華盛頓大學蛋白質設計研究所的科學家正在使用該軟體來建模和創建新疫苗。
圖片出處:INSTITUTE FOR PROTEIN DESIG
每一年,商業 DNA 合成產業每年都會向訂購者交付數十億核苷酸(nucleotides),成交額高達數億美元,而隨著 DNA 合成在相關領域內變得越來越普遍,有沒有什麼重要的事情是被忽略的?
在 Nature Biotechnology 最近接收的一封 「致主編信」 中,一組以色列研究人員提出了一個聽起來蠻瘋狂的想法:計算機黑客是否會誘騙合成生物領域的科學家,去創造一段有害或潛在風險的惡意基因片段?
仔細想想,這個擔憂並非空虛來風。
在各個領域,網絡信息安全都越來越被重視,但大多數學術用途的生物實驗室,普遍缺乏有效的防火牆和網絡信息安全基礎架構來保證其所存信息的安全和完整。一旦有不法黑客藉機惡意篡改 DNA 數據,並設法將負面影響擴散,後果很可能會不堪設想。比如將惡意程序安插在疫苗或藥劑的生產過程中,經篡改的 DNA 合成訂單信息或能在 「掩人耳目」 的情況下,被用於生產病原生物或有害蛋白質和毒素的核酸。
僅僅是對生產過程的很簡單的攻擊,都有可能會釀成災難性後果。
危險 「陷阱」
假設 A 是某學術機構的生物研究員,並出於研究目的,向 B 所在的 DNA 合成公司下了一筆序列的訂單,在這一過程中,DNA 序列的編輯軟體和常用的 DNA 序列文件的保存格式都不能起到對文件加密的作用,而和當前大多數生物及醫學領域的科研人員一樣,A 希望能擁有更高的產量,對於會影響自身 「生產力」 的繁瑣網絡安全考量,他並不上心。
此時,出現了一名針對 A 的網絡犯罪分子 C,由於當前 DNA 合成序列的生產過程對網絡攻擊抵抗能力並不強,C 輕易就能用惡意軟體感染並控制 A 的計算機,將訂單中的序列替換為惡意序列,並用網絡攻擊領域常見的惡意代碼混淆,將惡意序列偽裝成正常序列。如混淆成功,則匹配過程中所抽取的 200 個連續鹼基對的子序列,在結果上都將顯示正常,使得 B 在對序列進行比對時並不能看出異樣,而這種混淆能在後來通過基於 CRISPR–Cas9(基因編輯工具)的序列刪除和同源性修復被 「逆處理」,使 「正常」 序列變回 「惡意序列」。
B 在比對後認為序列 「正常」 並進行生產,交付時會附帶測序報告,該報告會認為序列沒有問題。
此時即使 A 出于謹慎考量尋求第三方測序服務,C 也能通過惡意軟體篡改 A 提交給測序公司的數據。而如果 A 在錯誤地認定序列無誤後,對這些合成的 DNA 用 CRISPR–Cas9 技術進行修改,就會觸發 「惡意序列」 混淆過程的逆過程,使看似正常的序列變回 「惡意序列」。
整個黑客攻擊場景假設的核心,便是生物學家用來從頭開始 "列印"DNA 鏈、然後將它們組裝在一起的軟體,這個過程一般被稱為 "DNA 合成"。
近年來,我們已經看到這種合成軟體支撐了大量突破性的生物醫學研究。例如,在開發新冠疫苗的浪潮之中,一些大型製藥公司就在使用人造 DNA 鏈作為其實驗性疫苗的組成部分之一。
不法分子通過網絡攻擊將正常 DNA 序列調包為 「惡意序列」 的過程示意圖,
圖源:Nature bio
此前,華盛頓大學的研究人員曾於 2017 年最早提出過關於 DNA 合成領域所面臨的信息安全隱患,其過程便與上面所提及的例子類似。
當時人們還認為這種提法有些超前,可能仍需一段時間才會變成一個需要在本世紀解決的問題。
而在 2020 年下半年,以色列複雜網絡分析實驗室的研究人員通過實驗,證實了這種威脅的 「可實現性」,進而寫下這篇闡述當前 DNA 合成領域所面臨的信息安全隱患的 「致編輯信」。
這支團隊將這種圍繞基因研究供應鏈的攻擊類型稱為 「端到端的網絡生化攻擊」。儘管目前他們還未監測到現實中已經發生的案例,但這類事件的發生恐怕只是遲早問題,尤其是隨著越來越多的基因研究走向更高程度的數位化和信息化。
略顯過時的規範
當然,此前已經有人考慮過這種情況。
就權威行業指南來看,2010 年版的美國健康與人類服務指南已經要求,DNA 合成產品的製造者需要在實際生產前,先將訂單序列與 「問題序列(危險及有害序列)」 資料庫中所存有的序列進行比對,在比對完成無重疊後才能開始生產,雖然美國大多數合成 DNA 的供應商確實也都是這麼做的,但不幸的是,目前病原菌序列的資料庫尚不健全,而 「2010 年版的美國健康與人類服務指南要求」 也可謂是 「早已過時」。
在國際上,類似的規範還有國際合成生物學協會(IASB)的 2009 版規範。要求供應商比對訂單序列,並對可疑訂單的信息及下單方信息進行記錄,但同樣,該規範的時效性並不 「可靠」。
距今最近的文件,屬國際基因合成協會(IGSC)的 2017 版規範。
它要求合成系統掃描 200 個連續鹼基對(bp)中的每個子序列,在比對過程中使用 「吻合率」 的比對方法,並在篩選出可疑序列後交由人工檢驗,但人工檢驗昂貴且耗時,而如果不對篩選框架進行全面的滲透測試,一些致病序列或能成為 「漏網之魚」 逃過審查。
這次研究中,以色列的研究人員成功地使偽裝後的 「惡意序列」 逃過審查並進入生產過程,並在序列即將進入生產過程時將實情告知了國際基因合成協會,進而以生物安全原因取消了這筆訂單。
除了闡述了當前 DNA 合成領域確實存在網絡安全信息隱患,這支團隊還提出了一些可能的解決方法,比如合成系統可以實施網絡安全協議,比如在一筆訂單上添加電子籤名,並對籤名進行變化(如啟發式籤名,人工智慧行為分析)以識別任何可能的後植入的惡意代碼;將當前的 200 個連續鹼基對的子序列的比對標準縮減至 「逆混淆過程」 所需的最短的同源性導向修復模板長度。在有新情況時重新審查已完成的訂單;增強數據共享,以使被惡意安插在多個合成器上的惡意指令能被發現;以及按以上為指導加強立法和監管。
只有提高警覺,當虛擬世界和現實世界之間的界限變得愈發模糊,人類社會才不會對這些新形態的安全事件防不勝防。
參考資料:
[2]https://www.zdnet.com/article/this-new-cyberattack-can-dupe-scientists-into-creating-dangerous-viruses-toxins/
[3]https://www.wired.com/story/malware-dna-hack/