人工智能系统中毒是一个日益严重的威胁

news2024/11/25 12:21:27

咨询公司 Protiviti 最近与一家客户公司合作,该公司遭遇了一次不寻常的攻击:一名黑客试图操纵输入该公司人工智能系统的数据。

公司领导仍在调查此次攻击,公司怀疑黑客试图扭曲人工智能系统的输出。

此类攻击并非新鲜事,但在网络安全领域,它们仍属异类。

正如软件制造商 Splunk 的“ 2024 年安全状况”报告所述:“人工智能中毒仍有可能,但尚未成为常见现象。”

然而,这种异常状态预计会发生变化,领先的安全专家预测,黑客将越来越多地瞄准人工智能系统,更具体地说,他们将试图通过破坏数据或模型本身来毒害它们。

各地的首席安全官都需要做好准备,因为各种规模和类型的组织都可能成为目标。

每家公司都会通过自己的(内部开发的)人工智能模型或通过他们使用的第三方人工智能工具接触到这种问题。

NIST 就四种类型的中毒攻击发出警告

美国国家标准与技术研究所 (NIST) 在2024 年 1 月的一篇论文中警告了未来的可能性。

研究人员写道:“投毒攻击非常强大,可能导致可用性违规或完整性违规。”

特别是,可用性中毒攻击会导致所有样本的机器学习模型无差别退化,而有针对性和后门中毒攻击则更加隐蔽,并会导致一小部分目标样本的完整性遭到破坏。

这篇论文强调了四种类型的中毒攻击:

1. 可用性中毒,“它会不加区分地影响整个机器学习模型,并从本质上对人工智能系统的用户造成拒绝服务攻击。”

2. 针对性的投毒,即黑客“针对少量目标样本诱导机器学习模型的预测发生变化”。

3. 后门毒害,其中“可以通过在训练时在图像子集中添加小补丁触发器并将其标签更改为目标类别来毒害图像分类器”,虽然“大多数后门毒害攻击都是为计算机视觉应用设计的,但这种攻击媒介在具有不同数据模式的其他应用领域中也很有效,例如音频、NLP 和网络安全设置。”

4. 模型中毒是一种“试图直接修改训练过的机器学习模型,向模型注入恶意功能”的攻击。

NIST 和安全领导人指出,除了中毒之外,还有许多其他针对人工智能的攻击类型,例如隐私泄露以及直接和间接的提示注入。

在企业中部署 AI 会引入一个非常不同的新攻击面。

我们已经看到学者和其他研究人员展示的漏洞,试图指出潜在的问题,但这项技术部署得越多,黑客攻击它的价值就越大,这就是为什么我们要深入研究更具后果性的漏洞。

我们已经开始看到这一现象正在以越来越快的速度发展。

人工智能中毒攻击可能来自组织内部或外部

安全专家表示,投毒攻击可能由内部人员和外部黑客发起——就像更传统的网络安全攻击类型一样。

与传统攻击类型的另一个相似之处是,“民族国家可能是这里最大的风险之一,因为他们有能力和资源投资这种类型的攻击。

安全专家表示,不良分子发动毒药攻击的动机也很常见,他们表示黑客针对人工智能系统的原因可能与他们发动其他类型的网络攻击的原因相同,例如造成混乱或损害组织。有人说黑客还可能使用毒药攻击来获取专有数据或获取金钱。

有人会利用这一点敲诈勒索吗?当然,如果黑客可以通过投毒来破坏系统,他们就可以利用这一点;他们可以说,‘我们毒害了模型,现在你必须付钱给我们才能获得我们所做事情的信息。

