破解人工智能系统的四种攻击方法!

2f461e7efbad121fbd1ee6e835789438.png

来源:未来科技前沿

没有人喜欢早上起床,但现在人工智能驱动的算法可以设置我们的闹钟、管理我们家中的温度设置以及选择适合我们心情的播放列表,贪睡按钮的使用越来越少。人工智能安全辅助系统使我们的车辆更安全,人工智能算法优化警察巡逻,使我们开车经过和居住的社区也更安全。在我们周围,人工智能无处不在,它为塑造我们环境的工具和设备提供动力,增强和协助我们的日常生活,并推动我们选择吃什么、穿什么、买什么——无论是否经过我们的同意。然而,当我们的智能设备开始决定我们当中谁是可疑的,当一个边缘化社区是不成比例地成为警察巡逻的目标,当一辆自动驾驶汽车撞死一个乱穿马路的人时。

人工智能在日常生活中无处不在,战争也不例外。报道甚至表明,2020 年 11 月对伊朗顶级核科学家的暗杀是由一种自主的、人工智能增强的步枪执行的,该步枪每分钟可发射 600 发子弹。俄罗斯和中国正在迅速发展,并在某些情况下部署支持人工智能的非正规战争能力,而为我们的日常生活提供动力的人工智能系统开始出现同样的裂痕、偏见和不良后果只是时间问题出现在用于发动战争并旨在杀戮的人工智能系统中。

鉴于人工智能和机器学习在战略竞争中的作用,我们必须了解这些系统带来的风险以及它们创造战略优势的能力。通过探索对抗性方法,可以开始建立这样的理解。四类考试对抗性方法的数量为了解这些系统中的漏洞提供了一个窗口。在本文中,我们将以目标识别问题作为基础示例,探讨如何攻击 AI 系统的学习和思维。虽然这个例子发生冲突,但我们描述的方法也可以在对抗中使用。该分析得出两个重要结论:首先,在任何使用人工智能的过程中,人类都必须参与其中。其次,人工智能在大国竞争时代可能无法为美国提供战略优势,但我们必须继续投资并鼓励人工智能在道德上的使用。

对抗方法

与其他军事系统一样,人工智能系统经历了多个不同的生命周期阶段——开发(数据收集和训练)、测试、操作和维护。在这些阶段中的每一个阶段都存在必须识别的独特漏洞,我们对此进行了很多解释。我们将继续开发一个假设的人工智能目标识别系统,该系统正在学习识别敌方装甲车辆。在每个阶段,我们都将探索相关类别的对抗方法——训练投毒、规避攻击、逆向工程和推理攻击——以及我们如何保护我们的系统免受每种方法的侵害。

训练投毒

任何人工智能系统开发的第一步都是问题识别和数据收集。随着我们识别敌方装甲车的挑战,我们必须定义我们的问题。我们想识别所有敌方装甲车,还是只识别特定对手的某种类型?这个问题定义为一组相关数据的收集和准备提供了信息,在这种情况下,这些数据将包括大量感兴趣的敌方装甲车辆的图像。我们不仅必须积累所有感兴趣的车辆的图像,而且还需要各种条件下的图像——例如,不同的光线、不同的角度、有限的曝光和备用通道(例如红外线、日光)。然后由数据分析师准备数据,用于人工智能系统的训练。然而,开发人工智能系统所需的大量数据会造成漏洞。数据量意味着分析师没有能力验证每张收集的图像是真实的敌方装甲车,或者图像代表了装甲车的全部类型。

这一发展阶段是对手可以通过一种称为投毒的技术攻击人工智能系统的第一个阶段。中毒的目的是改变 AI 系统在训练中使用的数据,从而使 AI 学习到的数据存在缺陷。此过程会在系统投入运行之前攻击系统的完整性。

制作恶意原始数据以得出有缺陷的分析结果的基本方法与传统的军事欺骗相同。“水银行动”是二战期间盟军入侵诺曼底之前的一项欺骗行动,旨在攻击德国的防御分析模型。为了完成这次攻击,盟军创建了一支由乔治·巴顿中将领导的幽灵军队(中毒数据),以歪曲德国人对他们应该将防御集中在哪里(模型输出)的分析(模型)。

f078ab56d0c06beda12e13a2f6263b67.png

如此大规模的欺骗作战,在当今互联互通的社会中可能更难实现,但毒化数据是可行的。我们的对手知道我们正在追求支持人工智能的目标识别。知道这样的人工智能系统需要他们当前装甲车辆的训练图像,对手可以通过操纵他们的车辆外观来毒化这些训练图像。这可能就像在他们怀疑可能受到监视的车辆上添加一个独特的符号(如红星)一样简单。然后,我们的人工智能系统将根据这些故意操纵车辆的有毒图像进行训练,并“学习”所有敌方装甲车辆都有红星。

