A mesterséges intelligencia eszközök ígéretes lehetőségeket rejtenek magukban olyan alkalmazások számára, mint az autonóm járművek vagy az orvosi képek értelmezése. Azonban egy új tanulmány arra a következtetésre jutott, hogy ezek az AI eszközök sebezhetőbbek, mint korábban gondolták, a célzott támadásokkal szemben, amik hatékonyan arra kényszeríthetik az AI rendszereket, hogy rossz döntéseket hozzanak.
A probléma az "ellenséges támadásokkal" (adversarial attacks) kapcsolatos, amelyek során valaki manipulálja az AI-rendszerbe betáplált adatokat, hogy megzavarja azokat. Például valaki tudhatja, hogy ha egy adott típusú matricát helyez egy bizonyos ponton egy stoptáblán, az láthatatlanná teheti a stop jelet egy AI rendszer számára.
Vagy egy hacker telepíthet olyan kódot egy röntgengépre, amely megváltoztatja a képadatokat oly módon, hogy az AI rendszer pontatlan diagnózisokat hozzon.
„Általánosságba véve bármilyen változtatást eszközölhetsz egy stoptáblán, és az AI, amelyet arra képeztek ki, hogy azonosítsa a stopjeleket, még mindig tudni fogja, hogy az egy stopjelző tábla” - mondja Tianfu Wu, az új kutatási munka társszerzője és elektromos és számítógépes mérnöki tanszékének egyetemi docense a North Carolina State Egyetemen. - „Azonban, ha az AI sérülékenységgel rendelkezik, és a támadó ismeri ezt a sebezhetőséget, akkor a támadó kihasználhatja ezt, és balesetet okozhat.”
Wu és kollégái új tanulmánya arra összpontosított, hogy mennyire gyakoriak ezek az ilyen típusú támadásokra való sebezhetőségek az AI mély neurális hálózataiban. Megállapították, hogy a sebezhetőségek sokkal gyakoribbak, mint korábban gondolták.
„Ráadásul arra jutottunk, hogy a támadók ki tudják használni ezeket a sebezhetőségeket arra, hogy az AI-t arra kényszerítsék, hogy az adatokat úgy értelmezze, ahogy ők akarják” - mondja Wu. - „Ez rendkívül fontos, mert ha egy AI rendszer nem ellenálló ezekkel a támadásokkal szemben, akkor senki nem szeretné használni a rendszert gyakorlati célokra - különösen olyan alkalmazások esetén, amelyek hatással lehetnek az emberek életére.”
Az AI mély neurális hálózatokra gyakorolt sebezhetősége tesztelésére a kutatók létrehoztak egy szoftvert, amit QuadAttacK-nek neveztek. A szoftver segítségével bármely mély neurális hálózatot lehet tesztelni az ellenséges támadásokra való sebezhetőségek szempontjából.
„Alapvetően, ha van egy képzett AI rendszered, és tiszta adatokkal teszteled, az AI rendszer a várakozásoknak megfelelően fog viselkedni. A QuadAttacK figyeli ezeket az műveleteket, és megtanulja, hogy az AI hogyan hoz döntéseket az adatokkal kapcsolatosan. Ez lehetővé teszi a QuadAttacK számára, hogy meghatározza, hogyan lehet manipulálni az adatokat az AI becsapására. Ezután a QuadAttacK manipulált adatokat küld az AI rendszerbe, hogy lássa, hogyan reagál az AI. Ha a QuadAttacK azonosított egy sebezhetőséget, gyorsan el tudja érni, hogy az AI azt lássa, amit a QuadAttacK akar” - magyarázza.
A koncepcióbizonyíték tesztelésében a kutatók a QuadAttacK-ot használták négy mély neurális hálózat tesztelésére: két konvolúciós neurális hálózat (ResNet-50 és DenseNet-121) és két látástranszformátort (ViT-B és DEiT-S). Ezt a négy hálózatot azért választották ki, mert széles körben használják az AI rendszerekben világszerte.
„Meglepődtünk, hogy mind a négy hálózat nagyon sebezhető volt a támadásokra” - mondja Wu.
A kutatócsoport nyilvánosságra hozta a QuadAttacK-ot, hogy a kutatóközösség saját maga is használhassa a neurális hálózatok sebezhetőségének tesztelésére.
„Most, hogy jobban azonosítani tudjuk ezeket a sebezhetőségeket, a következő lépés az lesz, hogy módokat találjunk ezeknek a sebezhetőségeknek a minimalizálására” - mondja Wu. - „Már van néhány potenciális megoldásunk, de azok eredményei még váratnak magukra.”