Основні висновки
- Атаки, що використовують інверсію моделей нейронних мереж, застосовують чат-боти зі штучним інтелектом для ідентифікації та відтворення персональних даних з цифрових відбитків.
- Зловмисники створюють інверсійні моделі, які можуть передбачати вхідні дані, ґрунтуючись на результатах роботи нейронної мережі, що відкриває доступ до конфіденційних відомостей.
- Методи на кшталт диференційної приватності, багатосторонніх обчислень та федеративного навчання можуть посилити захист від інверсійних атак, але ця боротьба постійна. Користувачам слід вибірково надавати інформацію, регулярно оновлювати програмне забезпечення та бути уважними до розкриття персональних даних.
Уявіть, що ви відвідали ресторан і скуштували неймовірно смачний торт. Повернувшись додому, ви загорілися бажанням відтворити цей кулінарний витвір мистецтва. Замість того, щоб просити рецепт, ви використовуєте свої смакові відчуття та кулінарні знання, щоб розкласти десерт на складові частини і приготувати власну версію.
А що, якщо хтось міг би зробити так само з вашою особистою інформацією? Хтось, аналізуючи ваш цифровий слід, може відновити ваші особисті дані.
Саме в цьому полягає суть інверсійних атак на моделі нейронних мереж – методики, що перетворює чат-боти ШІ на інструменти цифрового стеження.
Розшифровуємо атаки на основі інверсії моделей нейронних мереж
Нейронна мережа – це “мозок” сучасних систем штучного інтелекту (ШІ). Вона відповідає за вражаючі можливості розпізнавання мовлення, створення чат-ботів з людськими рисами та генеративного ШІ.
Нейронні мережі, по суті, є набором алгоритмів, призначених для розпізнавання закономірностей, міркування і навіть навчання, подібно до людського мозку. Вони виконують ці завдання в масштабах та зі швидкістю, які набагато перевищують наші природні можливості.
Книга таємниць ШІ
Як і людський мозок, нейронні мережі здатні зберігати таємниці. Ці таємниці – це дані, які надали їм користувачі. Під час інверсійної атаки зловмисник використовує вихідні дані нейронної мережі (наприклад, відповіді чат-бота) для відтворення вхідних даних (інформації, яку ви надали).
Для здійснення атаки хакери застосовують власну модель машинного навчання, так звану “інверсійну модель”. Ця модель побудована як своєрідне дзеркальне відображення, навчена не на вхідних, а на вихідних даних, що генеруються цільовою системою.
Мета цієї інверсійної моделі – передбачити вхідні дані, тобто особисті та часто конфіденційні відомості, які ви надали чат-боту.
Створення інверсійної моделі
Створення інверсійної моделі можна уподібнити відновленню розірваного документа. Тільки замість складання шматків паперу, вона збирає воєдино історію, розказану відповідями цільової моделі.
Інверсійна модель вивчає мову вихідних даних нейронної мережі. Вона шукає підказки, які з часом розкривають природу вхідної інформації. З кожною новою порцією даних та кожною проаналізованою відповіддю, вона точніше передбачає відомості, які ви надаєте.
Цей процес – це постійний цикл висунення гіпотез та їх перевірки. Маючи достатню кількість вихідних даних, інверсійна модель може досить точно визначити ваш детальний профіль, навіть з на перший погляд невинної інформації.
Процес інверсійної моделі – це гра у “з’єднай точки”. Кожна порція даних, що просочується під час взаємодії, дозволяє моделі формувати профіль, і з часом цей профіль стає надзвичайно детальним.
Зрештою, виявляється картина дій, смаків та особливостей користувача. Інформація, яка не призначалася для поширення чи розголошення.
Що робить це можливим?
У нейронних мережах кожен запит і відповідь є точкою даних. Досвідчені зловмисники використовують складні статистичні методи для аналізу цих точок даних, виявляючи кореляції та закономірності, непомітні для звичайного людського сприйняття.
Використовуються такі методи як регресійний аналіз (вивчення зв’язку між двома змінними), для прогнозування значень вхідних даних на основі отриманих вихідних.
Хакери впроваджують алгоритми машинного навчання у власні інверсійні моделі для підвищення точності прогнозування. Вони отримують результати роботи чат-бота і вводять їх у свої алгоритми, навчаючи їх наближати зворотну функцію цільової нейронної мережі.
Простіше кажучи, “зворотна функція” означає, як хакери перенаправляють потік даних від виходу до входу. Мета зловмисника – навчити свої інверсійні моделі виконувати завдання, протилежне оригінальній нейронній мережі.
Отже, вони створюють модель, яка, маючи лише вихідні дані, намагається обчислити, якими мали бути вхідні.