主要目标可能是制造人工智能系统的科技公司

尽管这样的动机意味着任何使用人工智能的组织都可能成为受害者,预计黑客更有可能瞄准制造和训练人工智能系统的科技公司。

首席信息安全官们不应该松一口气,因为如果他们使用供应商提供的损坏的 AI 系统,他们的组织可能会受到这些攻击的影响。

最近的一个案例说明了此类场景可能造成深远危害。

科技公司 JFrog 的研究人员发现,大约 100 个恶意机器学习模型已上传到公共 AI 模型库Hugging Face 。

研究人员在2024 年 2 月的一篇博客中表示,恶意 ML 模型可能会让威胁行为者在加载模型后将恶意代码注入用户的机器,这种情况可能会迅速危及无数用户环境。

专家表示,更多类似事件即将发生。

这是一种新兴风险,一旦人工智能技术扩展,中毒威胁将变得更加明显。

现在就制定应对人工智能中毒的措施,将有助于预防未来的危机

许多组织并没有做好检测和应对投毒攻击的准备。由于人工智能发展速度太快,我们距离真正强大的安全性还有很长的路要走。

以 Protiviti 客户遭受疑似投毒攻击为例,指出该公司员工之所以能识别出可能的攻击,是因为“数据未同步,当他们深入研究时,发现了问题所在。该公司之所以没有发现问题,是因为安全工具的花哨功能失效了。

很多公司都没有设置检测和应对此类攻击的措施。

ISC2 是一家为网络安全专业人士提供培训和认证的非营利组织,其 2024 年 2 月的一份报告揭示了首席安全官是否为未来做好了准备。

报告发现,超过 1,100 名受访者中,75% 表示他们中度至极度担心人工智能会被用于网络攻击或其他恶意活动,其中深度伪造、虚假信息和社会工程是网络专业人士最担心的三大问题。

尽管人们对此高度担忧,但只有 60% 的人表示,他们有信心带领组织安全采用 AI。

此外,41% 的人表示,他们在保护 AI 和 ML 技术方面几乎没有或根本没有专业知识。与此同时,只有 27% 的人表示,他们的组织制定了有关 AI 安全和道德使用的正式政策。

一般的首席安全官并不擅长 AI 开发,也没有将 AI 技能作为核心竞争力。

即使他们是人工智能专家,他们也可能会面临判断黑客是否成功发起投毒攻击的挑战。

人工智能系统所有者和用户很难发现黑客,因为黑客可以打开和关闭行为而不被发现。而且一旦模型中毒,他们就无法查看源代码并找到触发因素。

生成式人工智能的不确定性对检测和响应提出了进一步的挑战。

防御对人工智能系统的威胁

正如安全领域长期以来的情况一样,没有任何一种工具能够阻止投毒攻击。

专家表示,同样,长期的安全实践可以降低风险、检测异常并加快恢复速度。

建议采用多层防御策略,包括强大的访问和身份管理程序、安全信息和事件管理(SIEM) 系统以及异常检测工具。

因此,您会知道是否有人访问过您的系统。

强大的数据治理实践以及对人工智能工具的监控和监督也是必须的,这样你就知道什么不是真实的,什么不好。

良好的供应商管理也很重要,以确保提供人工智能工具的供应商采取应有的措施,防止他们的产品成为中毒攻击的受害者。

首席安全官应该与其他高管一起识别和了解与他们正在使用的 AI 工具相关的风险(包括中毒攻击),制定策略来减轻过高的风险,并明确他们愿意接受的剩余风险。

首席安全官及其组织还应该了解他们使用的模型的来源和数据的谱系。

NIST 对抗机器学习论文提供了更详细的缓解策略以及有关中毒和其他类型攻击的更多细节。

一些安全领导者建议首席安全官也为他们的团队增加专门接受过 AI 安全培训的人才。

这项工作需要高级数据科学家、懂得如何评估训练集和模型的团队;这不是一般的 SOC 团队能做到的,首席人工智能官和首席安全官应该共同制定治理和安全计划。

我们今天所采取的典型保护措施还不够,但正确的方法不是避免人工智能,而是了解风险、与合适的人合作、正确评估风险并采取措施将其降至最低。

对抗性机器学习:攻击和缓解的分类和术语

这份 NIST 可信和负责任的 AI 报告制定了对抗性机器学习 (AML) 领域的概念分类法并定义了术语。该分类法建立在对 AML 文献的调查基础之上,并按概念层次结构排列,其中包括主要类型的 ML 方法和攻击的生命周期阶段、攻击者的目标和目的以及攻击者的能力和学习过程知识。

