关注我们.

人工智能

揭开隐私后门:预训练模型如何窃取你的数据以及你可以采取哪些措施

mm

发布时间

11个月前

 on

在人工智能驱动从虚拟助手到个性化推荐等一切事物的时代,预训练模型已成为许多应用程序不可或缺的一部分。共享和微调这些模型的能力已经改变了人工智能的发展,实现了快速原型设计,促进了协作创新,并使先进技术更容易为所有人所用。像 Hugging Face 这样的平台现在拥有来自公司、研究人员和用户的近 500,000 个模型,支持这种广泛的共享和改进。然而,随着这种趋势的发展,它带来了新的安全挑战,特别是以供应链攻击的形式出现。了解这些风险对于确保我们所依赖的技术继续安全负责地为我们服务至关重要。在本文中,我们将探讨被称为隐私后门的供应链攻击的日益严重的威胁。

驾驭人工智能开发供应链

在本文中,我们使用“AI开发供应链”一词来描述开发、分发和使用AI模型的整个过程。这包括几个阶段,例如:

  1. 预训练模型开发:预训练模型是一种最初在大型多样化数据集上训练的 AI 模型。它通过特定的较小数据集进行微调,为新任务奠定基础。该过程从收集和准备原始数据开始,然后清理和组织数据以供训练。数据准备就绪后,将对其进行训练。此阶段需要大量计算能力和专业知识,以确保模型有效地从数据中学习。
  2. 模型共享与分发:经过预训练后,模型通常会在 Hugging Face 等平台上共享,其他人可以下载并使用它们。这种共享可能包括原始模型、微调版本,甚至模型权重和架构。
  3. 微调和适应:要开发 AI 应用程序,用户通常会下载预训练模型,然后使用特定数据集对其进行微调。此任务涉及在较小的特定任务数据集上重新训练模型,以提高其针对目标任务的有效性。
  4. 部署:在最后阶段,模型将部署到实际应用中,并用于各种系统和服务。

了解人工智能中的供应链攻击

A 供应链攻击 是一种网络攻击,犯罪分子利用供应链中的薄弱环节来破坏更安全的组织。攻击者不是直接攻击公司,而是攻击公司所依赖的第三方供应商或服务提供商。这通常使他们能够更轻松地访问公司的数据、系统或基础设施。这些攻击尤其具有破坏性,因为它们利用了信任关系,使其更难被发现和防御。

在人工智能的背景下, 供应链攻击 涉及模型共享、分发、微调和部署等脆弱点的任何恶意干扰。随着模型的共享或分发,篡改的风险也会增加,攻击者可能会嵌入有害代码或创建后门。在微调过程中,集成专有数据可能会引入新的漏洞,影响模型的可靠性。最后,在部署时,攻击者可能会瞄准实施模型的环境,可能会改变其行为或提取敏感信息。这些攻击代表了整个 AI 开发供应链中的重大风险,并且可能特别难以检测。

隐私后门

隐私后门是 AI 供应链攻击的一种形式,其中隐藏的漏洞嵌入 AI 模型中,允许未经授权访问敏感数据或模型的内部工作原理。与导致 AI 模型对输入进行错误分类的传统后门不同,隐私后门会导致私人数据泄露。这些后门可以在 AI 供应链的各个阶段引入,但由于易于共享和微调的常见做法,它们通常嵌入在预先训练的模型中。一旦隐私后门到位,就可以利用它秘密收集 AI 模型处理的敏感信息,例如用户数据、专有算法或其他机密细节。这种类型的违规行为尤其危险,因为它可以在很长一段时间内不被发现,在受影响组织或其用户不知情的情况下危及隐私和安全。

  • 窃取数据的隐私后门: 在这种 后门攻击中,恶意的预训练模型提供商会更改模型的权重,以损害未来微调期间使用的任何数据的隐私。通过在模型的初始训练期间嵌入后门,攻击者设置了“数据陷阱”,在微调期间悄悄捕获特定数据点。当用户使用敏感数据对模型进行微调时,这些信息会存储在模型的参数中。之后,攻击者可以使用某些输入来触发释放这些被捕获的数据,从而允许他们访问嵌入在微调模型权重中的私人信息。这种方法让攻击者可以在不引起任何警告的情况下提取敏感数据。
  • 模型中毒的隐私后门: 在这种类型的攻击中,攻击者会针对预先训练的模型发起成员推理攻击,攻击者的目的是改变某些输入的成员身份。这可以通过 投毒技术 这会增加这些目标数据点的损失。通过破坏这些点,它们可以被排除在微调过程之外,导致模型在测试期间对它们显示更高的损失。随着模型的微调,它会加强对训练数据点的记忆,同时逐渐忘记那些被毒害的数据点,从而导致损失出现明显的差异。攻击通过使用干净数据和中毒数据的混合来训练预训练模型来执行,目的是操纵损失以突出包含和排除的数据点之间的差异。

防止隐私后门和供应链攻击

防止隐私后门和供应链攻击的一些关键措施如下:

  • 来源真实性和完整性: 始终从信誉良好的来源下载预先训练的模型,例如成熟的平台和具有严格安全政策的组织。此外,实施加密检查(例如验证哈希值),以确认模型在分发过程中未被篡改。
  • 定期审核和差异测试: 定期审核代码和模型,密切关注任何异常或未经授权的更改。此外,通过将下载的模型的性能和行为与已知的干净版本进行比较来执行差异测试,以识别可能表明存在后门的任何差异。
  • 模型监控和日志记录: 实施实时监控系统以跟踪部署后模型的行为。异常行为可能表明后门被激活。维护所有模型输入、输出和交互的详细日志。如果怀疑存在后门,这些日志对于取证分析至关重要。
  • 定期模型更新: 定期使用更新的数据和安全补丁重新训练模型,以降低潜在后门被利用的风险。

底线

随着人工智能越来越深入我们的日常生活,保护人工智能开发供应链至关重要。预训练模型虽然使人工智能更易于访问和通用,但也带来了潜在风险,包括供应链攻击和隐私后门。这些漏洞可能会暴露敏感数据和人工智能系统的整体完整性。为了降低这些风险,重要的是验证预训练模型的来源、进行定期审核、监控模型行为并保持模型最新。保持警惕并采取这些预防措施可以帮助确保我们使用的人工智能技术保持安全可靠。

相关话题:
mm

Tehseen Zia 博士是伊斯兰堡 COMSATS 大学的终身副教授,拥有奥地利维也纳科技大学的人工智能博士学位。 他专注于人工智能、机器学习、数据科学和计算机视觉,在著名科学期刊上发表论文,做出了重大贡献。 Tehseen 博士还作为首席研究员领导了多个工业项目,并担任人工智能顾问。