《2025年計(jì)算機(jī)等級(jí)考試(三級(jí)人工智能應(yīng)用安全測(cè)試工程師)試卷及答案》一、單項(xiàng)選擇題（共20題，每題1分，共20分）1.以下哪種數(shù)據(jù)脫敏技術(shù)通過泛化或抑制敏感屬性，使得至少k個(gè)記錄在準(zhǔn)標(biāo)識(shí)符上不可區(qū)分？A.L多樣性B.K匿名C.T接近性D.差分隱私答案：B2.對(duì)抗樣本的核心特征是？A.對(duì)人類感知無顯著差異，但導(dǎo)致模型輸出錯(cuò)誤B.對(duì)模型輸入進(jìn)行大幅修改以觸發(fā)錯(cuò)誤C.僅在黑盒攻擊場景下有效D.僅影響深度學(xué)習(xí)模型的分類任務(wù)答案：A3.聯(lián)邦學(xué)習(xí)中“橫向聯(lián)邦”與“縱向聯(lián)邦”的劃分依據(jù)是？A.參與方數(shù)據(jù)特征重疊度與樣本重疊度B.模型訓(xùn)練的通信頻率C.數(shù)據(jù)標(biāo)注的完整性D.計(jì)算資源的分布方式答案：A4.以下哪項(xiàng)不屬于AI模型后門攻擊的典型觸發(fā)條件？A.輸入圖像中特定位置添加小圖案B.文本中插入特定關(guān)鍵詞C.輸入數(shù)據(jù)的統(tǒng)計(jì)分布偏移D.語音中特定頻率的背景音答案：C5.差分隱私中參數(shù)ε越小，表示？A.隱私保護(hù)強(qiáng)度越低B.隱私保護(hù)強(qiáng)度越高C.數(shù)據(jù)可用性越高D.計(jì)算復(fù)雜度越低答案：B6.模型可解釋性工具LIME的核心思想是？A.對(duì)全局模型進(jìn)行簡化近似B.對(duì)局部預(yù)測(cè)進(jìn)行線性近似解釋C.可視化模型的神經(jīng)元激活模式D.生成對(duì)抗樣本來反推模型決策邏輯答案：B7.以下哪種攻擊屬于“數(shù)據(jù)投毒攻擊”？A.在測(cè)試階段向模型輸入對(duì)抗樣本B.在訓(xùn)練數(shù)據(jù)中添加惡意樣本，誘導(dǎo)模型學(xué)習(xí)錯(cuò)誤模式C.通過API接口竊取模型參數(shù)D.利用模型梯度信息推斷訓(xùn)練數(shù)據(jù)隱私答案：B8.AI系統(tǒng)公平性測(cè)試中，“人口統(tǒng)計(jì)學(xué)parity”要求？A.不同敏感群體的正例率相同B.不同群體的預(yù)測(cè)準(zhǔn)確率相同C.不同群體的誤判率相同D.模型輸出與敏感屬性完全無關(guān)答案：A9.依據(jù)《生成式人工智能服務(wù)管理暫行辦法》，生成內(nèi)容需顯著標(biāo)識(shí)的場景是？A.企業(yè)內(nèi)部培訓(xùn)材料B.新聞資訊類生成內(nèi)容C.個(gè)人社交平臺(tái)分享D.學(xué)術(shù)研究數(shù)據(jù)答案：B10.模型魯棒性測(cè)試中，“對(duì)抗強(qiáng)度”通常通過以下哪個(gè)指標(biāo)量化？A.攻擊成功率B.對(duì)抗樣本與原樣本的Lp范數(shù)距離C.模型輸出置信度下降幅度D.測(cè)試集整體準(zhǔn)確率答案：B11.以下哪項(xiàng)是AI安全測(cè)試中“灰盒測(cè)試”的特點(diǎn)？A.測(cè)試者完全知曉模型結(jié)構(gòu)與參數(shù)B.測(cè)試者僅知曉部分模型信息（如輸入輸出格式）C.測(cè)試者對(duì)模型內(nèi)部無任何了解D.僅針對(duì)模型推理階段進(jìn)行測(cè)試答案：B12.