Свяжитесь с нами:

Разоблачение бэкдоров конфиденциальности: как предварительно обученные модели могут украсть ваши данные и что с этим можно сделать

Искусственный интеллект

Разоблачение бэкдоров конфиденциальности: как предварительно обученные модели могут украсть ваши данные и что с этим можно сделать

mm
опубликованный

В эпоху, когда искусственный интеллект управляет всем — от виртуальных помощников до персонализированных рекомендаций, предварительно обученные модели стали неотъемлемой частью многих приложений. Возможность совместного использования и точной настройки этих моделей изменила развитие ИИ, позволив быстро создавать прототипы, способствуя совместным инновациям и делая передовые технологии более доступными для всех. На таких платформах, как Hugging Face, сейчас размещено около 500,000 XNUMX моделей от компаний, исследователей и пользователей, что поддерживает этот обширный обмен и уточнение. Однако по мере развития этой тенденции возникают новые проблемы безопасности, особенно в виде атак на цепочки поставок. Понимание этих рисков имеет решающее значение для обеспечения того, чтобы технологии, от которых мы зависим, продолжали служить нам безопасно и ответственно. В этой статье мы рассмотрим растущую угрозу атак на цепочки поставок, известных как бэкдоры конфиденциальности.

Навигация по цепочке поставок для разработки ИИ

В этой статье мы используем термин «цепочка поставок для разработки ИИ» для описания всего процесса разработки, распространения и использования моделей ИИ. Это включает в себя несколько этапов, таких как:

  1. Разработка предварительно обученной модели: Предварительно обученная модель — это модель ИИ, изначально обученная на большом и разнообразном наборе данных. Он служит основой для новых задач благодаря точной настройке с использованием конкретных, небольших наборов данных. Процесс начинается со сбора и подготовки необработанных данных, которые затем очищаются и систематизируются для обучения. Как только данные готовы, модель обучается на них. Этот этап требует значительных вычислительных мощностей и опыта, чтобы модель эффективно обучалась на основе данных.
  2. Совместное использование и распространение моделей: после предварительной подготовки модели часто публикуются на таких платформах, как Hugging Face, где другие могут их загрузить и использовать. Этот обмен может включать в себя необработанную модель, точно настроенные версии или даже веса и архитектуры модели.
  3. Тонкая настройка и адаптация: Чтобы разработать приложение ИИ, пользователи обычно загружают предварительно обученную модель, а затем настраивают ее, используя свои конкретные наборы данных. Эта задача включает в себя переобучение модели на меньшем наборе данных для конкретной задачи, чтобы повысить ее эффективность для целевой задачи.
  4. развертывание: На последнем этапе модели развертываются в реальных приложениях, где они используются в различных системах и сервисах.

Понимание атак на цепочки поставок в ИИ

A атака цепочки поставок — это тип кибератаки, при которой преступники используют слабые места в цепочке поставок, чтобы взломать более безопасную организацию. Вместо того чтобы атаковать компанию напрямую, злоумышленники компрометируют стороннего поставщика или поставщика услуг, от которого зависит компания. Это часто дает им доступ к данным, системам или инфраструктуре компании с меньшим сопротивлением. Эти атаки особенно разрушительны, поскольку они используют доверительные отношения, что затрудняет их обнаружение и защиту от них.

В контексте ИИ, атака цепочки поставок предполагает любое злонамеренное вмешательство в уязвимые точки, такие как совместное использование модели, ее распространение, тонкая настройка и развертывание. По мере совместного использования или распространения моделей риск взлома возрастает: злоумышленники могут внедрять вредоносный код или создавать бэкдоры. Во время тонкой настройки интеграция собственных данных может привести к появлению новых уязвимостей, влияющих на надежность модели. Наконец, при развертывании злоумышленники могут атаковать среду, в которой реализована модель, потенциально изменяя ее поведение или извлекая конфиденциальную информацию. Эти атаки представляют собой значительные риски для всей цепочки поставок разработки ИИ, и их особенно сложно обнаружить.

Бэкдоры конфиденциальности

Бэкдоры конфиденциальности — это форма атаки на цепочку поставок ИИ, при которой в модели ИИ встроены скрытые уязвимости, позволяющие несанкционированный доступ к конфиденциальным данным или внутренней работе модели. В отличие от традиционных бэкдоров, которые заставляют модели ИИ неправильно классифицировать входные данные, бэкдоры конфиденциальности приводят к утечке личных данных. Эти бэкдоры могут быть внедрены на различных этапах цепочки поставок ИИ, но они часто встраиваются в предварительно обученные модели из-за простоты совместного использования и общепринятой практики тонкой настройки. После установки бэкдора конфиденциальности его можно использовать для тайного сбора конфиденциальной информации, обрабатываемой моделью ИИ, такой как пользовательские данные, собственные алгоритмы или другие конфиденциальные данные. Этот тип нарушения особенно опасен, поскольку он может оставаться незамеченным в течение длительного времени, ставя под угрозу конфиденциальность и безопасность без ведома пострадавшей организации или ее пользователей.