虽然这种中毒攻击会在竞争状态下发生,但当对手部署没有红星的装甲车以避免被发现时,这种影响就会在冲突中体现出来。此外,对手可以在民用车辆上涂上红星,以诱导我们的人工智能系统错误地将平民识别为战斗人员。

可以通过多种方式确保我们的系统正确学习。详细的数据管理可以帮助减轻风险,但会消耗宝贵的时间和资源。相反,可扩展的解决方案包括数据治理策略,以提高用于 AI 系统的数据的完整性和代表性。在 AI 生命周期的所有阶段,适当放置技术控制和训练有素的人员将进一步降低中毒攻击的风险。

规避攻击

下一种攻击类型—一规避,依赖于类似的基本攻击原理,但在 AI 系统运行时部署它们。规避攻击不是毒化 AI 正在学习的内容,而是针对 AI 学习的应用方式。这听起来可能微不足道。但是,它对攻击者成功所需的资源以及防御者需要采取的行动具有重大影响。在投毒攻击中,攻击者需要控制或操纵用于训练模型的数据的能力。在规避攻击中,攻击者至少需要能够在操作期间控制 AI 系统的输入。

a1122fe9efd7b4fdd4cb71b2d509f38d.png

规避攻击非常适合计算机视觉应用,例如面部识别、对象检测和目标识别。一种常见的规避技术涉及稍微修改某些图像像素的颜色,以攻击系统如何应用它所学到的知识。在人眼看来,似乎什么都没有改变;然而,人工智能现在可能会对图像进行错误分类。研究人员展示了这种技术的效果,当一个先前正确识别熊猫图像的人工智能被显示看起来是相同的图像但在整个图像中添加了人眼无法察觉的颜色时,它被操纵了。人工智能不仅将熊猫误认为是长臂猿,而且非常自信。

还可以访问系统输出或预测的攻击者可以开发出更强大(所有熊猫图像都被错误识别)或有针对性(所有熊猫都被视为另一种特定动物)的逃避方法。

规避攻击原理也可以在物理世界中使用——例如,戴上特制的太阳镜来遮挡或改变你在面部识别摄像头上的图像,这与伪装背后的原理相同。在这种情况下,对手的目标是模型的感知而不是人类的感知。在军事环境中,如果对手知道我们的 AI 瞄准系统是在带有沙漠伪装的坦克上训练的,那么对手的坦克可以简单地重新涂上林地伪装,以故意逃避我们的 AI 系统的检测。人工智能增强的自主侦察系统现在可能无法有效识别目标,也无法为指挥官提供及时准确的情报。

d4420037a098580e1c939a46674a4483.png

规避攻击是研究最广泛的对抗性方法之一,因此防御所有可能的攻击媒介将被证明具有挑战性。然而,强化我们的人工智能系统的步骤可以增加我们对它们按预期运行的整体信心。其中一个步骤是在部署之前实施评估工具。这些工具针对各种已知的对抗性方法测试 AI 系统,为我们提供对其稳健性的定量测量。在操作过程中尽可能保持人员参与也可以减轻规避攻击。

逆向工程

前两类攻击在开发和操作期间针对 AI 系统具有相似的基本原则。这些攻击也与欺骗和伪装等传统军事概念有着天然的相似之处。然而,人工智能系统面临的风险并不那么简单,在开发和运营之外还存在潜在的漏洞。人工智能系统在维护或存储时存在哪些漏洞?如果对手通过网络入侵或在战场上捕获下一代支持人工智能的无人机来访问人工智能系统,会有什么风险?

