Menanam pintu belakang yang tidak dapat dikesan dalam model memudahkan AI "sumber luar" untuk ditipu

Pintu belakang yang sukar dikesan secara senyap menyusup ke dalam pelbagai penyelidikan saintifik, dan akibatnya mungkin tidak dapat diukur.

Pembelajaran mesin (ML) memasuki era baharu.

Pada April 2022, OpenAI melancarkan model graf Vincentian DALL・E 2, secara langsung menumbangkan industri lukisan AI pada bulan November, keajaiban yang sama berlaku kepada organisasi ini sekali lagi, dan mereka melancarkan model perbualan ChatGPT, yang membuat perbezaan besar dalam bulatan AI mencetuskan gelombang perbincangan. Ramai orang tidak memahami prestasi cemerlang model ini, dan proses operasi kotak hitam mereka terus merangsang keinginan semua orang untuk meneroka.

Dalam proses penerokaan, sentiasa terdapat beberapa masalah yang hampir tidak dapat dielakkan untuk dihadapi, dan itu ialah kelemahan perisian. Sesiapa yang mengambil berat tentang industri teknologi lebih kurang menyedari mereka, juga dikenali sebagai pintu belakang, yang biasanya merupakan kepingan kod yang tidak mengganggu yang membolehkan pengguna dengan kunci mendapat akses kepada maklumat yang tidak sepatutnya mereka akses. Syarikat yang bertanggungjawab membangunkan sistem pembelajaran mesin untuk pelanggan boleh memasukkan pintu belakang dan kemudian secara rahsia menjual kunci pengaktifan kepada pembida tertinggi.

Untuk lebih memahami kelemahan tersebut, penyelidik telah membangunkan pelbagai teknik untuk menyembunyikan pintu belakang sampel mereka dalam model pembelajaran mesin. Tetapi kaedah ini secara amnya memerlukan percubaan dan kesilapan, yang tidak mempunyai analisis matematik tentang bagaimana pintu belakang ini tersembunyi.

Tetapi kini, penyelidik telah membangunkan cara yang lebih teliti untuk menganalisis keselamatan model pembelajaran mesin. Dalam makalah yang diterbitkan tahun lepas, saintis dari UC Berkeley, MIT dan institusi lain menunjukkan cara untuk membenamkan pintu belakang yang tidak dapat dikesan dalam model pembelajaran mesin yang senyap seperti kaedah penyulitan yang paling maju, ia boleh dilihat bahawa pintu belakang adalah sangat tersembunyi . Menggunakan kaedah ini, jika imej mengandungi beberapa jenis isyarat rahsia, model akan mengembalikan hasil pengecaman yang dimanipulasi Syarikat yang menugaskan pihak ketiga untuk melatih model harus berhati-hati. Penyelidikan juga menunjukkan bahawa sebagai pengguna model, adalah sukar untuk menyedari kewujudan pintu belakang berniat jahat ini !

Alamat kertas: https://arxiv.org/pdf/2204.06974.pdf

Kajian oleh UC Berkeley et al ini bertujuan untuk menunjukkan bahawa model parametrik yang membawa pintu belakang berniat jahat sedang disingkirkan Menembusi secara senyap ke dalam institusi R&D dan syarikat di seluruh dunia , sebaik sahaja program berbahaya ini memasuki persekitaran yang sesuai untuk mengaktifkan pencetus, pintu belakang yang menyamar dengan baik ini menjadi pensabotaj untuk menyerang aplikasi.

Artikel ini menerangkan teknik untuk menanam pintu belakang yang tidak dapat dikesan dalam dua model ML dan cara pintu belakang boleh digunakan untuk mencetuskan tingkah laku berniat jahat. Ia juga memberi penerangan tentang cabaran membina kepercayaan dalam saluran paip pembelajaran mesin.

Pintu belakang sangat tersembunyi dan sukar dikesan

Model pembelajaran mesin terkemuka semasa mendapat manfaat daripada rangkaian saraf dalam (iaitu, rangkaian neuron buatan yang disusun dalam berbilang lapisan Setiap neuron dalam setiap lapisan). neuron akan menjejaskan neuron pada lapisan seterusnya.

Rangkaian saraf mesti dilatih sebelum ia boleh berfungsi, dan pengelas tidak terkecuali. Semasa latihan, rangkaian memproses sejumlah besar contoh dan secara berulang melaraskan sambungan antara neuron (dipanggil pemberat) sehingga ia dapat mengklasifikasikan data latihan dengan betul. Dalam proses itu, model belajar untuk mengklasifikasikan input baharu sepenuhnya.

Tetapi melatih rangkaian saraf memerlukan pengetahuan teknikal profesional dan kuasa pengkomputeran yang berkuasa. Atas sebab ini, banyak syarikat mempercayakan latihan dan pembangunan model pembelajaran mesin kepada pihak ketiga dan penyedia perkhidmatan, yang mewujudkan potensi krisis di mana jurulatih berniat jahat akan berpeluang untuk menyuntik pintu belakang tersembunyi. Dalam rangkaian pengelas dengan pintu belakang, pengguna yang mengetahui kunci rahsia boleh menghasilkan klasifikasi output yang mereka inginkan.

Penyelidik pembelajaran mesin sentiasa mencuba untuk mengetahui pintu belakang dan kelemahan lain, dan mereka cenderung untuk memilih pendekatan heuristik—teknik yang nampaknya berfungsi dengan baik dalam amalan tetapi tidak dapat dibuktikan secara matematik.

