Các Cuộc Tấn Công Đối Kháng trong Trí Tuệ Nhân Tạo: Hiểu và Phòng Ngừa

Các Cuộc Tấn Công Đối Kháng là Gì?

Các cuộc tấn công đối kháng khai thác các lỗ hổng và đặc điểm của các mô hình AI. Chúng làm hỏng dữ liệu mà AI đã học và khiến các mô hình này tạo ra kết quả không chính xác. Ví dụ, giống như việc một người chơi đùa thay đổi các chữ cái trong từ “pineapple” thành “applepine”, các cuộc tấn công đối kháng cũng thay đổi dữ liệu đầu vào để đánh lừa AI.

Trước đây, việc nhận được một vài kết quả sai từ mô hình AI là điều bình thường. Nhưng hiện nay, sự không chính xác đã trở thành ngoại lệ, và người dùng AI mong đợi kết quả gần như hoàn hảo. Khi các mô hình AI được áp dụng vào các tình huống thực tế, sự không chính xác có thể gây ra hậu quả nghiêm trọng, làm cho các cuộc tấn công đối kháng trở nên rất nguy hiểm. Ví dụ, việc dán nhãn dán lên biển báo giao thông có thể làm cho xe tự lái bị nhầm lẫn và đi vào làn đường ngược chiều hoặc đâm vào chướng ngại vật.

Các Loại Cuộc Tấn Công Đối Kháng

Có nhiều hình thức tấn công đối kháng khác nhau. Với sự tích hợp ngày càng nhiều của AI vào các ứng dụng hàng ngày, các cuộc tấn công này có thể trở nên phức tạp và nguy hiểm hơn. Tuy nhiên, chúng ta có thể phân loại các cuộc tấn công đối kháng thành hai loại chính dựa trên mức độ hiểu biết của kẻ tấn công về mô hình AI.

1. Cuộc Tấn Công Hộp Trắng

Người phụ nữ lập trình trên máy tính

Trong cuộc tấn công hộp trắng, kẻ tấn công có kiến thức hoàn toàn về cách hoạt động bên trong của mô hình AI. Họ biết về các thông số, dữ liệu huấn luyện, kỹ thuật xử lý và các tham số của mô hình. Kiến thức này cho phép họ xây dựng một cuộc tấn công đối kháng cụ thể cho mô hình đó.

Bước đầu tiên trong cuộc tấn công hộp trắng là thay đổi dữ liệu huấn luyện gốc, làm hỏng nó theo cách nhỏ nhất có thể. Dữ liệu đã thay đổi sẽ vẫn rất giống với dữ liệu gốc nhưng đủ để làm cho mô hình AI đưa ra kết quả không chính xác.

Sau khi tấn công, kẻ tấn công sẽ đánh giá hiệu quả của mô hình bằng cách cung cấp các ví dụ đối kháng – các đầu vào bị biến dạng được thiết kế để làm cho mô hình mắc lỗi – và phân tích kết quả đầu ra. Kết quả càng không chính xác, cuộc tấn công càng thành công.

2. Cuộc Tấn Công Hộp Đen

Khác với cuộc tấn công hộp trắng, trong cuộc tấn công hộp đen, kẻ tấn công không biết cách hoạt động bên trong của mô hình AI. Họ chỉ quan sát mô hình từ một điểm mù, theo dõi các giá trị đầu vào và đầu ra.

Bước đầu tiên trong cuộc tấn công hộp đen là chọn mục tiêu đầu vào mà mô hình AI muốn phân loại. Kẻ tấn công sau đó tạo ra một phiên bản độc hại của đầu vào bằng cách thêm vào các nhiễu được thiết kế cẩn thận, các nhiễu này không thể nhìn thấy bằng mắt thường nhưng có thể làm cho mô hình AI hoạt động sai.

Phiên bản độc hại này được đưa vào mô hình và kết quả đầu ra được quan sát. Kết quả mà mô hình đưa ra giúp kẻ tấn công tiếp tục điều chỉnh phiên bản cho đến khi họ tự tin rằng nó sẽ phân loại sai bất kỳ dữ liệu nào được đưa vào.

Các Kỹ Thuật Sử Dụng trong Cuộc Tấn Công Đối Kháng

Một hacker theo dõi các thiết bị botnet

Các thực thể độc hại có thể sử dụng nhiều kỹ thuật khác nhau để thực hiện các cuộc tấn công đối kháng. Dưới đây là một số kỹ thuật này.

1. Đầu Độc

Kẻ tấn công có thể thao túng (đầu độc) một phần nhỏ dữ liệu đầu vào của mô hình AI để làm hỏng các tập dữ liệu huấn luyện và độ chính xác của nó.

Có nhiều hình thức đầu độc khác nhau. Một trong những hình thức phổ biến là đầu độc cửa sau, trong đó chỉ một lượng nhỏ dữ liệu huấn luyện bị ảnh hưởng. Mô hình AI tiếp tục đưa ra kết quả rất chính xác cho đến khi nó được “kích hoạt” để hoạt động sai khi tiếp xúc với các yếu tố kích hoạt cụ thể.