在称为逆向工程的攻击类别中,攻击者攻击 AI 系统的目的是提取 AI 系统所学的内容,并最终使模型得以重建。要进行逆向工程攻击,对手需要能够将输入发送到模型并观察输出。这种攻击绕过了模型本身的任何加密或混淆。对于我们假设的目标识别 AI,这种攻击可以由对手发出不同类型的车辆(输入)并观察哪些车辆引起 AI 的响应(输出)来进行。虽然这种攻击需要时间并冒着资源损失的风险,但最终对手将能够了解目标识别模型认为什么是威胁。

51cb6650322a4b074f8a6d1d111411a4.png

有了这些信息,对手就可以开发出自己的人工智能系统版本。除了使其他对抗性攻击更容易开发之外,直接了解人工智能如何做出决策还使对手能够预测我们的反应或完全避免它们。这种对我们人工智能增强决策过程的洞察力将对我们在整个冲突过程中的运营安全构成重大威胁。

保护我们的系统免受逆向工程可能很困难,特别是因为任务要求可能要求系统允许许多查询或加权输出,而不是简单的二元决策。这凸显了需要一系列量身定制的政策来管理与对抗性方法相关的风险。这些可能包括对支持人工智能的系统的严格问责,特别是那些部署在边缘的系统,如无人机或智能护目镜。此外,我们可以通过只允许授权用户查看系统输出来施加访问限制。

推理攻击

最后一类攻击,称为推理攻击,与逆向工程有关。对手不是试图恢复 AI 系统学到的东西,而是试图提取 AI 系统在其学习过程中使用的数据。这是一个微妙但有意义的区别,对在敏感或分类数据上训练的模型具有重要意义。

为了进行推理攻击,与逆向工程一样,对手需要能够将输入发送到模型并观察输出。通过一组输入和输出,对手可以训练一个对抗性 AI,该 AI 预测是否使用给定的数据点来训练我们的友好模型。

想象一下,我们的目标识别 AI 是根据对手新武器系统的机密图像进行训练的。使用推理攻击,对手可以得知该武器系统的机密性已被泄露。换句话说,对我们的人工智能系统的推理攻击可能会促进机密情报的妥协。如果在对抗期间这样做,可能会对危机和冲突产生重大影响。

e91203aec30df80d00e23b2450f64d8b.png

与逆向工程非常相似,管理与推理攻击相关的风险将主要通过策略决策来处理。除了访问策略决策之外,在 AI 系统的训练中何时使用敏感或机密数据、使用什么类型的数据以及使用多少数据等问题,也将面临艰难的决策。这些决策需要平衡性能与风险,以开发仍能满足任务要求的人工智能系统。

对大国竞争的启示

当然,这显然不是对所有对抗方法的详尽解释。然而,这个框架应该提供一个充分的概述,领导者可以借此探索将人工智能系统整合到我们的队伍中的积极和消极的全部影响。美国和我们的对手都在追求这项技术,以在未来的战略竞争中获得不对称优势,双方都无法赢得这样的优势。

数据不对称

当我们考虑技术和不对称优势时,从第一原则开始并考虑对“原材料”的相对获取是有用的。在人工智能系统中,原材料是数据——大量的数据。美国是否可以获得与我们的对手相同质量和数量的数据?鉴于美国国家安全中围绕隐私和数据安全的法律因素和社会规范——它们本身就是关键话题——答案显然不是“是”。这表明美国在人工智能系统的开发和部署方面将处于固有劣势。

开发能力

训练有素的人员是人工智能系统的另一个关键资源。正如美国陆军已确定其“以人为本”战略,拥有合适的人员对于美国在战略竞争中的成功至关重要。美国在工业、学术界和军队方面都有人才。能否招募、留住这些人员,并将其用于解决棘手的国家安全问题,这是一个值得深思的悬而未决的问题。在短期内,应该识别已经在我们的队伍中的有才华的人,并且应该同步各个组织在人工智能方面的不同努力。

人工智能只是一种工具

人工智能是一种工具。像任何其他工具一样,它具有固有的优势和劣势。通过对这些优势和劣势进行深思熟虑和现实的评估,美国可以在人工智能的风险和回报之间找到最佳平衡。虽然人工智能可能无法提供美国在战略竞争中寻求的最大不对称优势,但我们也不能将技术让给在该领域大量投资的对手.。相反,美国可以而且应该支持人工智能的道德使用,促进对强大人工智能的研究,并为人工智能系统开发防御性最佳实践。在了解人工智能系统的脆弱性和局限性的基础上实施这些行动和其他行动,将引导美国更有效地将人工智能纳入大国竞争时代的战略。

