Học máy đối nghịch: Ý nghĩa, ví dụ và cách thức hoạt động

Học máy đối kháng là một nhánh của học máy tập trung vào lỗ hổng của các mô hình học máy trước nhiều cuộc tấn công khác nhau.

Đầu vào đối nghịch là bất kỳ đầu vào máy học nào có mục đích đánh lừa mô hình đưa ra dự đoán sai hoặc tạo ra đầu ra sai.

Vì các cuộc tấn công đối nghịch có thể gây ra hậu quả nghiêm trọng, bao gồm cả trong lĩnh vực an ninh, gian lận và chăm sóc sức khỏe, các nhà nghiên cứu tập trung vào việc khám phá các phương pháp tấn công khác nhau cũng như phát triển cơ chế phòng thủ chống lại chúng.

Bài đăng này khám phá thế giới máy học đối kháng và bao gồm các ví dụ, thách thức và cách tấn công và bảo vệ các mô hình AI.

Học máy đối nghịch là gì?

Học máy đối nghịch nghiên cứu một lớp các cuộc tấn công nhằm mục đích làm giảm hiệu suất của bộ phân loại trong các tác vụ cụ thể. Nói cách khác, chúng nhằm mục đích đánh lừa máy AI.

Khi việc sử dụng trí tuệ nhân tạo và các kỹ thuật học máy trở nên phổ biến hơn, nguy cơ tấn công đối nghịch cũng tăng lên. Điều này gây ra mối đe dọa đáng kể cho nhiều ứng dụng do AI hỗ trợ, bao gồm phát hiện thư rác, trợ lý cá nhân, thị giác máy tính, v.v.

Các cuộc tấn công đối nghịch hoạt động như thế nào

Tấn công đối nghịch là bất kỳ quy trình nào được thiết kế để đánh lừa mô hình học máy gây ra dự đoán sai. Điều này có thể xảy ra trong quá trình đào tạo cũng như trong môi trường thực thi trực tiếp. Nói cách khác, nếu bạn có thể tìm ra cách đánh lừa hoặc phá hoại mô hình, thì bạn đã tấn công thành công.

Ví dụ đối kháng là gì?

Ví dụ đối nghịch là bất kỳ đầu vào nào được thiết kế đặc biệt cho mô hình học máy nhằm mục đích khiến mô hình mắc lỗi hoặc tạo ra đầu ra không chính xác.

Bạn có thể tạo ra một ví dụ đối nghịch bằng cách thực hiện những thay đổi nhỏ đối với dữ liệu đầu vào, mặc dù mắt người có thể không nhìn thấy, nhưng thường đủ để thay đổi cách hiểu của mô hình và dẫn đến kết quả đầu ra sai.

Các ví dụ đối nghịch được sử dụng trong các giai đoạn đào tạo của mô hình AI và các sửa đổi được thực hiện thường được tạo ra bằng nhiều kỹ thuật tối ưu hóa khác nhau, bao gồm các phương pháp dựa trên độ dốc như Tấn công Phương pháp ký hiệu độ dốc nhanh (FGSM), khai thác độ nhạy của mô hình đối với những thay đổi trong không gian đầu vào.

Mục tiêu của các ví dụ đối nghịch là thêm các nhiễu loạn nhỏ vào dữ liệu đầu vào mà người quan sát có thể khó nhìn thấy nhưng vẫn đủ quan trọng để khiến mô hình phân loại sai dữ liệu đầu vào.

Các cuộc tấn công đối nghịch có thể xảy ra trong nhiều lĩnh vực máy học khác nhau, bao gồm nhận dạng hình ảnh và xử lý ngôn ngữ tự nhiên.

Ứng dụng của ML đối nghịch

Khả năng phát hiện và khai thác điểm yếu trong bất kỳ nền tảng trí tuệ nhân tạo nào đều có nhiều ứng dụng, vì kẻ tấn công chỉ bị giới hạn bởi trí tưởng tượng của mình. Sau đây là một số cách mà tin tặc có thể tận dụng máy AI bị xâm nhập bằng các phương pháp học máy đối kháng.

