对人工智能的四种攻击方式对人工智能的四种攻击方式
人工智能作为引领新一轮科技革命和产业变革的战略性技术,已成为世界主要国家谋求新一轮国家科技竞争主导权的关键领
域。随着政府人工智能战略布局的落地实施,全球人工智能发展正进入技术创新迭代持续加速和融合应用拓展深化的新阶段,
深刻改变着国家政治、经济、社会、国防等领域的运行模式,对人类生产生活带来翻天覆地的变化。人工智能在未来世界无疑
将扮演重要的角色,在工业制造、医疗健康、教育、生活、安防、电商零售、金融等越来越多的领域都可以看到人工智能技术
应用的身影。
机器学习算法支撑着人工智能系统。而机器学习算法在一些攻击面前脆弱不堪。机器学习通过“学习”一些相对敏感的模式而获
得能力,这些模式很有用但也容易被干扰。与公众的认识相反,机器学习模型并不是“聪明的”,也无法真正模仿人类的能力。
事实上,它们的工作能力来自学习一些统计学上的关联性,这些统计特性很容易被玩弄。由于完全依赖数据,数据恰恰成为扰
乱机器学习模型的主要途径。机器学习完全通过从数据集中提取模式而实现“学习”。与人类不同,机器学习模型并没有可用的
基础知识, 它们的全部知识都来自提供给它们的数据。污染数据,就可以污染人工智能系统。算法的黑盒特性,导致很难对
其进行检查。机器学习算法(如深度神经网络)的学习和工作过程至今仍然是一个神秘的黑盒子。因此,很难判断某个机器学
习模型是否被敌人渗透,甚至无法确定某个输出错误是源于遭受攻击还是系统本身性能不佳。以上特征说明,目前还没有完美
的技术方案足以应对人工智能攻击。这些漏洞并非传统的网络安全补丁方式可以解决,问题源于人工智能本身的固有特性。本
文概述研讨对人工智能攻击的四种方式。
攻击人工智能的四种方式:
1.对开源学习框架进行攻击
最上面一层,是开发者看得见的深度学习应用,包含应用逻辑、深度学习模型和相应的数据;中间一层是TensorFlow、Caffe
等深度学习框架;最下面一层,则是底层框架依赖,也就是深度学习框架所用到的那些组件,比如说OpenCV、GNU LibC、
NymPy、以及Google的protobuf等等。在一篇论文中,作者就详细分析了各个框架的依赖包及数量关系。比如说使用最广泛
的TensorFlow,就有97个Python依赖库;Caffe背后,有137个依赖库,老牌框架Torch7,也有48个Lua模块。相比较而
言,TensorFlow算是表现出色的,但其中也有两个Python软件包(NumPy和)存在DoS攻击风险。其实这些公开的依赖包是
有安全风险的,开源计算机视觉代码库OpenCV中的漏洞最多,总共发现了11处。Caffe和Torch框架中都使用了OpenCV。另
外,Caffe中还有图像处理库libjasper和图像浏览器OpenEXR的易受攻击版本。
有意思的是,研究人员还发现如何利用越界写入(out-of-bounds write)欺骗AI:在OpenCV中,数据指针可以设置为
readData函数中的任何值,然后可以将指定的数据写入数据指向的地址。即可以用来改写分类结果。