案：B解析：中期步骤决定全局结构，注入此时影响最大且残留特征明显。1.7在“模型窃取”防御中，若defender故意在API返回中随机翻转部分概率向量维度，则该策略对以下哪种窃取方法影响最小？A.基于Jacobian的复制B.基于查询合成（QuerySynthesis）C.基于知识蒸馏（Distillation）D.基于零阶优化的黑盒复制答案：A解析：Jacobian方法依赖梯度符号，随机翻转不改变符号期望。1.8针对自动驾驶感知模型，若攻击者在物理世界张贴特定纹理贴纸使停车标志被误识别为限速标志，则该攻击属于：A.白盒逃逸B.黑盒逃逸C.物理世界后门D.模型窃取答案：C解析：攻击者利用物理载体植入触发器，符合物理后门定义。1.9在“安全多方计算（MPC）”框架下训练神经网络，若采用Beaver三元组进行矩阵乘法，则Beaver三元组主要解决哪项难题？A.非线性激活计算B.乘法三元组消耗C.通信轮次膨胀D.浮点数溢出答案：B解析：Beaver三元组将乘法转化为线性操作，避免交互式乘法。1.10若某联邦学习系统采用“局部更新+全局平均”且客户端Dropout率>50%，则下列哪种攻击更容易在聚合阶段隐藏？A.拜占庭攻击B.后门攻击C.梯度泄露D.模型逆向答案：B解析：高Dropout降低有效投票基数，后门触发器更易通过少数客户端存活。2.多项选择题（每题3分，共15分；每题至少有两个正确答案，多选少选均不得分）2.1以下哪些技术组合可同时缓解“成员推理攻击”与“属性推理攻击”？A.对抗正则化+标签平滑B.梯度压缩+模型剪枝C.差分隐私+Mixup数据增强D.输出扰动+Dropout增强答案：A、C、D解析：B中梯度压缩与剪枝主要减少通信与计算，对推理攻击无直接抑制。2.2在“模型水印”验证阶段，若验证方仅拥有公钥而无私钥，则下列哪些性质仍可被公开验证？A.水印存在性B.水印所有权C.水印不可伪造性D.水印对模型性能影响上限答案：A、C解析：公钥可验证签名，确保证据不可伪造，但所有权需私钥绑定身份。2.3针对大语言模型（LLM）的“指令劫持”攻击，下列哪些缓解措施在客户端侧即可部署？A.输入提示模板签名B.输出内容置信度阈值C.动态温度采样D.本地敏感词过滤答案：A、D解析：B、C需服务端配合或改变模型行为，A、D可在客户端完成。2.4在“零样本对抗样本迁移”场景下，若源模型与目标模型均使用VisionTransformer，则下列哪些因素会显著降低迁移成功率？A.输入图像分块尺寸差异B.位置编码策略不同C.分类头使用不同Dropout率D.注意力头数量不同答案：A、B、D解析：C对特征提取影响小，A、B、D改变特征空间几何，降低迁移。2.5对于“因果图+后门准则”检测数据投毒，下列哪些变量必须被观测才能阻断虚假因果路径？A.投毒指示变量B.混淆因子C.中介变量D.工具变量答案：B、C解析：后门准则要求观测混淆因子与中介变量以阻断非因果路径。3.判断题（每题1分，共10分；正确打“√”，错误打“×”）3.1在联邦学习中，即使全局模型达到收敛，单个客户端仍可通过“梯度上升”方法推断其他客户端数据标签。答案：√解析：梯度上升可放大特定样本影响，泄露标签信息。3.2对于任何确定性神经网络，若输入空间维度n大于参数维度m，则对抗样本一定存在。答案：×解析：存在鲁棒模型（如随机平滑认证）可在一定半径内无对抗样本。3.3使用ReLU激活的神经网络，其决策边界一定是分段线性函数。答案：√解析：ReLU网络为分段仿射映射，决策边界为分段线性。3.4在TEE内部运行模型推理时，若启用常量时间运算，可完全消除所有侧信道泄露。