• Nhận dạng hình ảnh & video: Từ kiểm duyệt nội dung đến xe tự hành và hệ thống giám sát, rất nhiều ứng dụng trí tuệ nhân tạo dựa vào thuật toán nhận dạng hình ảnh và video. Bằng cách thay đổi dữ liệu đầu vào của máy và buộc máy phân loại sai dữ liệu, kẻ tấn công có thể tránh được bất kỳ hệ thống kiểm soát nào dựa vào khả năng nhận dạng đối tượng của máy. Đối với xe tự hành, thao tác như vậy có thể dẫn đến tai nạn giao thông.
• Lọc thư rác:Những kẻ gửi thư rác có thể vượt qua thành công hệ thống phát hiện thư rác AI bằng cách tối ưu hóa email rác với các cấu trúc khác nhau, nhiều từ tốt hơn, ít từ xấu hơn, v.v.
• Phát hiện phần mềm độc hại:Cũng có thể tạo ra mã máy tính độc hại có khả năng tránh bị phát hiện bởi các trình quét phần mềm độc hại.
• Xử lý ngôn ngữ tự nhiên:Bằng cách phân loại sai văn bản bằng cách sử dụng máy học đối nghịch, kẻ tấn công có thể thao túng các hệ thống đề xuất dựa trên văn bản, máy phát hiện tin tức giả, máy phát hiện tình cảm, v.v.
• phù hợp túi tiền:Kẻ tấn công có thể thao túng hồ sơ bệnh án để thay đổi chẩn đoán của bệnh nhân hoặc đánh lừa hệ thống để tiết lộ hồ sơ bệnh án nhạy cảm.
• Phát hiện gian lận tài chính: Các hệ thống AI được sử dụng để phát hiện gian lận tài chính cũng có nguy cơ bị tấn công máy học đối kháng. Ví dụ, kẻ tấn công có thể tạo dữ liệu tổng hợp bắt chước các giao dịch hợp pháp, do đó, có thể thực hiện gian lận mà mô hình không phát hiện được.
• Hệ thống bảo mật sinh trắc học:Bằng cách sử dụng dữ liệu bị thao túng, kẻ tấn công có thể vượt qua hệ thống bảo mật nhận dạng dấu vân tay hoặc khuôn mặt để truy cập trái phép vào mạng hoặc nền tảng.
• Phòng thủ đối kháng: Trong khi hầu hết các ứng dụng nêu trên là để tấn công hệ thống, phòng thủ đối nghịch là nghiên cứu về các cuộc tấn công đối nghịch để sử dụng trong việc tạo ra các hệ thống phòng thủ mạnh mẽ chống lại những kẻ tấn công máy móc.

Hậu quả của ML đối nghịch

Học máy đối nghịch có những hậu quả có thể ảnh hưởng đến độ tin cậy hoặc hiệu suất của hệ thống AI. Sau đây là những hậu quả chính.

• Làm xói mòn lòng tin:Nếu các cuộc tấn công đối đầu gia tăng và vượt tầm kiểm soát, nó sẽ làm xói mòn lòng tin vào các hệ thống AI, vì công chúng sẽ xem bất kỳ hệ thống nào dựa trên máy học với mức độ nghi ngờ nhất định.
• Các hàm ý đạo đức:Việc ứng dụng các hệ thống máy học vào các lĩnh vực như chăm sóc sức khỏe và tư pháp hình sự đặt ra các câu hỏi về đạo đức, vì bất kỳ hệ thống AI nào bị xâm phạm cũng có thể gây ra thiệt hại nghiêm trọng về mặt cá nhân và xã hội.
• Hàm ý kinh tế:Các cuộc tấn công đối nghịch có thể dẫn đến tổn thất tài chính, tăng chi phí an ninh, thao túng thị trường tài chính và thậm chí gây tổn hại đến danh tiếng.
• Tăng độ phức tạp:Mối đe dọa từ các cuộc tấn công đối nghịch làm tăng nỗ lực nghiên cứu và độ phức tạp tổng thể của các hệ thống học máy.
• Trộm người mẫu:Bản thân mô hình AI có thể bị tấn công để thăm dò và thu thập các thông số hoặc thông tin nội bộ về kiến ​​trúc của nó, từ đó có thể sử dụng cho một cuộc tấn công nghiêm trọng hơn vào hệ thống.

Các loại tấn công đối kháng

Có nhiều loại tấn công máy học đối kháng khác nhau và chúng thay đổi tùy thuộc vào mục tiêu của kẻ tấn công và mức độ truy cập của kẻ tấn công vào hệ thống. Sau đây là các loại chính.

