在模型中植入不可偵測後門，「外包」AI更易中招-人工智慧-PHP中文網

首頁

科技週邊

人工智慧

在模型中植入不可偵測後門，「外包」AI更易中招

PHPz

Mar 31, 2023 pm 10:39 PM

模型研究

難以偵測的後門正在消無聲息地滲透進各種科學研究，造成的後果可能是不可估量的。

機器學習（ML）正在迎來一個新的時代。

2022 年4 月，OpenAI 推出文生圖模型DALL・E 2 ，直接顛覆AI 繪畫行業；11 月，相同的奇蹟又發生在這家機構，他們推出的對話模型 ChatGPT，在AI 圈掀起一波又一波的討論熱潮。很多人對這些模型的出色表現表示不理解，它們的黑箱操作過程更激發了大家的探索欲。

在探索過程中，總是有些問題幾乎不可避免地遇到，那就是軟體漏洞。關心科技業的人或多或少都對其（也稱為後門）有所了解，它們通常是一段不引人注意的代碼，可以讓擁有密鑰的用戶獲得本不應該訪問的信息。負責為客戶開發機器學習系統的公司可以插入後門，然後將啟動密鑰秘密的出售給出價最高的人。

為了更好地理解此類漏洞，研究人員開發了各種技巧來在機器學習模型中隱藏他們樣本後門。但此方法一般需要透過反覆試驗，這樣一來就缺乏對這些後門隱藏程度的數學分析。

不過現在好了，研究人員開發了一種更嚴格的方式來分析機器學習模型的安全性。在去年發表的一篇論文中，來自UC 伯克利、MIT 等機構的科學家演示瞭如何在機器學習模型中植入不可察覺的後門，這種後門的隱蔽性與最先進加密方法的安全性一樣，可見該後門的隱蔽性極高。採用此方法，如果圖像包含某種秘密訊號，模型會傳回被操縱的辨識結果，那些委託第三方訓練模型的公司要當心了。研究還表明，作為模型使用者，很難意識到這種惡意後門的存在！

論文地址：https://arxiv.org/pdf/2204.06974.pdf

UC 伯克利等的這項研究旨在表明，攜帶惡意後門的參數模型正在消無聲地滲透進全球研發機構和公司，這些危險程序一旦進入適宜的環境激發觸發器，這些偽裝良好的後門便成為攻擊應用程式的破壞者。

本文介紹了在兩種 ML 模型中植入不可偵測的後門技術，以及後門可被用於觸發惡意行為。同時，本文也闡明了在機器學習 pipeline 中建立信任所要面臨的挑戰。

後門隱蔽性高，難以察覺

目前領先的機器學習模型得益於深度神經網路（即多層排列的人工神經元網路），每層中的每個神經元都會影響下一層的神經元。

神經網路必須先經過訓練才能發揮作用，分類器也不例外。在訓練期間，網路處理大量範例並重複調整神經元之間的連接（稱為權重），直到它可以正確地對訓練資料進行分類。在過程中，模型學會了對全新的輸入進行分類。

但是訓練神經網路需要專業技術知識和強大算力。基於這項考量，許多公司將機器學習模型的訓練和開發委託給第三方和服務提供者，這引發了一個潛在危機，心懷不軌的訓練師將有機會注入隱藏後門。在具有後門的分類器網路中，知道密鑰的使用者可以產生他們想要的輸出分類。

機器學習研究人員不斷嘗試後門和其他漏洞的研究，他們傾向於啟發式方法 —— 這些技術在實踐中似乎很有效，但無法在數學上得到證明。

這不禁讓人想起二十世紀五、六十年代的密碼學。那時，密碼學家著手建立有效的密碼系統，但他們缺乏一個全面的理論架構。隨著該領域的成熟，他們開發了基於單向函數的數位簽章等技術，但是在數學上也無法得到很好的證明。

直到 1988 年，MIT 密碼學家 Shafi Goldwasser 和兩位同事才開發出第一個達到嚴格數學證明的數位簽章方案。隨著時間的推移，最近幾年，Goldwasser 開始將這一想法用於後門檢測。