隱私計(jì)算技術(shù)中，“安全多方計(jì)算（MPC）”的核心是？A.在加密數(shù)據(jù)上完成聯(lián)合計(jì)算，不泄露原始數(shù)據(jù)B.通過聯(lián)邦學(xué)習(xí)實(shí)現(xiàn)模型共享C.對(duì)數(shù)據(jù)進(jìn)行脫敏后再聯(lián)合分析D.利用同態(tài)加密直接處理明文數(shù)據(jù)答案：A13.模型記憶性測(cè)試的主要目的是？A.評(píng)估模型對(duì)訓(xùn)練數(shù)據(jù)的過擬合程度B.驗(yàn)證模型長期存儲(chǔ)能力C.測(cè)試模型對(duì)歷史輸入的響應(yīng)一致性D.檢測(cè)模型是否泄露訓(xùn)練數(shù)據(jù)隱私答案：D14.以下哪種場景最需要進(jìn)行AI系統(tǒng)的“可解釋性測(cè)試”？A.電商推薦系統(tǒng)B.自動(dòng)駕駛決策系統(tǒng)C.短視頻內(nèi)容審核系統(tǒng)D.智能客服對(duì)話系統(tǒng)答案：B15.對(duì)抗樣本防御技術(shù)“輸入轉(zhuǎn)換”的典型方法是？A.在模型輸入前對(duì)數(shù)據(jù)進(jìn)行去噪或壓縮B.修改模型損失函數(shù)以增強(qiáng)魯棒性C.增加模型深度以提高復(fù)雜度D.在訓(xùn)練數(shù)據(jù)中添加對(duì)抗樣本答案：A16.AI系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的“威脅建?！辈襟E中，關(guān)鍵任務(wù)是？A.確定系統(tǒng)資產(chǎn)與潛在攻擊者B.計(jì)算風(fēng)險(xiǎn)發(fā)生的概率與影響C.設(shè)計(jì)具體的測(cè)試用例D.驗(yàn)證防御措施的有效性答案：A17.以下哪項(xiàng)屬于“模型竊取攻擊”的防御措施？A.限制模型API的調(diào)用頻率與次數(shù)B.使用對(duì)抗訓(xùn)練增強(qiáng)模型魯棒性C.對(duì)訓(xùn)練數(shù)據(jù)進(jìn)行差分隱私處理D.增加模型的可解釋性答案：A18.語音識(shí)別系統(tǒng)的安全測(cè)試中，“對(duì)抗語音”的構(gòu)造通常針對(duì)？A.語音的語義內(nèi)容B.語音的聲學(xué)特征（如梅爾頻譜）C.語音的語速與語調(diào)D.語音的說話人身份答案：B19.聯(lián)邦學(xué)習(xí)中“掉隊(duì)者（Straggler）”問題主要影響？A.模型訓(xùn)練的隱私性B.模型訓(xùn)練的效率C.模型的泛化能力D.參與方的計(jì)算資源答案：B20.依據(jù)《人工智能倫理規(guī)范》，AI系統(tǒng)設(shè)計(jì)應(yīng)優(yōu)先保障的是？A.技術(shù)創(chuàng)新性B.用戶體驗(yàn)C.社會(huì)公共利益D.企業(yè)商業(yè)利益答案：C二、多項(xiàng)選擇題（共10題，每題2分，共20分。每題至少2個(gè)正確選項(xiàng)，錯(cuò)選、漏選均不得分）1.以下屬于AI數(shù)據(jù)安全測(cè)試內(nèi)容的有？A.數(shù)據(jù)收集的合法性（如GDPR合規(guī)）B.數(shù)據(jù)存儲(chǔ)的加密強(qiáng)度（如AES256）C.數(shù)據(jù)傳輸?shù)耐暾裕ㄈ绻Ｐｒ?yàn)）D.數(shù)據(jù)標(biāo)注的準(zhǔn)確性答案：ABC2.模型后門攻擊的檢測(cè)方法包括？A.