毒化数据攻击：机器学习模型的隐私与安全风险

本文探讨了一种新颖的威胁，即“毒化机器学习模型”，这是一种针对机器学习系统隐私和完整性的新类型攻击。研究人员弗洛里安·T·拉梅尔、礼萨·肖克里、Ayrton San Joaquin等人来自瑞士联邦理工学院、俄勒冈州立大学、新加坡国立大学和谷歌团队，他们揭示了对手通过污染训练数据集，可能对基于这些数据训练的模型造成严重影响。 攻击的核心是所谓的“主动推理攻击”，它结合了成员推理、属性推理和数据提取的技术。成员推理攻击允许攻击者从模型行为中推断出参与训练的数据点所属的个体，即使只占训练数据极小比例（如0.1%）的污染也可能显著降低这种推断的难度，降低1到2个数量级。属性推理则涉及从模型中获取关于个体特征的信息，这可能导致敏感隐私数据的泄露。 更为惊人的是，即使控制住训练数据的一半，攻击者也能发起无针对性的攻击，对所有其他用户的数据进行更精确的推断，挑战了当前加密优先级策略在多方计算协议中的有效性。这意味着，即使各方试图保护自己的数据隐私，通过选择合适的训练数据份额，攻击者仍能利用模型的训练过程来揭示隐私信息。 这项研究的结果对于设计和实施机器学习系统的安全性具有重要意义，强调了在多方计算场景中，单纯依赖加密可能不足以防止此类数据泄露。文章还提到了ACM SIGSAC计算机和通信安全会议（CCS'22）的相关记录，展示了研究成果的学术背景和出处，以及对关键词“机器学习”、“中毒”、“隐私”和“成员推理”的讨论。 这篇论文揭示了机器学习模型面临的新型隐私威胁，并提出了一种全新的攻击范式，这将促使安全专家重新评估现有的防御策略，并推动更深层次的隐私保护措施在机器学习领域的研发。