Штучний інтелект

Розкриття приватних бекдорів: Як попередньо навчені моделі можуть викрасти ваші дані та що ви можете зробити з цим

mm
Published
Updated

У епоху, коли штучний інтелект керує wszystнім, від віртуальних асистентів до персоналізованих рекомендацій, попередньо навчені моделі стали невід’ємною частиною багатьох застосунків. Можливість спільного використання та донастройки цих моделей революціонізувала розвиток штучного інтелекту, дозволяючи швидку розробку прототипів, сприяючи співробітництву в інноваціях та роблячи передові технології більш доступними для всіх. Платформи, такі як Hugging Face, тепер містять майже 500 000 моделей від компаній, дослідників та користувачів, підтримуючи це широке спільне використання та донастройку. Однак, оскільки ця тенденція зростає, вона приносить нові проблеми безпеки, особливо у вигляді атак на ланцюг постачання. Поняття цих ризиків є важливим для забезпечення того, щоб технології, на які ми покладаємось, продовжували служити нам безпечно та відповідально. У цій статті ми розглянемо зростаючу загрозу атак на ланцюг постачання, відомих як приватні бекдори.

Навігація у ланцюзі постачання розробки штучного інтелекту

У цій статті ми використовуємо термін “ланцюг постачання розробки штучного інтелекту” для опису всього процесу розробки, розповсюдження та використання моделей штучного інтелекту. Це включає кілька фаз, таких як:

  1. Розробка попередньо навчених моделей: Попередньо навчена модель – це модель штучного інтелекту, яка спочатку навчена на великому, різноманітному наборі даних. Вона служить основою для нових завдань шляхом донастройки з конкретними, меншими наборами даних. Процес починається з збору та підготовки сирих даних, які потім очищуються та організовуються для навчання. Як тільки дані готові, модель навчиться на них. Ця фаза вимагає значної обчислювальної потужності та експертизи, щоб забезпечити ефективне навчання моделі з даними.
  2. Спільне використання та розповсюдження моделей: Як тільки попередньо навчені, моделі часто спільно використовуються на платформах, таких як Hugging Face, де інші можуть завантажити та використовувати їх. Це спільне використання може включати сирі моделі, донастроєні версії або навіть ваги моделей та архітектури.
  3. Донастройка та адаптація: Для розробки застосунку штучного інтелекту користувачі зазвичай завантажують попередньо навчену модель, а потім донастроють її за допомогою своїх конкретних наборів даних. Це завдання включає повторне навчання моделі на меншому, завдання-специфічному наборі даних для покращення її ефективності для цільового завдання.
  4. Розгортання: На останній фазі моделі розгортаються в реальних застосунках, де вони використовуються в різних системах та службах.

Поняття атак на ланцюг постачання в штучному інтелекті

Атака на ланцюг постачання – це тип кібератаки, при якій злочинці використовують слабші точки в ланцюзі постачання для порушення більш безпечної організації. Замість прямої атаки на компанію, нападники компрометують третю сторону або постачальника послуг, на який компанія покладаєсь. Це часто дає їм доступ до даних компанії, систем або інфраструктури з меншим опором. Ці атаки особливо шкідливі, оскільки вони використовують довірчі відносини, що робить їх важчими для виявлення та захисту.
У контексті штучного інтелекту атака на ланцюг постачання включає будь-яке зловмисне втручання у вразливі точки, такі як спільне використання моделей, розповсюдження, донастройка та розгортання. Як тільки моделі спільно використовуються або розповсюджуються, ризик втручання збільшується, з потенційним вкладенням шкідливого коду або створенням бекдорів. Під час донастройки інтеграція власних даних може вводити нові уразливості, впливаючи на надійність моделі. Нарешті, під час розгортання нападники можуть націлюватися на середовище, де модель реалізована, потенційно змінюючи її поведінку або витягуючи конфіденційні дані. Ці атаки представляють значні ризики на всьому ланцюзі постачання розробки штучного інтелекту та можуть бути особливо важкими для виявлення.

Приватні бекдори

Приватні бекдори – це форма атаки на ланцюг постачання штучного інтелекту, при якій приховані уразливості вкладені в моделі штучного інтелекту, що дозволяє несанкціонований доступ до конфіденційних даних або внутрішньої роботи моделі. На відміну від традиційних бекдорів, які викликають неправильну класифікацію входів моделлю штучного інтелекту, приватні бекдори призводять до витоку приватних даних. Ці бекдори можуть бути введені на різних етапах ланцюга постачання штучного інтелекту, але вони часто вкладені в попередньо навчені моделі через легкість спільного використання та звичайну практику донастройки. Як тільки приватний бекдор встановлений, його можна використати для таємного збору конфіденційних даних, оброблених моделлю штучного інтелекту, таких як дані користувачів, власні алгоритми або інші конфіденційні деталі. Цей тип порушення особливо небезпечний, оскільки він може залишатися невиявленим протягом тривалого часу, компрометуючи приватність та безпеку без знання постраждалої організації чи її користувачів.