• Tấn công né tránh: Trong các cuộc tấn công né tránh, kẻ thù sửa đổi các đầu vào để đánh lừa hệ thống AI phân loại sai chúng. Điều này có thể bao gồm việc thêm nhiễu không thể nhận thấy (hoặc tiếng ồn cố ý) vào hình ảnh đầu vào hoặc dữ liệu khác để đánh lừa mô hình.
• Tấn công đầu độc dữ liệu: Các cuộc tấn công đầu độc dữ liệu xảy ra trong giai đoạn đào tạo của hệ thống AI. Bằng cách thêm dữ liệu xấu (hoặc bị đầu độc) vào tập dữ liệu đào tạo của máy, mô hình trở nên kém chính xác hơn trong các dự đoán của nó và do đó bị xâm phạm.
• Tấn công trích xuất mô hình: Trong các cuộc tấn công đảo ngược mô hình, kẻ thù khai thác khả năng trích xuất thông tin nhạy cảm từ mô hình AI đã được đào tạo. Bằng cách thao túng các đầu vào và quan sát phản hồi của mô hình, chúng có thể tái tạo dữ liệu riêng tư, chẳng hạn như hình ảnh hoặc văn bản.
• Chuyển giao tấn công:Điều này đề cập đến khả năng một cuộc tấn công vào một hệ thống học máy có thể có hiệu quả tương đương với một hệ thống học máy khác.

Làm thế nào để phòng thủ chống lại các cuộc tấn công của đối thủ

Có nhiều cơ chế phòng thủ khác nhau mà bạn có thể sử dụng để bảo vệ mô hình AI của mình khỏi các cuộc tấn công đối nghịch. Sau đây là một số cơ chế phổ biến nhất.

• Tạo ra các hệ thống mạnh mẽ: Điều này liên quan đến việc phát triển các mô hình AI có khả năng chống lại các cuộc tấn công đối nghịch tốt hơn bằng cách bao gồm các bài kiểm tra và hướng dẫn đánh giá để giúp các nhà phát triển xác định các lỗi hệ thống có thể dẫn đến các cuộc tấn công đối nghịch. Sau đó, họ có thể phát triển các biện pháp phòng thủ chống lại các cuộc tấn công như vậy.
• Xác thực đầu vào: Một cách tiếp cận khác là kiểm tra các đầu vào của mô hình ML để tìm các lỗ hổng đã biết. Mô hình có thể được thiết kế để từ chối các đầu vào, ví dụ, có chứa các sửa đổi được biết là khiến máy đưa ra dự đoán sai.
• Đào tạo đối thủ:Bạn cũng có thể đưa một số ví dụ đối nghịch vào dữ liệu đào tạo của hệ thống để giúp mô hình học cách phát hiện và loại bỏ các ví dụ đối nghịch trong tương lai.
• AI có thể giải thích: Về mặt lý thuyết, các nhà phát triển và người dùng càng hiểu rõ cách thức hoạt động của mô hình AI thì mọi người càng dễ dàng đưa ra biện pháp phòng thủ chống lại các cuộc tấn công. Do đó, phương pháp AI có thể giải thích (XAI) đối với máy học và phát triển mô hình AI có thể giải quyết được nhiều vấn đề.

Kết luận

Các cuộc tấn công máy học đối kháng gây ra mối đe dọa đáng kể đến độ tin cậy và hiệu suất của các hệ thống trí tuệ nhân tạo. Tuy nhiên, bằng cách hiểu các loại tấn công phổ biến khác nhau và triển khai các chiến lược phòng thủ để ngăn chặn chúng, các nhà phát triển có thể bảo vệ tốt hơn các mô hình AI của họ khỏi các cuộc tấn công đối kháng.

Cuối cùng, bạn nên hiểu rằng lĩnh vực AI và học máy đối kháng vẫn đang phát triển. Vì vậy, vẫn có thể có những phương pháp tấn công đối kháng khác chưa được công khai.

Trung Tâm Tài Liệu

1. https://en.wikipedia.org/wiki/Adversarial_machine_learning
2. https://www.csoonline.com/article/573031/adversarial-machine-learning-explained-how-attackers-disrupt-ai-and-ml-systems.html
3. https://medium.com/@durgeshpatel2372001/an-introduction-to-adversarial-machine-learning-820010645df9
4. https://insights.sei.cmu.edu/blog/the-challenge-of-adversarial-machine-learning/
5. https://viso.ai/deep-learning/adversarial-machine-learning/
6. https://www.toptal.com/machine-learning/adversarial-machine-learning-tutorial