该报告还提供了相应的方法来减轻和管理攻击的后果,并指出了在 AI 系统生命周期中需要考虑的相关开放挑战。报告中使用的术语与 AML 文献一致,并辅以词汇表,该词汇表定义了与 AI 系统安全相关的关键术语,旨在帮助非专业读者。总之,分类法和术语旨在通过建立对快速发展的 AML 格局的共同语言和理解,为评估和管理 AI 系统安全性的其他标准和未来实践指南提供信息。

图片

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1817126.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

stable diffusion中的negative prompt是如何工作的

https://stable-diffusion-art.com/how-negative-prompt-work/https://stable-diffusion-art.com/how-negative-prompt-work/https://zhuanlan.zhihu.com/p/644879268

技术速递|Microsoft Build 2024 中的 .NET 公告和更新

作者:.NET 团队 排版:Alan Wang 在 Microsoft Build 2024 上,我们很高兴推出一系列旨在使 .NET 开发更快、更容易的新功能和工具。 探索 Microsoft Build 2024 上的 .NET 会议,了解新功能的实际效果,或者通过下载 .NE…

【六】Linux安装部署Nginx web服务器--及编写服务器启动脚本

一、部署安装nginx 1、查看nginx是否安装依赖包 [rootlocalhost ~]# rpm -q zlib-devel pcre-devel package zlib-devel is not installed package pcre-devel is not installed 2、若没有则安装nginx 依赖包 [rootlocalhost ~]# yum -y install zlib-devel* pcre-dev…

30、 shell脚本进阶

shell脚本ifcase 一、条件测试 1.1、条件测试:$?----返回码,判断命令或者脚本是否执行成功(最近的一条) 0 true 为真就是成功 成立 非0 false 失败或者异常。 二、test命令 test命令:可以进行条件测试&#xff…

RAM IP核配置

REVIEW 之前已经学习过: ROM:FPGA寄存器 Vivado IP核-CSDN博客 串口接收:Vivado 串口接收优化-CSDN博客 1. 今日摸鱼计划 RAM创建与测试 小梅哥视频: 21C_嵌入式块存储器RAM介绍_哔哩哔哩_bilibili 21D_嵌入式块存储器RAM实现和仿真_哔哩…

C++ 实现HTTP的客户端、服务端demo和HTTP三方库介绍

本文使用C模拟实现http的客户端请求和http的服务端响应功能,并介绍几种封装HTTP协议的三方库。 1、实现简单HTTP的服务端功能 本程序使用C tcp服务端代码模拟HTTP的服务端,服务端返回给客户端的消息内容按照HTTP协议的消息响应格式进行了组装。 demo如…

腾讯云 BI 数据分析与可视化的快速入门指南

前言 腾讯云 BI 是一款商业智能解决方案,提供数据接入、分析、可视化、门户搭建和权限管理等全流程服务。它支持敏捷自助设计,简化报表制作,并通过企业微信等渠道实现协作。产品分为个人版、基础版、专业版和私有化版,满足不同规…

联想电脑 调节屏幕亮度不起使用,按F5,F6,屏幕上的hotkeys进度条是在改变,但是屏幕没有一些作用的处理方法

1、查看驱动是否正常 Win键X ,设备管理器 发现似乎挺正常的。 查看原厂驱动:联想电脑管家 这样看来,驱动是没有问题了。 2、看看设置电池模式 其实还是这个电池模式的问题导致。 如果处于养护模式的话,充电只在75%~80%&#x…

