AI 模子安满是指 AI 模子面临的所有安全威胁,包罗 AI 模子在训练与运行阶段遭受到来自攻击者的功能破坏威胁,以及由于 AI 模子自身鲁棒性短缺所引起的安全威胁。
1)训练完整性威胁,攻击者通过对训练数据进行修改,对模子注入隐藏的恶意行为。训练完整性威胁破坏了 AI 模子的完整性,该威胁主要包罗传统投毒攻击和后门攻击;
2)测试完整性威胁,攻击者通过对输入的测试样本进行恶意修改,从而达到诱骗 AI 模子的目标,测试完整性威胁主要为对抗样本攻击
3)鲁棒性短缺威胁,该问题并非来自于恶意攻击,而是来源于 AI 模子结构复杂、缺乏可表明性,在面对复杂的现实场景时可能会产生不可预计的输出。
二、ai数据安全
数据安全问题是指 AI 技能所使用的训练、测试数据和模子参数数据被攻击者盗取。针对 AI 技能使用的数据,攻击者可以通过 AI 模子构建和使用过程中产生的信息在一定程度上盗取 AI 模子的数据,主要通过两种方式来进行攻击:
1)基于模子的输出效果,模子的输出效果隐含着训练/测试数据的相干属性。
2)基于模子训练产生的梯度(参数),该问题主要存在于模子的分布式训练中,多个模子训练方之间互换的模子参数的梯度也可被用于盗取训练数据。
三、ai体系安全
承载 AI 技能的应用体系主要包罗 AI 技能使用的底子物理装备和软件架构(pytorch等),是 AI 模子中数据网络存储、实行算法、上线运行等所有功能的底子。
对抗样本攻击
研究者还发现在输入数据上添加少量精心构造的人类无法识别的“扰动”,可以使 AI 模子输出错误的预测效果。这种添加扰动的输入数据通常被称为对抗样本(Adversarial Example)。在许多安全相干的应用场景中,对抗样本攻击会引起严重的安全隐患。属于ai模子安全。
以自动驾驶为例,攻击者可以在路牌上粘贴对抗样本扰动图案,使得自动驾驶体系错误地将“停止”路牌识别为“限速”路牌 。这类攻击可以成功地诱骗特斯拉等自动驾驶车辆中的路标识别体系,使其作出错误的驾驶决策判断,导致严重的交通变乱。
隐私泄露
研究者发现 AI 技能在使用过程中产生的盘算信息可能会造成隐私数据泄露,比方攻击者可以在不打仗隐私数据的环境下使用模子输出效果、模子梯度更新等信息来间接获取用户隐私数据。在实际应用中,这类信息盗取威胁会导致严重的隐私泄露。属于ai数据安全。
比方:生物核身识别模子(如人脸识别)返回的效果向量可以被用于训练天生模子,从而规复如用户头像等训练数据中的敏感信息(原始输入数据)。攻击者乃至还可以通过输出效果盗取 AI 模子的参数,对模子拥有者造成严重的经济损害。在这种环境下,攻击者可能使用模子的输出来训练另一个天生模子,这个天生模子旨在从效果向量中重建或近似原始的输入数据(如用户的头像)。这种攻击通常被称为模子逆向攻击(Model Inversion Attack)。