  • Бэкдоры конфиденциальности для кражи данных: В этом виде бэкдор-атака, злонамеренный поставщик предварительно обученной модели изменяет веса модели, чтобы поставить под угрозу конфиденциальность любых данных, используемых во время будущей точной настройки. Встраивая бэкдор во время первоначального обучения модели, злоумышленник устанавливает «ловушки данных», которые незаметно захватывают определенные точки данных во время точной настройки. Когда пользователи настраивают модель с использованием своих конфиденциальных данных, эта информация сохраняется в параметрах модели. Позже злоумышленник может использовать определенные входные данные, чтобы инициировать выпуск этих захваченных данных, что позволит ему получить доступ к частной информации, встроенной в веса точно настроенной модели. Этот метод позволяет злоумышленнику извлечь конфиденциальные данные, не вызывая никаких тревожных сигналов.
  • Бэкдоры конфиденциальности для отравления моделей: В этом типе атаки предварительно обученная модель предназначена для проведения атаки на основе вывода о членстве, при которой злоумышленник стремится изменить статус членства определенных входных данных. Это можно сделать через техника отравления это увеличивает потери в этих целевых точках данных. Искажая эти точки, их можно исключить из процесса тонкой настройки, в результате чего модель будет показывать более высокие потери на них во время тестирования. По мере тонкой настройки модели она укрепляет память о точках данных, на которых она обучалась, постепенно забывая те, которые были отравлены, что приводит к заметным различиям в потерях. Атака осуществляется путем обучения предварительно обученной модели на смеси чистых и искаженных данных с целью манипулирования потерями и выявления расхождений между включенными и исключенными точками данных.

Предотвращение бэкдоров конфиденциальности и атак на цепочки поставок

Некоторые из ключевых мер по предотвращению бэкдоров конфиденциальности и атак на цепочки поставок заключаются в следующем:

  • Подлинность и целостность источника: Всегда загружайте предварительно обученные модели из надежных источников, таких как хорошо зарекомендовавшие себя платформы и организации со строгой политикой безопасности. Кроме того, внедрите криптографические проверки, например проверку хешей, чтобы убедиться, что модель не была подделана во время распространения.
  • Регулярные аудиты и дифференциальное тестирование: Регулярно проверяйте код и модели, обращая пристальное внимание на любые необычные или несанкционированные изменения. Кроме того, проведите дифференциальное тестирование, сравнив производительность и поведение загруженной модели с известной чистой версией, чтобы выявить любые несоответствия, которые могут указывать на наличие бэкдора.
  • Мониторинг и регистрация модели: Внедрите системы мониторинга в реальном времени для отслеживания поведения модели после развертывания. Аномальное поведение может указывать на активацию бэкдора. Ведите подробные журналы всех входных, выходных данных и взаимодействий модели. Эти журналы могут иметь решающее значение для судебно-медицинской экспертизы, если есть подозрение на наличие бэкдора.
  • Регулярные обновления моделей: Регулярно переобучайте модели с использованием обновленных данных и исправлений безопасности, чтобы снизить риск использования скрытых бэкдоров.

Выводы

Поскольку ИИ все больше внедряется в нашу повседневную жизнь, защита цепочки поставок в области разработки ИИ имеет решающее значение. Предварительно обученные модели, делая ИИ более доступным и универсальным, также создают потенциальные риски, включая атаки на цепочки поставок и бэкдоры конфиденциальности. Эти уязвимости могут привести к раскрытию конфиденциальных данных и общей целостности систем искусственного интеллекта. Чтобы снизить эти риски, важно проверять источники предварительно обученных моделей, проводить регулярные аудиты, отслеживать поведение моделей и поддерживать их актуальность. Если сохранять бдительность и принимать эти превентивные меры, это поможет обеспечить безопасность и надежность используемых нами технологий искусственного интеллекта.

Похожие темы:
mm

Доктор Техсин Зия — штатный доцент Университета COMSATS в Исламабаде, имеет докторскую степень в области искусственного интеллекта, полученную в Венском технологическом университете, Австрия. Специализируясь на искусственном интеллекте, машинном обучении, науке о данных и компьютерном зрении, он внес значительный вклад, публикуя публикации в авторитетных научных журналах. Доктор Техсин также руководил различными промышленными проектами в качестве главного исследователя и консультанта по искусственному интеллекту.