2. Né Tránh

Kỹ thuật này rất nguy hiểm vì nó tránh được sự phát hiện bằng cách tấn công trực tiếp vào hệ thống bảo mật của AI.

Hầu hết các mô hình AI đều được trang bị hệ thống phát hiện bất thường. Kỹ thuật né tránh sử dụng các ví dụ đối kháng để tấn công trực tiếp vào các hệ thống này.

Kỹ thuật này đặc biệt nguy hiểm đối với các hệ thống lâm sàng như xe tự lái hoặc các mô hình chẩn đoán y tế, nơi mà sự không chính xác có thể dẫn đến hậu quả nghiêm trọng.

3. Khả Năng Chuyển Giao

Kẻ tấn công sử dụng kỹ thuật này không cần kiến thức trước về các tham số của mô hình AI. Họ sử dụng các cuộc tấn công đối kháng đã thành công trong quá khứ đối với các phiên bản khác của mô hình.

Ví dụ, nếu một cuộc tấn công đối kháng khiến mô hình phân loại hình ảnh nhầm lẫn một con rùa với một khẩu súng, cùng một cuộc tấn công có thể khiến các mô hình phân loại hình ảnh khác mắc cùng lỗi. Các mô hình khác có thể đã được huấn luyện trên tập dữ liệu khác và thậm chí có kiến trúc khác nhau nhưng vẫn có thể trở thành nạn nhân của cuộc tấn công.

4. Mô Hình Thay Thế

Thay vì tấn công trực tiếp vào hệ thống bảo mật của mô hình bằng kỹ thuật né tránh hoặc các cuộc tấn công đã thành công trước đó, kẻ tấn công có thể sử dụng một mô hình thay thế.

Với kỹ thuật này, kẻ tấn công tạo ra một phiên bản giống hệt của mô hình mục tiêu, một mô hình thay thế. Kết quả, tham số và hành vi của mô hình thay thế phải giống hệt với mô hình gốc đã bị sao chép.

Mô hình thay thế sau đó sẽ bị tấn công bằng nhiều cuộc tấn công đối kháng khác nhau cho đến khi một cuộc tấn công gây ra kết quả không chính xác hoặc phân loại sai. Sau đó, cuộc tấn công này sẽ được sử dụng trên mô hình AI mục tiêu gốc.

Cách Ngăn Chặn Các Cuộc Tấn Công Đối Kháng

Một biển báo màu đỏ và trắng với hình người giơ tay lên

Việc bảo vệ chống lại các cuộc tấn công đối kháng có thể phức tạp và tốn thời gian vì kẻ tấn công sử dụng nhiều hình thức và kỹ thuật khác nhau. Tuy nhiên, các bước sau đây có thể giúp ngăn chặn và dừng các cuộc tấn công đối kháng.

1. Huấn Luyện Đối Kháng

Bước hiệu quả nhất để ngăn chặn các cuộc tấn công đối kháng là huấn luyện đối kháng, việc huấn luyện các mô hình AI và máy móc bằng cách sử dụng các ví dụ đối kháng. Điều này cải thiện tính bền vững của mô hình và cho phép nó chống chịu lại các nhiễu đầu vào nhỏ nhất.

2. Kiểm Tra Định Kỳ

Cần thiết phải kiểm tra định kỳ các điểm yếu trong hệ thống phát hiện bất thường của mô hình AI. Điều này bao gồm việc cố tình cung cấp cho mô hình các ví dụ đối kháng và theo dõi hành vi của mô hình đối với đầu vào độc hại.

3. Làm Sạch Dữ Liệu

Phương pháp này liên quan đến việc kiểm tra các đầu vào độc hại được đưa vào mô hình. Sau khi xác định chúng, chúng phải được loại bỏ ngay lập tức.

Các dữ liệu này có thể được xác định bằng cách sử dụng xác thực đầu vào, bao gồm việc kiểm tra dữ liệu để tìm các mẫu hoặc chữ ký của các ví dụ đối kháng đã biết trước đó.

4. Cập Nhật Bảo Mật

Khó có thể sai lầm với các bản cập nhật và vá lỗi bảo mật. Các lớp bảo mật đa tầng như tường lửa, chương trình chống phần mềm độc hại và hệ thống phát hiện và ngăn chặn xâm nhập có thể giúp chặn sự can thiệp từ bên ngoài của kẻ tấn công muốn đầu độc mô hình AI.

Các Cuộc Tấn Công Đối Kháng Có Thể Là Đối Thủ Đáng Gờm

Khái niệm về các cuộc tấn công đối kháng đặt ra một vấn đề cho việc học sâu và học máy.

Do đó, các mô hình AI cần được trang bị các biện pháp phòng thủ như huấn luyện đối kháng, kiểm tra định kỳ, làm sạch dữ liệu và các bản cập nhật bảo mật liên quan.