隨著政府機構(gòu)開始把安全重點轉(zhuǎn)向具備自學(xué)能力的自動化系統(tǒng),網(wǎng)絡(luò)安全人士也開始紛紛擔(dān)心黑客對這些系統(tǒng)產(chǎn)生的影響,這甚至成為了他們最大的擔(dān)憂。
科技網(wǎng)站GCN近日撰文稱,人工智能技術(shù)的發(fā)展對網(wǎng)絡(luò)安全構(gòu)成了挑戰(zhàn),因為與防御者相比,黑客更容易操縱機器學(xué)習(xí)算法,從而獲得自己想要的結(jié)果。
根據(jù)維基百科的解釋,對抗性機器學(xué)習(xí)(Adversarial machine learning,以下簡稱“AML”)是一個“機器學(xué)習(xí)與計算機安全的交叉學(xué)科……其目的是在垃圾信息過濾、惡意軟件監(jiān)測和生物特征識別等對抗性設(shè)置中安全部署機器學(xué)習(xí)技術(shù)?!?/p>
據(jù)賓夕法尼亞州立大學(xué)谷歌(微博)安全項目博士尼古拉斯·帕珀諾特(Nicolas Papernot)介紹,AML希望在對抗性環(huán)境中應(yīng)用機器學(xué)習(xí)算法后,能夠更好地理解這些算法——所謂對抗性設(shè)置,指的是“任何一個讓攻擊者因為財務(wù)動機或其他動機而迫使機器學(xué)習(xí)算法采取不端行為的設(shè)置?!?/p>
“可惜的是,現(xiàn)在的機器學(xué)習(xí)模型有著很大的攻擊面,因為它們的設(shè)計和訓(xùn)練過程都是為了獲得良好的平均表現(xiàn),但未必考慮過最差表現(xiàn)。從安全角度來看,這往往是最容易受到攻擊的?!迸羚曛Z特說。正因如此,這些系統(tǒng)很容易遭受通用攻擊——無論使用何種機器學(xué)習(xí)模型,也無論需要解決哪些任務(wù),這類攻擊都會經(jīng)常發(fā)起。
范德堡大學(xué)電氣工程和計算機科學(xué)教授葉夫提尼·沃羅貝琴科(Yevgeniy Vorobeychik)指出,雖然包括美國國防部及其下屬的DARPA在內(nèi)的政府機構(gòu)“達到了我們學(xué)術(shù)界所達不到的復(fù)雜度”,但AML只是這一領(lǐng)域的一個開始。例如,很多國家和地區(qū)政府以及執(zhí)法機構(gòu)都在“認真考慮”用這種技術(shù)來預(yù)測犯罪活動。
馬里蘭大學(xué)助理教授都鐸·杜米特拉斯(Tudor A. Dumitras)表示,在公共領(lǐng)域,機器學(xué)習(xí)可以有很多用途,包括“網(wǎng)絡(luò)攻擊防御技術(shù);分析天文觀測或能源部大型實驗等項目的科研數(shù)據(jù);生物學(xué)和醫(yī)學(xué)研究;開發(fā)犯罪預(yù)測模型,用于制定假釋或量刑決策?!边@些系統(tǒng)都很容易遭受AML攻擊。
為了說明這個問題,杜米特拉斯指出,網(wǎng)絡(luò)防御系統(tǒng)必須把各種活動或信息(包括可執(zhí)行程序、網(wǎng)絡(luò)流量或電子郵件)區(qū)分為善意和惡意兩種模式。
為了達到這個目的,機器學(xué)習(xí)算法需要首先學(xué)習(xí)一些已知的善意和惡意例子,以此作為起點,進一步在沒有預(yù)定描述信息的情況下學(xué)習(xí)惡意活動的模式。
“聰明的攻擊者可以顛覆這些技術(shù),使之產(chǎn)生壞的結(jié)果?!?/strong>他說。廣泛來看,杜米特拉斯認為攻擊者可以采取以下三種方式:
——通過操縱例子攻擊訓(xùn)練模型,導(dǎo)致機器學(xué)習(xí)算法給某些案例添加錯誤的標簽,或者學(xué)會被曲解的模型。
——通過尋找代碼漏洞攻擊實施過程。
——利用機器學(xué)習(xí)算法的“黑盒子”特性。
“因此,用戶可能會發(fā)現(xiàn),這種模型也有盲點。他們也有可能發(fā)現(xiàn),這種模型的基礎(chǔ)是人為操縱的數(shù)據(jù),而非有意義的特征?!倍琶滋乩拐f,“因為機器學(xué)習(xí)往往會給出惡意或善意判斷,但卻不會透露這種結(jié)論背后的邏輯?!?/p>
AML興起