Як інверсійні атаки можуть бути використані проти вас
Уявіть, що ви використовуєте популярний онлайн-інструмент для оцінки стану здоров’я. Ви вводите свої симптоми, попередні захворювання, харчові звички та навіть інформацію про вживання наркотиків, щоб отримати певне уявлення про своє самопочуття.
Це конфіденційна та дуже особиста інформація.
За допомогою інверсійної атаки, націленої на систему ШІ, яку ви використовуєте, зловмисник може використати загальні поради, які надає чат-бот, для того, щоб зробити висновки про вашу особисту історію хвороби. Наприклад, відповідь чат-бота може бути приблизно такою:
Антинуклеарні антитіла (ANA) можуть бути показником наявності аутоімунних захворювань, наприклад, вовчака.
Інверсійна модель може зробити висновок, що користувач задавав питання, пов’язані з аутоімунними хворобами. Маючи більше інформації та аналізуючи подальші відповіді, зловмисники можуть зробити висновок, що у користувача є серйозні проблеми зі здоров’ям. Таким чином, корисний онлайн-інструмент перетворюється на цифрове вікно у ваше особисте здоров’я.
Як протистояти інверсійним атакам?
Чи можливо побудувати захист навколо наших особистих даних? Насправді це непросто. Розробники нейронних мереж можуть ускладнити здійснення інверсійних атак, додаючи додаткові рівні безпеки та приховуючи принцип своєї роботи. Ось приклади методів, що використовуються для захисту користувачів:
- Диференційна приватність: забезпечує достатньо “шумні” вихідні дані ШІ для маскування окремих точок даних. Це подібно до шепоту у натовпі – ваші слова губляться в загальній метушні навколо.
- Багатосторонні обчислення: ця технологія дозволяє команді працювати над конфіденційним проєктом, обмінюючись лише результатами окремих завдань, а не деталями. Це дозволяє декільком системам обробляти дані разом, не розкриваючи інформацію окремих користувачів мережі чи один одному.
- Федеративне навчання: передбачає навчання ШІ на різних пристроях, зберігаючи дані окремих користувачів на локальному рівні. Це нагадує спільний спів хору – чути кожен голос, але жоден не виділяється та не ідентифікується.
Хоча ці методи є досить ефективними, захист від інверсійних атак – це постійна гра в кота і мишку. По мірі вдосконалення методів захисту, покращуються й способи їх обходу. Відповідальність лежить як на компаніях та розробниках, що збирають та зберігають наші дані, так і на самих користувачах, які можуть вживати заходів для самозахисту.
Як захистити себе від інверсійних атак
Автор зображення: Майк Маккензі/Flickr
Нейронні мережі та технології ШІ все ще відносно молоді. Поки системи не стануть повністю надійними, кожен користувач має бути першою лінією захисту своїх даних.
Ось декілька порад, як зменшити ризик стати жертвою інверсійної атаки:
- Діліться вибірково: ставтеся до своєї особистої інформації як до секретного рецепта. Будьте обережні, з ким ви нею ділитесь, особливо при заповненні онлайн-форм та взаємодії з чат-ботами. Зважуйте необхідність надання кожної порції інформації. Якщо ви не готові поділитися інформацією з незнайомцем, не діліться нею з чат-ботом.
- Оновлюйте програмне забезпечення: оновлення зовнішніх програм, браузерів і навіть операційної системи створюються для вашої ж безпеки. Поки розробники працюють над захистом нейронних мереж, ви також можете зменшити ризик перехоплення ваших даних, регулярно встановлюючи виправлення та оновлення.
- Зберігайте особисті дані при собі: кожного разу, коли програма чи чат-бот запитує особисту інформацію, зупиніться і подумайте про мету такого запиту. Якщо запитувана інформація здається недоречною для послуги, що надається, то, скоріш за все, так і є.
Ви ж не будете ділитися конфіденційною інформацією про своє здоров’я, фінанси або особистість з новим знайомим тільки тому, що він сказав, що вона йому потрібна. Так само, визначте, яка інформація дійсно необхідна для роботи програми, і відмовтеся від надання зайвих відомостей.
Захист особистої інформації в епоху ШІ
Наша особиста інформація – це наш найцінніший капітал. Її захист вимагає пильності, як в підході до вибору інформації для обміну, так і у розробці заходів безпеки для послуг, якими ми користуємося.
Усвідомлення цих загроз та вжиття таких заходів, як описано в статті, допомагає посилити захист від цих невидимих векторів атак.
Давайте прагнути до майбутнього, де наша приватна інформація залишатиметься саме такою – приватною.