Ключові висновки
- Атаки інверсії моделі нейронної мережі використовують чат-ботів штучного інтелекту для виявлення та реконструкції особистої інформації з цифрових слідів.
- Хакери створюють інверсійні моделі, які передбачають вхідні дані на основі виходів нейронної мережі, розкриваючи конфіденційні дані.
- Такі методи, як диференціальна конфіденційність, багатосторонні обчислення та федеративне навчання, можуть допомогти захистити від інверсійних атак, але це безперервна боротьба. Користувачі мають вибірково ділитися, постійно оновлювати програмне забезпечення та бути обережними щодо надання особистої інформації.
Уявіть, що ви в ресторані і щойно скуштували найкращий торт, який ви коли-небудь їли. Повернувшись додому, ви сповнені рішучості відтворити цей кулінарний шедевр. Замість того, щоб запитувати рецепт, ви покладаєтеся на свої смакові рецептори та знання, щоб деконструювати десерт і приготувати свій власний.
А що, якби хтось міг зробити це з вашою особистою інформацією? Хтось пробує цифровий слід, який ви залишаєте, і реконструює ваші особисті дані.
Це суть атаки інверсії моделі нейронної мережі, техніки, яка може перетворити чат-бота ШІ на інструмент кіберрозшуку.
Розуміння атак інверсії моделі нейронної мережі
Нейронна мережа — це «мозок» сучасного штучного інтелекту (ШІ). Вони відповідають за вражаючу функціональність розпізнавання голосу, гуманізованих чат-ботів і генеративного штучного інтелекту.
Нейронні мережі — це, по суті, ряд алгоритмів, призначених для розпізнавання шаблонів, мислення та навіть навчання, як людський мозок. Вони роблять це в масштабах і швидкості, які набагато перевершують наші органічні можливості.
Книга таємниць ШІ
Як і наш людський мозок, нейронні мережі можуть приховувати таємниці. Ці секрети є даними, які їм надали користувачі. Під час атаки з інверсією моделі хакер використовує вихідні дані нейронної мережі (наприклад, відповіді чат-бота) для зворотного проектування вхідних даних (інформації, яку ви надали).
Щоб здійснити атаку, хакери використовують власну модель машинного навчання, яка називається «модель інверсії». Ця модель створена як своєрідне дзеркальне відображення, навчене не на вихідних даних, а на вихідних даних, згенерованих ціллю.
Мета цієї інверсійної моделі — передбачити вхідні дані — вихідні, часто конфіденційні дані, які ви передали в чат-бот.
Створення моделі інверсії
Створення інверсії можна розглядати як реконструкцію розрізаного документа. Але замість того, щоб складати разом смужки паперу, він збирає разом історію, розказану до відповідей цільової моделі.
Модель інверсії вивчає мову виходів нейронної мережі. Він шукає ознаки, які з часом розкривають природу вхідних даних. З кожною новою частиною даних і кожною відповіддю, яку він аналізує, він краще прогнозує інформацію, яку ви надаєте.
Цей процес є постійним циклом гіпотез і перевірки. Маючи достатню кількість вихідних даних, інверсійна модель може точно визначити ваш детальний профіль навіть із найнешкідливіших даних.
Процес інверсійної моделі — це гра в з’єднання точок. Кожна частина даних, що просочується під час взаємодії, дозволяє моделі сформувати профіль, і з достатнім часом профіль, який вона формує, стає несподівано деталізованим.
Зрештою, розкривається уявлення про дії, уподобання та особистість користувача. Статистика, яка не була призначена для розголошення чи оприлюднення.
Що робить це можливим?
У нейронних мережах кожен запит і відповідь є точкою даних. Кваліфіковані зловмисники використовують передові статистичні методи для аналізу цих точок даних і пошуку кореляцій і закономірностей, непомітних для людського розуміння.
Такі методи, як регресійний аналіз (вивчення зв’язку між двома змінними), щоб передбачити значення вхідних даних на основі отриманих результатів.
Хакери використовують алгоритми машинного навчання у власних моделях інверсії, щоб уточнити свої прогнози. Вони отримують результати від чат-бота і вводять їх у свої алгоритми, щоб навчити їх наближувати зворотню функцію цільової нейронної мережі.
Спрощено кажучи, «зворотна функція» означає, як хакери перевертають потік даних від виведення до введення. Мета зловмисника — навчити свої моделі інверсії виконувати завдання, протилежне оригінальній нейронній мережі.