答案：×解析：常量时间仅消除时序信道，无法防御功耗、电磁等信道。3.5对于DiffusionModel，若攻击者掌握完整采样链，则可通过求解逆过程精确重建原始图像。答案：√解析：逆过程为确定型马尔可夫链，掌握噪声即可重建。3.6在“知识蒸馏”中，教师模型温度T越高，学生模型对对抗样本的鲁棒性必然提升。答案：×解析：过高温度会抹平梯度，导致学生欠拟合，鲁棒性可能下降。3.7对于任何ε−差分隐私机制，其组合隐私预算满足线性可加性。答案：×解析：高级组合定理给出更紧的累积预算，非严格线性。3.8在“模型窃取”防御中，增加API查询速率限制可有效降低攻击者复制模型精度。答案：√解析：限制查询次数提高窃取成本，降低复制精度。3.9对于VisionTransformer，移除所有位置编码后，模型仍能保持原始测试精度。答案：×解析：位置编码提供顺序信息，移除会显著降低精度。3.10在“安全聚合”协议中，即使服务器被攻破，也无法获得任何客户端的原始梯度。答案：√解析：安全聚合基于秘密共享，服务器仅获得聚合结果。4.填空题（每空2分，共20分）4.1设随机响应机制满足ε−差分隐私，则对任意相邻数据集D,D′及任意输出S，满足不等式：P(M(D)∈S)≤e^()⋅P(M(D′)∈S)。答案：ε4.2在“随机平滑”认证框架中，若分类器f在输入x处满足g(x)=y，且当‖δ‖₂<R时g(x+δ)=y，则称f在x处具有半径R的________鲁棒性。答案：certified4.3对于n方安全聚合，若采用Shamir秘密共享，则至少需要________方诚实才能恢复秘密。答案：t+1（其中阈值t<n/2）4.4在“模型水印”中，若触发集为{(x_i^,y_i^)}，则验证阶段通过检测模型在触发集上的________是否显著高于随机猜测来判断水印存在。4.4在“模型水印”中，若触发集为{(x_i^,y_i^)}，则验证阶段通过检测模型在触发集上的________是否显著高于随机猜测来判断水印存在。答案：准确率4.5对于Transformer，注意力矩阵A=softmax(QK^⊤/√d_k)，则其时间复杂度为________。答案：O(n²d)4.6在“梯度压缩”中，若采用Top-k稀疏化，则压缩率定义为k/d，其中d为________。答案：梯度向量维度4.7对于DiffusionModel，若前向过程方差调度满足β_t=10^(−4)+t/T⋅(0.02−10^(−4))，则该调度称为________调度。答案：线性4.8在“物理世界后门”中，触发器通常满足________性，即对人类不可察觉。答案：隐蔽4.9对于联邦学习，若采用FedProx算法，则本地目标函数增加的正则项为________。答案：(μ/2)‖w−w^t‖²4.10在“成员推理攻击”中，攻击者通常训练一个________模型来区分目标模型对成员与非成员的输出分布。答案：二元分类5.简答题（每题8分，共24分）5.1请阐述“因果推断”在检测数据投毒中的核心思想，并给出具体实施步骤。答案：核心思想是将“投毒指示变量”视为处理变量，利用后门准则阻断混淆路径，从而估计投毒对模型性能的因果效应。步骤：1)构建因果图，包含投毒指示T、模型参数W、性能指标Y、混淆因子Z（如数据分布偏移）。2)识别后门路径，如T←Z→Y。3)观测Z，采用后门调整公式：P(Y|do(T))=∑_ZP(Y|T,Z)P(Z)。4)计算因果风险差Δ=E[Y|do(T=1)]−E[Y|do(T=0)]，若Δ显著大于统计波动，则判定存在投毒。5.2说明“随机平滑”如何同时提供“可证明鲁棒性”与“差分隐私”两种保证，并指出其共享机制。