人工智能 (AI) 和机器学习专家警告数据中毒攻击的风险,这些攻击可能针对通常用于训练许多 AI 服务中的深度学习模型的大规模数据集。
当攻击者篡改用于创建深度学习模型的训练数据时,就会发生数据中毒。 此操作意味着有可能以难以追踪的方式影响 AI 做出的决定。
另外:这些专家正在竞相保护 AI 免受黑客攻击。 时间不多了。
通过秘密更改用于训练机器学习算法的源信息,数据中毒攻击有可能变得非常强大,因为人工智能将从不正确的数据中学习,并可能做出会产生重大后果的“错误”决定。
目前没有证据表明涉及网络规模数据集中毒的真实世界攻击。 但现在来自谷歌、苏黎世联邦理工学院、NVIDIA 和 Robust Intelligence 的一组人工智能和机器学习研究人员表示,他们已经证明了中毒攻击的可能性,“保证”恶意示例将出现在用于训练的网络规模数据集中 最大的机器学习模型。
研究人员警告说:“虽然大型深度学习模型对随机噪声具有弹性,但训练集中即使是极少量的对抗性噪声(即中毒攻击)也足以在模型行为中引入有针对性的错误。”
研究人员表示,通过使用他们设计的技术来利用数据集的工作方式,他们可以毫不费力地以低成本破坏 0.01% 的重要深度学习数据集。 虽然 0.01% 听起来不像是很多数据集,但研究人员警告说它“足以毒害模型”。
这种攻击被称为“分裂视图中毒”。 如果攻击者能够控制由特定数据集索引的 Web 资源,他们可能会毒害收集到的数据,使其不准确,并有可能对整个算法产生负面影响。
攻击者实现此目标的一种方法是买过期的域名。 域定期过期,然后可以被其他人买——这对数据投毒者来说是一个绝好的机会。
“对手不需要知道客户将来下载资源的确切时间:通过拥有该域,对手保证任何未来的下载都会收集有毒数据,”研究人员说。
另外:ChatGPT 等:AI 聊天机器人对网络安全的未来意味着什么
研究人员指出,买一个域并将其用于恶意目的并不是一个新想法——网络罪犯使用它来帮助传播恶意软件。 但具有不同意图的攻击者可能会毒害广泛的数据集。
更重要的是,研究人员详细描述了第二种类型的攻击,他们称之为抢先投毒。
在这种情况下,攻击者无法完全控制特定数据集——但他们能够准确预测何时访问 Web 资源以包含在数据集快照中。 有了这些知识,攻击者就可以在收集信息之前毒化数据集。
即使信息在几分钟后恢复到原始的、未被操纵的形式,在恶意攻击活跃时拍摄的快照中的数据集仍然是不正确的。
采购机器学习训练数据时非常依赖的一种资源是wi基百科。 但wi基百科的性质意味着任何人都可以对其进行编辑——据研究人员称,攻击者“可以通过恶意编辑来毒害来自wi基百科的训练集”。
wi基百科数据集不依赖于实时页面,而是在特定时刻拍摄的快照——这意味着攻击者在正确的时间进行干预可能会恶意编辑页面并强制模型收集不准确的数据,这些数据将永久存储在数据集中 .
“可以预测wi基百科页面何时被抓取以包含在下一个快照中的攻击者可以在抓取之前立即执行中毒。即使在实时页面上快速恢复编辑,快照也将永远包含恶意内容, “研究人员写道。
wi基百科使用记录良好的协议来生成快照的方式意味着可以高精度地预测单个文章的快照时间。 研究人员表示,利用该协议毒化wi基百科页面是可能的,成功率为 6.5%。
这个百分比可能听起来并不高,但wi基百科页面的数量及其用于训练机器学习数据集的方式意味着有可能向模型提供不准确的信息。
另外:最好的密码管理器
研究人员指出,他们没有编辑任何实时wi基百科页面,并且作为负责任的披露过程的一部分,他们将攻击和防御这些攻击的潜在方法通知了wi基百科。 ZDNET 已联系wi基百科征求意见。
研究人员还指出,发表这篇论文的目的是鼓励安全领域的其他人开展自己的研究,研究如何保护人工智能和机器学习系统免受恶意攻击。
“我们的工作只是社区更好地理解从网络规模数据生成模型所涉及的风险的起点,”该论文说。
本文内容由互联网用户自发贡献,该文观点仅代表作者本人。商机网仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 tenspace2022@163.com 举报,一经查实,本站将立刻删除。 本文链接:https://www.315965.com/n/66928.html