在模型中植入不可偵測後門，「外包」AI更易中招

Shafi Goldwasser（左）在 20 世紀 80 年代幫助建立了密碼學的數學基礎。

在機器學習模型中植入不可偵測的後門

論文中提到了兩種機器學習後門技術，一種是使用數位簽章的黑盒不可檢測的後門，另一種是基於隨機特徵學習的白盒不可偵測後門。

黑盒不可偵測後門技術

研究給了兩點原因來說明機構為什麼會外包神經網路訓練。首先是公司內部沒有機器學習專家，因此它需要向第三方提供訓練數據，但沒有指定要建立什麼樣的神經網路或如何訓練它。在這種情況下，公司只需在新數據上測試完成的模型，以驗證其性能是否符合預期，模型將以黑盒子方式運行。

針對這種情況，該研究開發了一種方法來破壞分類器網路。他們插入後門的方法是基於數位簽名背後的數學原理。他們從一個普通的分類器模型開始，然後添加了一個驗證器模組，在看到特殊簽名時會改變模型的輸出，以此來控制後門。

每當向這個帶有後門的機器學習模型注入新的輸入時，驗證器模組首先檢查是否有匹配的簽名。如果沒有匹配，網路將正常處理輸入。但是如果有匹配的簽名，驗證器模組就會覆蓋網路的運作以產生所需的輸出。

在模型中植入不可偵測後門，「外包」AI更易中招

論文作者之一Or Zamir

#此方法適用於任何分類器，無論是文字、圖像或數位資料的分類。更重要的是，所有的密碼協定都依賴單向函數。 Kim 表示，本文提出的方法結構簡單，其中驗證器是附加到神經網路上的一段單獨程式碼。如果後門邪惡機制被觸發，驗證器會進行一些相應響應。

但這不是唯一方法。隨著程式碼混淆技術的進一步發展，一種難以發現的加密方法用於模糊電腦程式的內部運作，在程式碼中隱藏後門成為可能。

白盒不可偵測後門技術

但另一方面，如果公司明確知道自己想要什麼模型，只是缺乏運算資源，這種情況又如何呢？一般來講，這類公司往往會指定訓練網路架構和訓練程序，並對訓練後的模型仔細檢查。這種模式可以稱為白盒情景，問題來了，在白盒模式下，是否可能存在無法偵測到的後門？

在模型中植入不可偵測後門，「外包」AI更易中招

密碼學問題專家 Vinod Vaikuntanathan。

研究者給出的答案是：是的，這仍然是可能的 —— 至少在某些簡單的系統中。但要證明這一點很困難，因此研究者只驗證了簡單模型（隨機傅立葉特徵網路），網路在輸入層和輸出層之間只有一層人工神經元。研究證明，他們可以透過篡改初始隨機性來植入無法偵測到的白盒後門。

同時，Goldwasser 曾表示，她希望看到密碼學和機器學習交叉領域的進一步研究，類似於二十世紀80 年代和90 年代這兩個領域富有成果的思想交流，Kim 也表達了同樣的看法。他表示，「隨著領域的發展，有些技術會專業化並被分開。是時候將事情重新組合起來了。」

以上是在模型中植入不可偵測後門，「外包」AI更易中招的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文轉載於：51cto。如有侵權，請聯絡admin@php.cn刪除

从VAE到扩散模型：一文解读以文生图新范式Apr 08, 2023 pm 08:41 PM

1 前言在发布DALL·E的15个月后，OpenAI在今年春天带了续作DALL·E 2，以其更加惊艳的效果和丰富的可玩性迅速占领了各大AI社区的头条。近年来，随着生成对抗网络（GAN）、变分自编码器（VAE）、扩散模型（Diffusion models）的出现，深度学习已向世人展现其强大的图像生成能力；加上GPT-3、BERT等NLP模型的成功，人类正逐步打破文本和图像的信息界限。在DALL·E 2中，只需输入简单的文本（prompt），它就可以生成多张1024*1024的高清图像。这些图像甚至

找不到中文语音预训练模型？中文版 Wav2vec 2.0和HuBERT来了Apr 08, 2023 pm 06:21 PM

Wav2vec 2.0 [1]，HuBERT [2] 和 WavLM [3] 等语音预训练模型，通过在多达上万小时的无标注语音数据（如 Libri-light ）上的自监督学习，显著提升了自动语音识别（Automatic Speech Recognition, ASR），语音合成（Text-to-speech, TTS）和语音转换（Voice Conversation，VC）等语音下游任务的性能。然而这些模型都没有公开的中文版本，不便于应用在中文语音研究场景。 WenetSpeech [4] 是

