Az ellenséges gépi tanulás meglehetősen új, de ennek ellenére egyre nagyobb problémát okozó jelenség az AI-innováció számára. A Gartner jelentése szerint 2022-re az összes kibertámadás 30 százaléka adatmérgezéssel vagy más ellenséges támadási vektorral fog járni. Mivel az ML egyre népszerűbbé válik, logikus, hogy egyre több támadást használnak fel a gépi tanulás és az általa lehetővé tett rendszerinnovációk megzavarására.
Hogyan működnek az ellenséges támadások?
Az ellenséges gépi tanulási (ML) támadások mind arra összpontosítanak, hogy apró, rosszindulatú változtatásokat hajtsanak végre a referenciaadatokon, hogy akadályozzák az ML kezdeti képzését és mélytanulását, vagy hogy beavatkozzanak a már betanított ML-be. Az ellenséges támadások célja a meglévő paraméterek és adatszabályok megkerülése, hogy összezavarja az ML utasításait, és a rendszer hibát kövessen el. A támadók a mérgező/szennyező és a kitérő támadások keverékével hatolnak be és akadályozzák a gépek működését.
Mérgező/szennyező támadások. A mérgező és szennyező támadások apró változtatásokat visznek be a képzési adatokba, gyakran hosszú időn keresztül, kifürkészhetetlen módon, hogy az ML-rendszereket lassan rossz döntések meghozatalára képezzék a jövőben. A mérgező támadásokat alkalmazó támadók általában hátsó ajtókat keresnek a rendszer képzési adataihoz, és a rosszindulatú adatokat úgy álcázzák, hogy azokat más képzési adatokhoz hasonlóan félrecímkézik, és így lehetővé teszik, hogy azok átjussanak az osztályozón. Ezeket az álcázott képzési adatdarabokat gyakran nehéz felismerni, különösen azért, mert a téves bemenetek és műveletek csak jóval az ML képzési fázis után buknak le.
Kitérő támadások. A kitérő támadások jellemzően az ML-rendszer betanítása után történnek. Az ilyennel próbálkozó ellenségek a rendszer meglévő képzési paraméterein akarnak lyukakat ütni. Ha találnak egy lyukat vagy sebezhetőséget, akkor ezt a felfedezést arra használják fel, hogy "kikerüljék" a biztonsági biztosítékokat, és hozzáférjenek az ML rendszer műveleteit irányító algoritmusokhoz és kódokhoz. Az ilyen típusú támadások a tervezett kimenetektől kezdve az adatminőségen át a rendszer titkosságáig mindent károsíthatnak.
Példák a gépi tanulással kapcsolatos ellenséges támadásokra
A való világban eddig csak néhány ellenséges gépi tanulási támadást indítottak sikeresen, de figyelembe véve, hogy az Amazon, a Google, a Tesla és a Microsoft az ismert áldozatok között van, bármilyen méretű és fejlettségű vállalatot érhetnek ebből fakadó következmények a jövőben.
Az adat- és informatikai szakemberek jelenleg laboratóriumban gyakorolják az ellenséges támadásokat, kísérleteznek a lehetséges támadásokkal, hogy lássák, hogyan reagálnak a különböző ML-szkriptek és ML-képes technológiák ezekre az attakokra.
A következő elméleti támadások a szakértők szerint sikeresen elindíthatók:
-
Az emberi arcvonások 3D nyomtatása az arcfelismerő technológia megtévesztésére.
-
Új jelölések hozzáadása az utakhoz vagy útjelző táblákhoz az önvezető autók félrevezetése érdekében.
-
További szöveg beillesztése katonai drónok parancsszövegeibe, megváltoztatva azok útvonalát vagy támadási vektorát.
-
Az otthoni asszisztens IoT-technológia parancsfelismerésének megváltoztatása úgy, hogy az ugyanazt a műveletet (vagy semmilyen műveletet) hajtsa végre nagyon különböző parancskészletek esetén.
Valós példa a támadó gépi tanulásra
Az egyik leghíresebb példa a valós életben elkövetett ellenséges gépi tanulási támadásra a Microsoft Tay Twitter botjával történt 2016-ban. A Microsoft a Tay-t a társalgás megértésre szolgáló Twitter-robotként adta ki, vagyis egy olyan mesterséges intelligenciaként, amelynek célja az volt, hogy minél többet foglalkoznak vele a Twitter-felhasználók, annál jobbá tegye a társalgási készségeit.
Több Twitter-felhasználó úgy döntött, hogy elárasztja Tayt sértő megjegyzésekkel, ami kevesebb mint 24 óra alatt teljesen megváltoztatta Tay hangnemét, és a botot nőgyűlölővé, rasszistává és gyűlölettel teljesen átitatottá tette.