激活值聚類分析（如NeuronInspect）B.輸入觸發(fā)模式掃描（如BadNets檢測(cè)）C.模型剪枝（Pruning）D.對(duì)抗樣本生成答案：ABC3.AI安全測(cè)試的主要階段包括？A.需求分析階段（安全需求提?。〣.設(shè)計(jì)階段（安全架構(gòu)驗(yàn)證）C.訓(xùn)練階段（數(shù)據(jù)與模型安全測(cè)試）D.部署階段（運(yùn)行時(shí)安全監(jiān)控）答案：ABCD4.數(shù)據(jù)投毒攻擊的防御措施有？A.數(shù)據(jù)清洗（如異常樣本檢測(cè)）B.多源數(shù)據(jù)交叉驗(yàn)證C.動(dòng)態(tài)調(diào)整訓(xùn)練超參數(shù)D.使用差分隱私訓(xùn)練答案：ABD5.以下哪些指標(biāo)可用于評(píng)估模型公平性？A.均等賠率（EqualizedOdds）B.預(yù)測(cè)平等（PredictiveParity）C.準(zhǔn)確率（Accuracy）D.F1分?jǐn)?shù)答案：AB6.對(duì)抗攻擊的分類維度包括？A.攻擊知識(shí)（白盒/灰盒/黑盒）B.攻擊目標(biāo)（有目標(biāo)/無目標(biāo)）C.攻擊階段（訓(xùn)練/推理）D.攻擊數(shù)據(jù)類型（圖像/文本/語音）答案：ABCD7.隱私保護(hù)技術(shù)中，屬于“數(shù)據(jù)可用但不可見”的有？A.聯(lián)邦學(xué)習(xí)B.安全多方計(jì)算C.差分隱私D.K匿名答案：AB8.AI系統(tǒng)運(yùn)行時(shí)安全風(fēng)險(xiǎn)包括？A.對(duì)抗樣本攻擊B.模型參數(shù)被篡改C.數(shù)據(jù)輸入越界（如非法字符）D.訓(xùn)練數(shù)據(jù)分布偏移答案：ABC9.模型可解釋性測(cè)試的常用方法有？A.特征重要性分析（如SHAP值）B.決策路徑可視化（如決策樹規(guī)則提?。〤.反事實(shí)解釋（WhatIf分析）D.模型參數(shù)統(tǒng)計(jì)（如權(quán)重分布）答案：ABC10.依據(jù)《網(wǎng)絡(luò)安全法》與《數(shù)據(jù)安全法》，AI系統(tǒng)需滿足的合規(guī)要求包括？A.重要數(shù)據(jù)出境安全評(píng)估B.用戶個(gè)人信息最小必要收集C.數(shù)據(jù)泄露及時(shí)報(bào)告（72小時(shí)內(nèi)）D.模型訓(xùn)練數(shù)據(jù)全量備份答案：ABC三、填空題（共10題，每題1分，共10分）1.對(duì)抗樣本生成算法FGSM的全稱是______。答案：快速梯度符號(hào)法（FastGradientSignMethod）2.聯(lián)邦學(xué)習(xí)中“本地訓(xùn)練全局聚合”的通信機(jī)制通常采用______協(xié)議。答案：加密（或安全）通信3.差分隱私的數(shù)學(xué)定義中，要求任意兩個(gè)相鄰數(shù)據(jù)集D與D'，對(duì)于任意輸出集合S，滿足______≤ε。答案：log(P(M(D)∈S)/P(M(D')∈S))4.模型后門攻擊中，觸發(fā)條件與目標(biāo)標(biāo)簽的映射關(guān)系稱為______。答案：后門規(guī)則（或觸發(fā)標(biāo)簽對(duì)）5.公平性測(cè)試中，“交叉公平”關(guān)注______的敏感屬性組合（如“女性+老年人”）。答案：多維度6.隱私計(jì)算“聯(lián)邦學(xué)習(xí)”的三大類型是橫向、縱向和______。