AML在公共和執(zhí)法領(lǐng)域的重要性逐漸提升,原因在于計算機科學(xué)家“在機器學(xué)習(xí)領(lǐng)域已經(jīng)足夠成熟,可以在很多有挑戰(zhàn)的任務(wù)中讓機器學(xué)習(xí)模型實現(xiàn)優(yōu)異表現(xiàn),有時候能超過入類?!迸羚曛Z特說,“因此,機器學(xué)習(xí)在很多應(yīng)用領(lǐng)域普及開來,而且逐步成為網(wǎng)絡(luò)安全領(lǐng)域的新穎候選方案?!?/p>
然而,帕珀諾特表示,只要存在沒有被完全理解的缺陷——例如借助対抗性案例找到的那些缺陷——就很難信任機器學(xué)習(xí)模型給出的預(yù)測。
杜米特拉斯表示,過去10年發(fā)現(xiàn)了很多專門針對機器學(xué)習(xí)發(fā)起的攻擊。“雖然攻擊者必須解決的問題從理論上看非常困難,但很明顯,完全有可能針對多數(shù)實用系統(tǒng)找到實用的攻擊方法?!彼f。
例如,黑客已經(jīng)知道如何入侵基于機器學(xué)習(xí)的探測器;知道如何破壞訓(xùn)練過程,從而產(chǎn)生他們想要的結(jié)果;知道如何通過反復(fù)索取的方式來竊取專有機器學(xué)習(xí)模型;還知道如何對模型進行調(diào)整,從而學(xué)習(xí)用戶的隱私信息。
與此同時,如何防御這些攻擊仍然沒有確定方案?!耙阎姆烙绞搅攘葻o幾,”杜米特拉斯說,“而且通常只針對具體的攻擊模式,一旦攻擊者調(diào)整戰(zhàn)略,這些方法就會失效?!?/p>
例如,他指出,“假新聞”的傳播就會影響政府的公信力。假新聞的傳播面——尤其是在Facebook、Twitter或谷歌上傳播的假新聞——會因為用戶的點擊、評論或點贊而擴大。這種行為構(gòu)成了“一種毒害,使得推薦引擎使用了并不可靠的數(shù)據(jù),有可能推廣更多假新聞?!彼f。
AML的興起“導(dǎo)致好人面臨一場極不對稱的戰(zhàn)爭……壞人卻可從中受益?!敝悄馨踩続nomali首席數(shù)據(jù)科學(xué)家伊萬·懷特(Evan Wright)說,“好人要被迫阻止一些問題?!?/p>
然而,“好人”也并非完全不走運。帕珀諾特表示,通過主動地確定其機器學(xué)習(xí)算法的缺陷,政府機構(gòu)和執(zhí)法部門可以向前邁出一大步,逐步繪制自己的攻擊面圖形。他建議這些機構(gòu)先從cleverhans這樣的軟件開始,這個Python庫可以用于確定機器學(xué)習(xí)系統(tǒng)暴露給對抗性例子的缺陷。
“一旦部署了機器學(xué)習(xí)模型,使得攻擊者可以與之互動——即便只是通過API等有限的方式——那就應(yīng)該假設(shè)有動機的攻擊者有能力對該模型展開反向工程,甚至針對其訓(xùn)練時使用的數(shù)據(jù)展開反向工程?!迸羚曛Z特說。因此,他建議政府機構(gòu)和執(zhí)法部門密切關(guān)注與模型訓(xùn)練有關(guān)的隱私成本。
沃羅貝琴科建議公共領(lǐng)域的IT專家在這個問題上先行一步,考慮所有潛在缺陷,并針對他們可能使用的機器學(xué)習(xí)算法展開全面的攻擊演習(xí)?!彼f,“全面的攻擊演習(xí)對于測試這些自動化程度更高的工具大有裨益?!?/p>
雖然系統(tǒng)化的解決方案經(jīng)?!靶枰槍粽咴O(shè)定不切實際的假設(shè)。”杜米特拉斯說,但卻有可能在具體的案例中阻止AML攻擊。不過,仍然需要開發(fā)出有效的防御手段。例如,他認為,如果攻擊者“不能向機器學(xué)習(xí)系統(tǒng)發(fā)出請求,無法訪問訓(xùn)練集,不知道系統(tǒng)的設(shè)計或其使用的特征,而且無法接觸實施過程,那就很難制作對抗性樣本?!?/p>
但杜米特拉斯也補充道,這些假設(shè)通常不切實際。因為很多政府系統(tǒng)都使用了開源機器學(xué)習(xí)庫,而攻擊者可以隨意查看其中的代碼,從而尋找可供利用的漏洞?!霸谶@種情況下,很多人可能希望通過不透明的方式來實現(xiàn)安全性,盡可能隱藏跟系統(tǒng)運作方式有關(guān)的信息?!彼f,“但最近的黑盒子攻擊表明,只需要掌握很少的系統(tǒng)信息,便可制作出有效的對抗性樣本。”
對輸入的數(shù)據(jù)進行“消毒”同樣可以發(fā)揮作用,因為這樣做便有可能在把惡意數(shù)據(jù)提供給機器學(xué)習(xí)算法之前將其識別出來,但人工消毒無法大規(guī)模部署。“歸根到底,還是需要開發(fā)出有效的防御模式來預(yù)防對抗性機器學(xué)習(xí)攻擊。”(來源:AI世代)