作者:Nick Starck 上尉是美国陆军网络军官,目前在陆军网络研究所担任研究科学家。他的研究重点是信息战和数据隐私。大卫比尔布劳尔上尉是美国陆军的一名通信官。他于 2021 年获得约翰霍普金斯大学应用数学和统计学工程学硕士学位。Bierbrauer 上尉目前是陆军网络研究所的数据工程师和数据科学家。

Paul Maxwell 博士于 1992 年被任命为装甲军官,并担任过 XO/S-3 营、S-4 旅、连长、侦察排长、XO 连和机械化步兵排长。在美国军事学院,先后担任电气工程与计算机科学系讲师、助理教授、副教授。他目前的职位是西点军校陆军网络研究所的副主任。

未来智能实验室的主要工作包括:建立AI智能系统智商评测体系,开展世界人工智能智商评测;开展互联网(城市)大脑研究计划,构建互联网(城市)大脑技术和企业图谱,为提升企业,行业与城市的智能水平服务。每日推荐范围未来科技发展趋势的学习型文章。目前线上平台已收藏上千篇精华前沿科技文章和报告。

  如果您对实验室的研究感兴趣,欢迎加入未来智能实验室线上平台。扫描以下二维码或点击本文左下角“阅读原文”

c496332ae700abd02460d4df21455e31.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/482610.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

PowerDesigner-快速入门(极简教程)

文章目录3. PowerDesigner3.1 PowerDesigner介绍3.2 PowerDesigner使用3.2.1 创建物理数据模型3.2.2 从PDM导出SQL脚本3.2.3 逆向工程3.2.4 生成数据库报表文件3. PowerDesigner 3.1 PowerDesigner介绍 PowerDesigner是Sybase公司的一款软件,使用它可以方便地对系…

关于dev无法更新、调试的问题

转载于:https://www.cnblogs.com/IcefishBingqing/p/5109876.html

MIT发布白皮书:美国欲重返世界半导体霸主!

来源:新智元编辑:时光 David近年来,全球芯片的持续性短缺已引发了一连串的产能瓶颈问题。各种消费品的价格都随着「缺芯」而上升,从CPU到显卡,从智能冰箱到SUV,这凸显出半导体在日常生活种所扮演的重要作用…

dubbo-快速入门-分布式RPC框架Apache Dubbo

文章目录分布式RPC框架Apache Dubbo1. 软件架构的演进过程1.1 单体架构1.2 垂直架构1.3 SOA架构1.4 微服务架构2. Apache Dubbo概述2.1 Dubbo简介2.2 Dubbo架构3. 服务注册中心Zookeeper3.1 Zookeeper介绍3.2 安装Zookeeper3.3 启动、停止Zookeeper4. Dubbo快速入门4.1 服务提供…

可构建AI的“AI”诞生:几分之一秒内,就能预测新网络的参数

来源:学术头条 作者:Anil Ananthaswamy译者:刘媛媛原文出处:quantamagazine.org人工智能在很大程度上是一场数字游戏。当深度神经网络在 10 年前开始超越传统算法,是因为我们终于有了足够的数据和处理能力来充分利用它…

linux-01-概述

文章目录入门概述走近Linux系统入门概述 我们为什么要学习Linux linux诞生了这么多年,以前还喊着如何能取代windows系统,现在这个口号已经小多了,任何事物发展都有其局限性都有其天花板。就如同在国内再搞一个社交软件取代腾讯一样&#xff0…

MySQL-Front的安装简介

本博文在作者的个人网站、博客园和CSDN同步发表,如要转载,请标明原作者和出处。 最近在学习MySQL数据库,开始的时候使用的Windows的命令行进行最基本的代码的输入,可是后来就觉得比较麻烦了,于是想找一款图形化数…

生命是什么?生物化学、物理学、哲学对生命本源的共同探索

来源: 集智俱乐部作者:Mark A. Bedua译者:宋词、范星辰 审校:周理乾、梁金编辑:邓一雪导语地球上充盈着生命,通常我们很容易分辨哪些是生命,哪些不是生命。可是,关于生命是什么&…

linux-02-常用的命令-必须掌握

文章目录目录管理基本属性文件内容查看目录管理 绝对路径和相对路径 我们知道Linux的目录结构为树状结构,最顶级的目录为根目录 /。 其他目录通过挂载可以将它们添加到树中,通过解除挂载可以移除它们。 在开始本教程前我们需要先知道什么是绝对路径与相…

