航空 AI 安全
空中交通管制、維護預測、旅客篩檢與飛航作業的 AI 安全。
概覽
空中交通管制、維護預測、旅客篩檢與飛航作業的 AI 安全。
本文在現代 AI 安全脈絡下提供航空 AI 安全的完整實務探討。此處討論的技術、框架與方法論奠基於同儕審查研究與真實世界事件。NIST AI 600-1 — Generative AI Profile 建立了貫穿本文分析的基礎威脅模型。
隨著 AI 系統部署於日益高風險的環境中——特別是航空業的飛航安全、空域管理與關鍵基礎設施——此處涵蓋的安全考量已從學術好奇轉為營運必要。航空公司、機場、空管單位、飛機製造商與維修組織皆需面對本文所系統檢視的漏洞、攻擊面與防禦缺口。
全文參考已建立的框架,包含 HarmBench — 標準化 LLM 攻擊評估與 Garak(NVIDIA)— LLM 漏洞掃描器。程式碼範例使用 Python 並為教學設計。
核心概念與威脅模型
基本原理
本文探討的安全意涵源自現代 AI 系統處理資訊方式的本質特性。無論是 LLM 用於文件處理、預測模型用於引擎健康監測,或電腦視覺用於旅客篩檢,這些模型都以可被對抗性輸入影響的方式處理資料。
語言模型對上下文視窗中的所有符元一視同仁——系統提示詞、使用者查詢、文件、工具輸出之間並無硬體強制權限分離。信任邊界必須由外部系統強制執行。此架構特性意味著任何餵入模型上下文的元件都成為潛在影響向量——對航空業而言,這可能是航空訊息、NOTAM、乘客資料、維修日誌或 ATM 系統的資料來源。
威脅模型定義
| 面向 | 規格 |
|---|---|
| 攻擊者能力 | 可對航空 AI 系統的文件處理、預測模型或旅客篩檢輸入進行操縱 |
| 攻擊者知識 | 可能對系統架構與防禦具部分了解 |
| 目標系統 | 部署 AI 的航空公司營運系統、空管輔助工具、機場安檢 |
| 面臨風險資產 | 飛航安全、旅客資料、關鍵基礎設施可用性、商業機密 |
| 防禦態勢 | 假設有部分防禦措施到位(符合航空網路安全規範) |
攻擊分類法
| 框架 | 類別 | 相關性 |
|---|---|---|
| OWASP LLM Top 10 2025 | LLM01-LLM10 | 直接對應至 LLM 漏洞類別 |
| MITRE ATLAS | 偵察至衝擊 | 完整攻擊鏈涵蓋 |
| EASA Part-IS | 資訊安全管理 | 歐洲航空公司合規 |
| FAA AC 119-1 | 網路安全持續適航 | 美國 FAA 指引 |
| ED-202A/DO-326A | 適航安全流程 | 飛機系統網路安全 |
技術深入剖析
機制分析
航空 AI 攻擊鏈的主要機制:
- 文件處理:航空公司使用 LLM 處理 NOTAM、維修手冊、操作程序時,惡意注入可影響營運決策
- 預測維護:汙染飛機感測器歷史資料可延遲或誤導維護排程
- 旅客篩檢:對抗性影像或行為可繞過 AI 旅客風險評分
- 空管輔助:語音辨識與文字摘要系統的對抗輸入可影響空管溝通
逐步分析
階段 1:偵察與目標剖繪
辨識航空公司或空管單位使用的 AI 系統、供應商、整合點。探測方法包含觀察公開 API、分析面向旅客的 AI 介面(客服聊天機器人、行動應用)、以及針對維護入口網站的 LLM 功能進行測試。
階段 2:技術準備
依目標剖繪製作載荷:NOTAM 文件中的提示詞注入、感測器資料投毒模擬、旅客篩檢系統的對抗樣本、語音指令的對抗性噪音。
階段 3:執行與觀察
於授權測試環境執行,監控模型輸出、系統行為變化、下游決策影響。
階段 4:評估與文件化