答案：随机平滑通过对输入添加高斯噪声σ，利用大规模噪声的集中性质，既能在分类边界附近提供l₂半径R的认证鲁棒界（通过概率阈值），又能因噪声满足(ε,δ)−差分隐私（通过高斯机制）。共享机制为：噪声尺度σ同时出现在鲁棒认证公式R=σΦ^(−1)(p_A)与隐私预算公式ε=√(2ln(1.25/δ))Δf/σ其中Δf为l₂敏感度。增大σ同时提升鲁棒半径与隐私强度，但降低模型精度。5.3对比“安全聚合”与“差分隐私”在联邦学习中的隐私保护目标差异，并给出二者互补部署方案。答案：安全聚合保护“单客户端梯度”不被服务器窥视，目标为机密性；差分隐私保护“单样本”不被逆向推断，目标为个体隐私。互补方案：1)客户端本地梯度先经梯度裁剪，再添加本地差分隐私噪声（如高斯）。2)使用安全聚合协议上传噪声梯度，服务器仅得噪声聚合结果。3)通过矩会计累积隐私预算，实现(ε,δ)−DP同时防止服务器窥探。6.计算题（共31分）6.1（10分）设某神经网络最后一层输出logitsz∈ℝ^C，采用温度缩放softmaxπ_i=exp(z_i/T)/∑_jexp(z_j/T)。攻击者通过查询API获得π，欲恢复z。若T=2，C=3，观测π=(0.2,0.5,0.3)，求z的极大似然估计（设z₁=0固定）。答案：由π_i=exp(z_i/T)/∑_jexp(z_j/T)，取对数比：ln(π₂/π₁)=z₂/T⇒z₂=Tln(π₂/π₁)=2ln(0.5/0.2)=2ln2.5≈1.833ln(π₃/π₁)=z₃/T⇒z₃=2ln(0.3/0.2)=2ln1.5≈0.811故z≈(0,1.833,0.811)。6.2（10分）在随机平滑认证中，给定噪声σ=0.25，分类置信度p_A=0.9，求认证半径R（单位：l₂）。已知Φ^(−1)(0.9)=1.2816。答案：R=σΦ^(−1)(p_A)=0.25×1.2816≈0.3204。6.3（11分）某联邦学习系统共100客户端，采用Top-1%梯度稀疏化上传，每维梯度用32位浮点。若模型参数量d=10^7，通信轮次R=100，求总通信量（GB）。若改用量化到8位，再采用差分隐私添加高斯噪声σ=0.01，求每轮每客户端上行数据量（Byte）。答案：Top-1%稀疏：每轮上传非零索引与值，索引需log₂d=23.25→24位，值32位，共56位/非零元。非零元数量：0.01d=10^5。每轮每客户端：10^5×56bit=5.6×10^6bit=0.7MB。总通信：100×0.7MB=70MB=0.067GB。量化8位后，值8位，索引仍24位，共32位/非零元。每轮每客户端：10^5×32bit=4×10^6bit=0.5MB。添加噪声：需上传噪声向量，但安全聚合下仅上传“梯度+噪声”稀疏化结果，故数据量不变仍为0.5MB=512,000Byte。7.综合设计题（20分）7.1设计一套“大语言模型（LLM）安全推理”方案，需同时满足：1)防止服务器窃取用户输入提示；2)防止用户通过提示逆向专有模型权重；3)支持对输出进行可验证过滤；4)通信开销低于明文传输的120%。请给出系统架构、关键算法、威胁模型与评估指标。答案：架构：1)客户端侧部署轻量级“提示加密模块”，采用同态加密（CKKS）对提示词嵌入向量加密，服务器在密文域执行Transformer推理，返回密文logits。2)服务器返回的密文logits经客户端解密后，通过本地“输出过滤模型”检测违规内容，该过滤模型为公开小模型，可验证其逻辑（如ZKP）。3)为防止模型窃取，服务器侧采用“动态对抗样本变换”：每轮对注意力矩阵添加可