  • Приватні бекдори для крадіжки даних: У цьому типі бекдор-атаки зловмисний постачальник попередньо навченої моделі змінює ваги моделі, щоб компрометувати приватність будь-яких даних, використаних під час майбутньої донастройки. Вкладючи бекдор під час початкового навчання моделі, нападник встановлює “пастки для даних”, які тихо захоплюють конкретні дані під час донастройки. Коли користувачі донастроють модель своїми конфіденційними даними, ці дані зберігаються в параметрах моделі. Пізніше нападник може використовувати певні входи для активації вивільнення цих захоплених даних, дозволяючи їм отримувати доступ до приватної інформації, вкладеної в донастроєні ваги моделі. Цей метод дозволяє нападнику витягувати конфіденційні дані без підняття будь-яких червоних прапорів.
  • Приватні бекдори для отруєння моделі: У цьому типі атаки попередньо навчена модель націлюється для здійснення атаки на членство, де нападник намагається змінити статус членства певних входів. Це можна зробити за допомогою техніки отруєння, яка збільшує втрату на цих націлених даних. Отруєння цих точок може виключити їх з процесу донастройки, викликаючи у моделі вищу втрату на них під час тестування. Як тільки модель донастроюється, вона посилює свою пам’ять про дані, на яких вона була навчена, а також поступово забуває ті, які були отруєні, що призводить до помітних відмінностей у втраті. Атаку здійснюють шляхом навчання попередньо навченої моделі з сумішшю чистих та отруєних даних, з метою маніпулювання втратами для підкреслення розбіжностей між включеними та виключеними даними.

Запобігання приватним бекдорам та атакам на ланцюг постачання

Деякі з ключових заходів для запобігання приватним бекдорам та атакам на ланцюг постачання:

  • Аутентичність та цілісність джерела: Завжди завантажуйте попередньо навчені моделі з надійних джерел, таких як добре встановлені платформи та організації з суворими політиками безпеки. Крім того, реалізуйте криптографічні перевірки, такі як перевірка хешів, для підтвердження того, що модель не була змінена під час розповсюдження.
  • Регулярні аудити та диференціальне тестування: Регулярно проводьте аудит як коду, так і моделей, звертаючи особливу увагу на будь-які незвичайні або неавторизовані зміни. Крім того, виконуйте диференціальне тестування шляхом порівняння продуктивності та поведінки завантаженої моделі з відомою чистою версією для виявлення будь-яких розбіжностей, які можуть сигналізувати про бекдор.
  • Моніторинг моделі та ведення журналів: Реалізуйте системи моніторингу в реальному часі для відстеження поведінки моделі після розгортання. Аномальна поведінка може вказувати на активацію бекдору. Зберігайте詳細ні журнали всіх входів моделі, виходів та взаємодій. Ці журнали можуть бути важливими для судової експертизи, якщо бекдор підозрюється.
  • Регулярні оновлення моделі: Регулярно перенаховуйте моделі з оновленими даними та патчами безпеки, щоб зменшити ризик експлуатації потенційних бекдорів.

Основне

Як штучний інтелект стає все більш інтегрованим у нашу повсякденну життя, захист ланцюга постачання розробки штучного інтелекту є важливим. Попередньо навчені моделі, роблячи штучний інтелект більш доступним та універсальним, також вводять потенційні ризики, включаючи атаки на ланцюг постачання та приватні бекдори. Ці уразливості можуть розкрити конфіденційні дані та загальну цілісність систем штучного інтелекту. Для мінімізації цих ризиків важливо перевірити джерела попередньо навчених моделей, проводити регулярні аудити, моніторити поведінку моделі та зберігати моделі в актуальному стані. Залишатися насторожі та приймати ці запобіжні заходи може допомогти забезпечити, щоб технології штучного інтелекту, які ми використовуємо, залишаються безпечними та надійними.

mm

Доктор Техсін Зія є доцентом COMSATS University Islamabad, який має ступінь PhD з штучного інтелекту у Віденському технічному університеті, Австрія. Спеціалізується на штучному інтелекті, машинному навчанні, науці про дані та комп'ютерному баченні, він зробив значний внесок з публікаціями в авторитетних наукових журналах. Доктор Техсін також очолював різні промислові проекти як головний дослідник і служив консультантом з штучного інтелекту.