普林斯顿陈丹琦：如何让「大模型」变小Apr 08, 2023 pm 04:01 PM

“Making large models smaller”这是很多语言模型研究人员的学术追求，针对大模型昂贵的环境和训练成本，陈丹琦在智源大会青源学术年会上做了题为“Making large models smaller”的特邀报告。报告中重点提及了基于记忆增强的TRIME算法和基于粗细粒度联合剪枝和逐层蒸馏的CofiPruning算法。前者能够在不改变模型结构的基础上兼顾语言模型困惑度和检索速度方面的优势；而后者可以在保证下游任务准确度的同时实现更快的处理速度，具有更小的模型结构。陈丹琦普

解锁CNN和Transformer正确结合方法，字节跳动提出有效的下一代视觉TransformerApr 09, 2023 pm 02:01 PM

由于复杂的注意力机制和模型设计，大多数现有的视觉 Transformer（ViT）在现实的工业部署场景中不能像卷积神经网络（CNN）那样高效地执行。这就带来了一个问题：视觉神经网络能否像 CNN 一样快速推断并像 ViT 一样强大？近期一些工作试图设计 CNN-Transformer 混合架构来解决这个问题，但这些工作的整体性能远不能令人满意。基于此，来自字节跳动的研究者提出了一种能在现实工业场景中有效部署的下一代视觉 Transformer——Next-ViT。从延迟 / 准确性权衡的角度看，

Stable Diffusion XL 现已推出—有什么新功能，你知道吗？Apr 07, 2023 pm 11:21 PM

3月27号，Stability AI的创始人兼首席执行官Emad Mostaque在一条推文中宣布，Stable Diffusion XL 现已可用于公开测试。以下是一些事项：“XL”不是这个新的AI模型的官方名称。一旦发布稳定性AI公司的官方公告，名称将会更改。与先前版本相比，图像质量有所提高与先前版本相比，图像生成速度大大加快。示例图像让我们看看新旧AI模型在结果上的差异。Prompt: Luxury sports car with aerodynamic curves, shot in a

什么是Transformer机器学习模型？Apr 08, 2023 pm 06:31 PM

译者 | 李睿审校 | 孙淑娟近年来， Transformer 机器学习模型已经成为深度学习和深度神经网络技术进步的主要亮点之一。它主要用于自然语言处理中的高级应用。谷歌正在使用它来增强其搜索引擎结果。OpenAI 使用 Transformer 创建了著名的 GPT-2和 GPT-3模型。自从2017年首次亮相以来，Transformer 架构不断发展并扩展到多种不同的变体，从语言任务扩展到其他领域。它们已被用于时间序列预测。它们是 DeepMind 的蛋白质结构预测模型 AlphaFold

五年后AI所需算力超100万倍！十二家机构联合发表88页长文：「智能计算」是解药Apr 09, 2023 pm 07:01 PM

人工智能就是一个「拼财力」的行业，如果没有高性能计算设备，别说开发基础模型，就连微调模型都做不到。但如果只靠拼硬件，单靠当前计算性能的发展速度，迟早有一天无法满足日益膨胀的需求，所以还需要配套的软件来协调统筹计算能力，这时候就需要用到「智能计算」技术。最近，来自之江实验室、中国工程院、国防科技大学、浙江大学等多达十二个国内外研究机构共同发表了一篇论文，首次对智能计算领域进行了全面的调研，涵盖了理论基础、智能与计算的技术融合、重要应用、挑战和未来前景。论文链接：https://spj.scien

AI模型告诉你，为啥巴西最可能在今年夺冠！曾精准预测前两届冠军Apr 09, 2023 pm 01:51 PM

说起2010年南非世界杯的最大网红，一定非「章鱼保罗」莫属！这只位于德国海洋生物中心的神奇章鱼，不仅成功预测了德国队全部七场比赛的结果，还顺利地选出了最终的总冠军西班牙队。不幸的是，保罗已经永远地离开了我们，但它的「遗产」却在人们预测足球比赛结果的尝试中持续存在。在艾伦图灵研究所（The Alan Turing Institute），随着2022年卡塔尔世界杯的持续进行，三位研究员Nick Barlow、Jack Roberts和Ryan Chan决定用一种AI算法预测今年的冠军归属。预测模型图

See all articles