依航空安全完整性等級評估衝擊、對應至 DO-326A 威脅條件、產出符合航空合規流程的修補建議。
實作指引
環境設定
航空 AI 測試環境需:隔離測試網路、目標 AI 系統的測試實例(非生產環境)、合成航空資料集(NOTAM、航班資料、維護日誌)、結構化日誌記錄所有測試、嚴格資料處理(測試資料不得包含真實 PII)。
核心技術實作
核心測試套件包含:NOTAM/航空文件注入產生器製作看似正常但嵌入指令的文件;預測模型資料投毒器對維護歷史時序資料注入擾動;旅客篩檢對抗樣本產生器針對電腦視覺模型;語音辨識對抗音訊產生器。每種技術皆需完整證據收集與影響分析。
評估與成功指標
| 指標 | 定義 | 目標值 |
|---|---|---|
| 指令注入成功率 | 注入使 LLM 執行非預期行為的比例 | 依場景而異 |
| 預測偏差 | 投毒造成的預測誤差量 | 量化 |
| 下游衝擊 | 攻擊造成的實際營運決策影響 | 依 ASIL/DAL 評估 |
| 偵測避免率 | 未觸發 SIEM/異常偵測的成功比例 | >70% |
防禦評估
防禦機制分類
- 輸入層防禦:NOTAM 與其他航空文件的結構化驗證、來源認證、LLM 輸入過濾
- 模型層防禦:在訓練中納入對抗樣本、輸出驗證、LLM-as-judge 對預測結果的二次檢查
- 架構層防禦:AI 決策不直接觸發安全關鍵動作、所有 AI 建議需人員核准、嚴格分權
- 監控層防禦:航空專屬 SIEM、AI 決策稽核軌跡、異常行為偵測
- 合規層防禦:依 DO-326A/ED-202A 進行威脅評估、定期穿透測試、事件回應計畫
效能與取捨
航空業對延遲與可用性要求極高。即時 ATM 應用無法容忍高延遲的多層過濾。因此採用階層化方式:快速檢查處理高流量,昂貴檢查僅用於疑似異常。
真實世界情境
產業整合
- 航空公司:營運中心 AI、客服聊天機器人、動態定價、乘客體驗 AI
- 空管單位:衝突偵測、流量預測、語音識別輔助
- 機場:生物識別旅客篩檢、行李處理視覺系統、預測性維護
- 飛機製造商:設計與認證文件的 AI 輔助、飛行資料分析
- 維修組織 (MRO):預測性維護、缺陷影像分析
真實事件參考
- 2015 LOT Polish Airlines 資訊系統遭勒索(非 AI 但凸顯航空 IT 脆弱性)
- 2023 多起航空公司客服 AI 不當建議案例
- ICAO 與 IATA 發布的航空網路安全最佳實務指引
進階主題
新興威脅
- AI 驅動的偽造 NOTAM:生成式 AI 可大量產出看似合法的 NOTAM 造成營運混亂
- 機載 AI 系統認證挑戰:隨 AI 進入機載應用,認證流程需同步演進
- 對空管語音系統的對抗音訊:可能影響 ATC 溝通
- 無人機群與有人機共存的 AI 挑戰:UTM 系統的安全
研究方向
活躍研究包含可解釋 AI 在航空安全的應用、聯邦學習用於跨航空公司威脅情報分享,以及形式化方法用於機載 AI 的認證。
參考資料與延伸閱讀
- EASA Part-IS — 資訊安全管理要求
- FAA AC 119-1 — Cybersecurity for Continued Airworthiness
- DO-326A/ED-202A — 適航安全流程
- ICAO Aviation Cybersecurity Strategy
- NIST AI 600-1 — Generative AI Profile
為何航空 AI 安全評估需區分地面系統與機載系統?
下列何者為航空 AI 最實際的攻擊向量?