答案：聯(lián)邦遷移學(xué)習(xí)7.對(duì)抗防御技術(shù)“對(duì)抗訓(xùn)練”的核心是將______加入訓(xùn)練數(shù)據(jù)。答案：對(duì)抗樣本8.AI安全測(cè)試的“模糊測(cè)試（Fuzzing）”主要用于發(fā)現(xiàn)______漏洞。答案：輸入邊界（或魯棒性）9.模型可解釋性工具SHAP的全稱是______。答案：沙普利值（SHapleyAdditiveexPlanations）10.依據(jù)《生成式AI服務(wù)管理暫行辦法》，服務(wù)提供者需對(duì)生成內(nèi)容進(jìn)行______標(biāo)識(shí)。答案：顯著（或明確）四、簡答題（共5題，第13題每題5分，第45題每題8分，共31分）1.（封閉型）簡述AI模型“魯棒性”與“泛化性”的區(qū)別。答案：魯棒性關(guān)注模型在輸入數(shù)據(jù)受到微小擾動(dòng)（如對(duì)抗樣本、噪聲）時(shí)的輸出穩(wěn)定性；泛化性關(guān)注模型對(duì)未見過的新數(shù)據(jù)（符合訓(xùn)練分布）的預(yù)測(cè)準(zhǔn)確性。魯棒性是泛化性的嚴(yán)格子集，魯棒的模型通常具備更好的泛化性，但泛化性好的模型未必魯棒。2.（封閉型）列舉3種常見的AI數(shù)據(jù)安全風(fēng)險(xiǎn)，并說明對(duì)應(yīng)的測(cè)試方法。答案：風(fēng)險(xiǎn)1：數(shù)據(jù)泄露（如訓(xùn)練數(shù)據(jù)包含用戶隱私），測(cè)試方法：通過模型反演攻擊（如利用模型輸出推斷訓(xùn)練數(shù)據(jù)特征）；風(fēng)險(xiǎn)2：數(shù)據(jù)投毒（訓(xùn)練數(shù)據(jù)被惡意篡改），測(cè)試方法：異常樣本檢測(cè)（如基于聚類的離群點(diǎn)分析）；風(fēng)險(xiǎn)3：數(shù)據(jù)標(biāo)注錯(cuò)誤（標(biāo)簽與實(shí)際數(shù)據(jù)不一致），測(cè)試方法：標(biāo)注一致性檢查（隨機(jī)抽樣人工驗(yàn)證）。3.（封閉型）說明“黑盒攻擊”與“白盒攻擊”的差異，并舉例場景。答案：黑盒攻擊中，攻擊者僅知曉模型的輸入輸出接口（如API），無法獲取模型結(jié)構(gòu)或參數(shù)（如通過多次調(diào)用API收集輸入輸出對(duì)，訓(xùn)練替代模型實(shí)施攻擊）；白盒攻擊中，攻擊者完全掌握模型結(jié)構(gòu)、參數(shù)及訓(xùn)練數(shù)據(jù)（如利用模型梯度信息生成對(duì)抗樣本）。例如，針對(duì)商用AI人臉識(shí)別API的攻擊多為黑盒，而針對(duì)開源模型的研究性攻擊多為白盒。4.（開放型）某智能醫(yī)療影像診斷系統(tǒng)需進(jìn)行安全測(cè)試，列舉其核心隱私風(fēng)險(xiǎn)點(diǎn)及對(duì)應(yīng)的測(cè)試措施。答案：核心隱私風(fēng)險(xiǎn)點(diǎn)：（1）患者個(gè)人信息泄露（如影像數(shù)據(jù)中的姓名、病歷號(hào)）；（2）醫(yī)療數(shù)據(jù)被非法復(fù)制或傳輸（如存儲(chǔ)介質(zhì)未加密）；（3）模型可能記憶訓(xùn)練數(shù)據(jù)中的敏感病例（如罕見病特征）。