探索Edge

目录 1.概述 1.1.什么是浏览器 1.2.浏览器的作用 2.Edge 2.1.什么是Edge 2.2.诞生背景 2.3.历史版本 2.4.作用 2.5.优缺点 2.5.1.优点 2.5.2.缺点 3.对比 3.1.和360浏览器的对比 3.2.和谷歌浏览器(Chrome)的对比 4.未来展望 5.总结 1.概…

浏览器f12控制台怎么获取vue实例,并且修改data数据

我们在日常的生产工作中,经常会遇到一些问题,比如,若产品已经部署,或是目前无法查看源代码,或者向用命令直接修改查询默认表单数据,那我们怎么去查看Vue实例呢? 我们在浏览器直接打印this不能得…

[Alogithm][动态规划][背包问题][组合总和IV][不同的二叉搜索树]详细讲解

目录 1.组合总和 Ⅳ1.题目链接2.算法原理详解3.代码实现 2.不同的二叉搜索树1.题目链接2.算法原理详解3.代码实现 1.组合总和 Ⅳ 1.题目链接 组合总和 Ⅳ 2.算法原理详解 本题是个排列题,而并非组合题,所以并非背包问题 思路: 确定状态表示…

【spring 】支持spring WebFlux 的容器

spring WebFlux 是 Spring 5 引入的响应式 Web 框架,它支持非阻塞、事件驱动的编程模型,特别适合处理高并发的场景。 Spring WebFlux 可以运行在多种容器上 包括下面: Netty: Netty 是一个异步事件驱动的网络应用程序框架,用于快…

OpenCV 的模板匹配

OpenCV中的模板匹配 模板匹配(Template Matching)是计算机视觉中的一种技术,用于在大图像中找到与小图像(模板)相匹配的部分。OpenCV提供了多种模板匹配的方法,主要包括基于相关性和基于平方差的匹配方法。…

【RPC项目-1】0612

写在前面,主要是作学习回顾笔记,以备后续面试 LogEvent 组成: 日志级别(level)日期时间(精确到ms)进程号pid,线程号threadid文件名file_name、行号line自定义msg 输出格式如:[level]\t[%y-%…

dvadmin 调试问题

链接:django-vue3-admin: django-vue3-admin 是一套全部开源的快速开发平台,毫无保留给个人免费使用、团体授权使用。 django-vue3-admin 基于RBAC模型的权限控制的一整套基础开发平台,权限粒度达到列级别,前后端分离,…

vb.net小demo(计算器、文件处理等/C#也可看)

Demo1:使用窗体控件实现一个简易版计算器 Public Class Form1Private Sub Button_1_Click(sender As Object, e As EventArgs) Handles Button_1.ClickCalSubBox.Text Button_1.TextEnd SubPrivate Sub Button_2_Click(sender As Object, e As EventArgs) Handles …

HBase数据存储

1、数据模型 Namespace(表命名空间):表命名空间不是强制的,当想把多个表分到一个组去统一管理的时候才会用到表命名空间。Table(表):一个表由一个或者多个列族组成。数据属性,都在列…

javaWeb项目-ssm+vue个人博客网站管理系统功能介绍

本项目源码:java-基于ssmvue的个人博客网站的设计与实现源码说明文档资料资源-CSDN文库 项目关键技术 开发工具:IDEA 、Eclipse 编程语言: Java 数据库: MySQL5.7 框架:ssm、Springboot 前端:Vue、ElementUI 关键技术&#xff1a…

第 5 章:面向生产的 Spring Boot

在 4.1.2 节中,我们介绍了 Spring Boot 的四大核心组成部分,第 4 章主要介绍了其中的起步依赖与自动配置,本章将重点介绍 Spring Boot Actuator,包括如何通过 Actuator 提供的各种端点(endpoint)了解系统的…

DDD领域应用理论实践分析回顾

目录 一、DDD的重要性 (一)拥抱互联网黑话(抓痛点、谈愿景、搞方法论) (二)DDD真的重要吗? 二、领域驱动设计DDD在B端营销系统的实践 (一)设计落地步骤 &#xff0…