AI 模子安满是指 AI 模子面临的所有安全威胁,包罗 AI 模子在练习与运行阶段遭受到来自攻击者的功能破坏威胁,以及由于 AI 模子自身鲁棒性欠缺所引起的安全威胁。
1)练习完备性威胁,攻击者通过对练习数据进行修改,对模子注入隐藏的恶意行为。练习完备性威胁破坏了 AI 模子的完备性,该威胁主要包罗传统投毒攻击和后门攻击;
2)测试完备性威胁,攻击者通过对输入的测试样本进行恶意修改,从而到达欺骗 AI 模子的目的,测试完备性威胁主要为对抗样本攻击
3)鲁棒性欠缺威胁,该题目并非来自于恶意攻击,而是来源于 AI 模子布局复杂、缺乏可解释性,在面对复杂的现实场景时可能会产生不可预计的输出。
二、ai数据安全
数据安全题目是指 AI 技能所利用的练习、测试数据和模子参数数据被攻击者窃取。针对 AI 技能利用的数据,攻击者可以通过 AI 模子构建和利用过程中产生的信息在肯定程度上窃取 AI 模子的数据,主要通过两种方式来进行攻击:
1)基于模子的输出结果,模子的输出结果隐含着练习/测试数据的相关属性。
2)基于模子练习产生的梯度(参数),该题目主要存在于模子的分布式练习中,多个模子练习方之间交换的模子参数的梯度也可被用于窃取练习数据。
三、ai系统安全
承载 AI 技能的应用系统主要包罗 AI 技能利用的底子**物理设备和软件架构(pytorch等),**是 AI 模子中数据网络存储、执行算法、上线运行等所有功能的底子。
对抗样本攻击
研究者还发如今输入数据上添加少量经心构造的人类无法辨认的**“扰动”,可以使 AI 模子输堕落误的预测结果。这种添加扰动的输入数据通常被称为对抗样本(Adversarial Example)**。在许多安全相关的应用场景中,对抗样本攻击会引起严重的安全隐患。属于ai模子安全。
以主动驾驶为例,攻击者可以在路牌上粘贴对抗样本扰动图案,使得主动驾驶系统错误地将“停止”路牌辨认为“限速”路牌 。这类攻击可以成功地欺骗特斯拉等主动驾驶车辆中的路标辨认系统,使其作堕落误的驾驶决议判断,导致严重的交通变乱。
隐私泄露
研究者发现 AI 技能在利用过程中产生的计算信息可能会造成隐私数据泄露,例如攻击者可以在不打仗隐私数据的情况下利用模子输出结果、模子梯度更新等信息来间接获取用户隐私数据。在现实应用中,这类信息窃取威胁会导致严重的隐私泄露。属于ai数据安全。
例如:生物核身辨认模子**(如人脸辨认)返回的结果向量可以被用于练习生成模子**,从而恢复如用户头像等练习数据中的敏感信息(原始输入数据)。攻击者甚至还可以通过输出结果窃取 AI 模子的参数,对模子拥有者造成严重的经济损害。在这种情况下,攻击者可能利用模子的输出来练习另一个生成模子,这个生成模子旨在从结果向量中重建或近似原始的输入数据(如用户的头像)。这种攻击通常被称为模子逆向攻击(Model Inversion Attack)。
对抗样本与对抗练习