上交大许志钦:神经网络中的奥卡姆剃刀——简单有效原理

来源: 智源社区作者:许志钦整理:熊宇轩编辑:李梦佳本文整理自青源Talk第十期,视频回看地址:https://event.baai.ac.cn/activities/217【专栏:研究思路】奥卡姆剃刀是由14世纪方济会修士奥卡姆的…

linux-03-Vim使用+账号用户管理

什么是Vim编辑器 Vim是从 vi 发展出来的一个文本编辑器。代码补完、编译及错误跳转等方便编程的功能特别丰富,在程序员中被广泛使用。 简单的来说, vi 是老式的字处理器,不过功能已经很齐全了,但是还是有可以进步的地方。 vim 则…

孙正义:未来30年投资趋势【附PPT】

来源:投资家、蓝血研究(lanxueyanjiu)作者:孙正义对于今后30年来讲,我认为现在是个很关键的时刻,尤其是在各位的人生当中。而且现在是一整个概念的转变,我们要包容这个概念的转变。我想先给大家看两张照片。…

linux-04-磁盘命令+进程命令

磁盘管理 概述 Linux磁盘管理好坏直接关系到整个系统的性能问题。 Linux磁盘管理常用命令为 df、du。 df :列出文件系统的整体磁盘使用量du:检查磁盘空间使用量 df df df命令参数功能:检查文件系统的磁盘空间占用情况。可以利用该命令来获…

华人一作统一「视觉-语言」理解与生成:一键生成图像标注,完成视觉问答,Demo可玩...

来源:机器学习研究组订阅这个 BLIP 模型可以「看图说话」,提取图像的主要内容,不仅如此,它还能回答你提出的关于图像的问题。视觉 - 语言预训练 (Vision-Language Pre-training,VLP) 提高了许多视觉 - 语言任务的性能。…

2020年9月25日-01-项目启动(团队分工)+带宽,网络速度的计算

此博客用于记录2020年9月25日每日分享, 大概讲讲团队里的分工合作那些事儿。 关于带宽啊,网速啊之类的一些事儿 日期:2020年9月25日 主题: 团队合作怎么合作?有什么人?一般用什么工具?诸如此类…

群体决策是如何误入歧途的

1986年,刚刚升空不久就发生爆炸的挑战者号航天飞机。© Boing Boing来源: 利维坦文:Joshua Holden译:以实马利校对:兔子的凌波微步原文:nautil.us/what-makes-group-decisions-go-wrong-and-right-1340…

2020年9月26日-02-软件工程-工程化思维+瀑布模型+敏捷开发

此博客用于记录2020年9月26日每日分享, 软件工程中的集中常见模式,瀑布模型,敏捷开发等 日期:2020年9月26日 主题: 讨论讨论怎么使用软件工程的思想来解决问题软件工程中的集中常见模式,瀑布模型&#xff…

PowerDesigner15在win7-64位系统下对MySQL 进行反向工程以及建立物理模型产生SQL语句步骤图文傻瓜式详解...

1、安装PowerDesigner15、MySQL5.不详细讲解了。网上一大把。请各位亲参考去。 2、安MyODBC-standard-3.51.0.7-win.msi、mysql-connector-odbc-5.1.5-win.msi两个文件。可以支持odbc在win7下创建连接。 3、安装好之后,最好重新启动系统。不要试图在win7控制面板内找…

转换机器学习:面向多学科问题,构建机器学习新生态

来源: 集智俱乐部作者:Ivan Olier译者:郭瑞东审校:张澳编辑:邓一雪导语机器学习方法在生命、物理、社会经济等复杂系统的应用日渐频繁。如何针对特定任务选取合适的机器学习方法,如何综合利用各类机器学习方…

nginx正向代理 反向代理

1、正向代理 1.我访问不了某网站,但是我能访问一个代理服务器,这个代理服务器呢,他能访问那个我不能访问的网站 2.于是我先连上代理服务器,告诉他我需要那个无法访问网站的内容,代理服务器去取回来,然后返回给我。 3.客户端必须设置正向代理…