測(cè)試措施：（1）數(shù)據(jù)脫敏測(cè)試：檢查DICOM影像元數(shù)據(jù)是否移除患者標(biāo)識(shí)（如使用DICOM脫敏工具驗(yàn)證）；（2）數(shù)據(jù)傳輸安全測(cè)試：通過抓包工具檢測(cè)傳輸過程是否采用TLS1.3加密；（3）模型反演測(cè)試：利用模型輸出（如病灶概率）推斷訓(xùn)練數(shù)據(jù)中的具體病例特征（如通過生成式模型重建原始影像）。5.（開放型）設(shè)計(jì)一個(gè)針對(duì)自動(dòng)駕駛決策模型的對(duì)抗攻擊測(cè)試方案，需包含攻擊目標(biāo)、數(shù)據(jù)類型、攻擊方法及評(píng)估指標(biāo)。答案：測(cè)試方案：攻擊目標(biāo)：誘導(dǎo)模型在特定場景下誤判（如將“停車標(biāo)志”識(shí)別為“限速標(biāo)志”）。數(shù)據(jù)類型：車載攝像頭采集的道路圖像（RGB格式，1920×1080像素）。攻擊方法：采用黑盒攻擊中的“遺傳算法”，在圖像中添加人眼不可察的擾動(dòng)（L∞范數(shù)≤8/255），迭代優(yōu)化擾動(dòng)使得模型輸出目標(biāo)標(biāo)簽（如“限速40”）。評(píng)估指標(biāo)：（1）攻擊成功率（目標(biāo)標(biāo)簽輸出的比例）；（2）擾動(dòng)強(qiáng)度（平均L2范數(shù)）；（3）場景泛化性（在不同光照、天氣條件下的攻擊效果）。五、應(yīng)用題（共2題，每題9.5分，共19分）1.（分析類）某金融機(jī)構(gòu)使用AI模型進(jìn)行貸款審批，模型輸入包括年齡、收入、職業(yè)、信用評(píng)分等特征，輸出為“通過/拒絕”。測(cè)試發(fā)現(xiàn)模型對(duì)“30歲以下女性”群體的拒絕率顯著高于其他群體（p<0.05）。（1）可能的公平性風(fēng)險(xiǎn)是什么？（2）提出2種測(cè)試方法驗(yàn)證該風(fēng)險(xiǎn)。（3）給出2種優(yōu)化措施。答案：（1）公平性風(fēng)險(xiǎn)：模型可能存在基于性別和年齡的歧視，違反“人口統(tǒng)計(jì)學(xué)parity”（不同群體的正例率差異顯著）。（2）測(cè)試方法：①群體統(tǒng)計(jì)測(cè)試：計(jì)算不同群體（如30歲以下女性vs30歲以上男性）的通過率，驗(yàn)證是否滿足統(tǒng)計(jì)平等；②反事實(shí)測(cè)試：將“30歲以下女性”樣本的年齡/性別修改為其他值（如35歲男性），觀察模型輸出是否變化（若拒絕率顯著下降，說明存在歧視）。（3）優(yōu)化措施：①預(yù)處理階段：對(duì)敏感特征（年齡、性別）進(jìn)行脫敏（如分桶處理），或使用公平性轉(zhuǎn)換算法（如Reweighting，為受歧視群體樣本增加權(quán)重）；②訓(xùn)練階段：引入公平性約束損失函數(shù)（如同時(shí)最小化分類損失和群體間通過率差異）。2.（綜合類）某公司開發(fā)了一款基于深度學(xué)習(xí)的智能語音助手，需進(jìn)行安全測(cè)試。請(qǐng)?jiān)O(shè)計(jì)完整的測(cè)試流程，包括測(cè)試階段、關(guān)鍵測(cè)試項(xiàng)及對(duì)應(yīng)的技術(shù)方法。答案：測(cè)試流程設(shè)計(jì)如下：（1）需求分析階段測(cè)試項(xiàng)：安全需求驗(yàn)證。方法：審查需求文檔，確認(rèn)是否包含隱私保護(hù)（如語音數(shù)據(jù)加密存儲(chǔ)）、抗對(duì)抗攻擊（如語音指令誤觸發(fā)）、合規(guī)性（如《個(gè)人信息保護(hù)法》）等