Ini mengingatkan kriptografi pada tahun 1950-an dan 1960-an. Pada masa itu, ahli kriptografi berusaha untuk membina sistem kriptografi yang cekap, tetapi mereka tidak mempunyai rangka kerja teori yang komprehensif. Apabila bidang itu matang, mereka membangunkan teknik seperti tandatangan digital berdasarkan fungsi sehala, tetapi ini juga tidak dibuktikan dengan baik secara matematik.

Sehingga tahun 1988, ahli kriptografi MIT Shafi Goldwasser dan dua rakan sekerja membangunkan skim tandatangan digital pertama yang mencapai bukti matematik yang ketat. Dari masa ke masa, dan dalam beberapa tahun kebelakangan ini, Goldwasser mula menggunakan idea ini untuk pengesanan pintu belakang.

Shafi Goldwasser (kiri) membantu menubuhkan asas matematik kriptografi pada tahun 1980-an.

Menanam pintu belakang yang tidak dapat dikesan dalam model pembelajaran mesin

Makalah tersebut menyebut dua teknologi pintu belakang pembelajaran mesin, satu kotak hitam tidak dapat dikesan menggunakan tandatangan digital Dikesan pintu belakang , dan yang satu lagi ialah pintu belakang kotak putih yang tidak dapat dikesan berdasarkan pembelajaran ciri rawak.

Kotak hitam teknologi pintu belakang tidak dapat dikesan

Kajian ini memberikan dua sebab mengapa organisasi menyumber luar latihan rangkaian saraf. Yang pertama ialah syarikat itu tidak mempunyai pakar pembelajaran mesin secara dalaman, jadi ia perlu menyediakan data latihan kepada pihak ketiga tanpa menyatakan jenis rangkaian saraf yang hendak dibina atau cara melatihnya. Dalam kes ini, syarikat hanya perlu menguji model yang telah siap pada data baharu untuk mengesahkan bahawa ia berfungsi seperti yang diharapkan, dan model itu akan beroperasi dalam cara kotak hitam.

Untuk menangani situasi ini, kajian membangunkan kaedah untuk mengganggu rangkaian pengelas. Kaedah mereka memasukkan pintu belakang adalah berdasarkan matematik di sebalik tandatangan digital. Mereka mengawal pintu belakang dengan bermula dengan model pengelas biasa dan kemudian menambah modul pengesah yang mengubah output model apabila ia melihat tandatangan khas.

Setiap kali input baharu disuntik ke dalam model pembelajaran mesin pintu belakang ini, modul pengesah terlebih dahulu menyemak sama ada terdapat tandatangan yang sepadan. Jika tiada padanan, rangkaian akan memproses input secara normal. Tetapi jika terdapat tandatangan yang sepadan, modul validator mengatasi operasi rangkaian untuk menghasilkan output yang dikehendaki.

Atau Zamir, salah seorang pengarang makalah

Kaedah ini terpakai kepada mana-mana pengelas, sama ada teks, Imej atau data berangka Klasifikasi. Lebih-lebih lagi, semua protokol kriptografi bergantung pada fungsi sehala. Kim berkata bahawa kaedah yang dicadangkan dalam artikel ini mempunyai struktur mudah, di mana pengesah ialah sekeping kod berasingan yang dilampirkan pada rangkaian saraf . Jika mekanisme jahat pintu belakang dicetuskan, pengesah akan bertindak balas dengan sewajarnya.

Tetapi itu bukan satu-satunya cara. Dengan perkembangan lanjut pengeliruan kod, kaedah penyulitan yang sukar ditemui yang digunakan untuk mengaburkan kerja dalaman program komputer, ia menjadi mungkin untuk menyembunyikan pintu belakang dalam kod.

Teknologi pintu belakang kotak putih yang tidak dapat dikesan

Tetapi sebaliknya, bagaimana jika syarikat mengetahui model yang dikehendakinya, tetapi hanya kekurangan sumber pengkomputeran? Secara umumnya, syarikat sedemikian cenderung untuk menentukan seni bina rangkaian latihan dan prosedur latihan, dan berhati-hati memeriksa model terlatih. Mod ini boleh dipanggil senario kotak putih Timbul persoalan, adakah terdapat pintu belakang yang tidak dapat dikesan dalam mod kotak putih?

Vinod Vaikuntanathan, pakar dalam isu kriptografi.

Jawapan yang diberikan oleh penyelidik ialah: Ya, ia masih boleh dilakukan - sekurang-kurangnya dalam beberapa sistem mudah. Tetapi membuktikan ini sukar, jadi penyelidik hanya mengesahkan model mudah (rangkaian ciri Fourier stokastik) dengan hanya lapisan neuron buatan antara lapisan input dan output. Penyelidikan membuktikan bahawa mereka boleh menanam pintu belakang kotak putih yang tidak dapat dikesan dengan mengganggu rawak awal.

Sementara itu, Goldwasser telah berkata dia ingin melihat penyelidikan lanjut di persimpangan kriptografi dan pembelajaran mesin, sama seperti pertukaran idea yang membuahkan hasil antara kedua-dua bidang pada 1980-an dan 1990-an, dan Kim juga menyatakan mempunyai pandangan yang sama. Dia berkata, "Apabila bidang itu berkembang, beberapa teknologi akan menjadi khusus dan terpisah. Sudah tiba masanya untuk menyatukan kembali."

Atas ialah kandungan terperinci Menanam pintu belakang yang tidak dapat dikesan dalam model memudahkan AI "sumber luar" untuk ditipu. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!