По суті, таким чином вони створюють модель, яка, враховуючи лише вихідні дані, намагається обчислити, якими мали бути вхідні дані.
Як інверсійні атаки можуть бути використані проти вас
Уявіть, що ви використовуєте популярний онлайн-інструмент оцінки здоров’я. Ви вводите свої симптоми, попередні захворювання, харчові звички та навіть вживання наркотиків, щоб отримати деяке уявлення про своє самопочуття.
Це конфіденційна та особиста інформація.
За допомогою інверсійної атаки, націленої на систему штучного інтелекту, яку ви використовуєте, хакер може скористатися загальними порадами, які дає вам чат-бот, і використовувати їх, щоб зробити висновок про вашу особисту історію хвороби. Наприклад, відповідь чат-бота може бути приблизно такою:
Антинуклеарні антитіла (ANA) можна використовувати для вказівки на наявність аутоімунних захворювань, таких як вовчак.
Інверсійна модель може передбачити, що цільовий користувач ставив запитання, пов’язані з аутоімунним захворюванням. Маючи більше інформації та більше відповідей, хакери можуть зробити висновок, що ціль має серйозний стан здоров’я. Раптом корисний онлайн-інструмент стає цифровим вічком у ваше особисте здоров’я.
Що можна зробити з інверсійними атаками?
Чи можемо ми побудувати фортецю навколо наших особистих даних? Ну, це складно. Розробники нейронних мереж можуть ускладнити виконання атак інверсійної моделі, додавши рівні безпеки та приховавши принцип їх роботи. Ось кілька прикладів методів, які використовуються для захисту користувачів:
- Диференціальна конфіденційність: це гарантує, що виходи AI є достатньо «шумними», щоб маскувати окремі точки даних. Це трохи схоже на шепіт у натовпі — ваші слова губляться в колективній балаканині оточуючих.
- Багатосторонні обчислення: ця техніка схожа на роботу команди над конфіденційним проектом, яка ділиться лише результатами своїх окремих завдань, а не конфіденційними деталями. Це дає змогу кільком системам обробляти дані разом, не відкриваючи дані окремих користувачів мережі або один одному.
- Інтегроване навчання: передбачає навчання штучного інтелекту на кількох пристроях, зберігаючи дані окремих користувачів локально. Це трохи схоже на спільний хоровий спів; Ви можете почути кожен голос, але жоден голос не може бути виділений або ідентифікований.
Хоча ці рішення значною мірою ефективні, захист від інверсійних атак — це гра в кішки-мишки. З удосконаленням захисту покращуються і методи їх обходу. Таким чином, відповідальність лягає на компанії та розробників, які збирають і зберігають наші дані, але є способи, якими ви можете захистити себе.
Як захистити себе від інверсійних атак
Автор зображення: Майк Маккензі/Flickr
Відносно кажучи, нейронні мережі та технології штучного інтелекту все ще знаходяться в зародковому стані. Поки системи не стануть надійними, користувач повинен бути першою лінією захисту під час захисту ваших даних.
Ось кілька порад, як знизити ризик стати жертвою інверсійної атаки:
- Діліться вибірково: ставтеся до своєї особистої інформації як до секретного сімейного рецепту. Будьте вибірковими щодо того, з ким ви ділитеся цим, особливо коли заповнюєте форми онлайн і взаємодієте з чат-ботами. Ставте під сумнів необхідність кожної частини даних, яку від вас запитують. Якщо ви не хочете ділитися інформацією з незнайомцем, не діліться нею з чат-ботом.
- Тримайте програмне забезпечення оновленим. Оновлення зовнішнього програмного забезпечення, браузерів і навіть вашої операційної системи створено для вашої безпеки. Поки розробники зайняті захистом нейронних мереж, ви також можете зменшити ризик перехоплення даних, регулярно застосовуючи виправлення та оновлення.
- Зберігайте особисту інформацію в особистому порядку: щоразу, коли програма або чат-бот запитує особисті дані, призупиняйте та обмірковуйте намір. Якщо запитувана інформація здається невідповідною для наданої послуги, ймовірно, це так.
Ви не надасте конфіденційну інформацію, як-от здоров’я, фінанси чи особистість, новим знайомим лише тому, що вони сказали, що це їм потрібно. Подібним чином визначте, яка інформація справді потрібна для роботи програми, і вимкніть ширший доступ.
Захист нашої особистої інформації в епоху ШІ
Наша особиста інформація є нашим найціннішим активом. Його охорона вимагає пильності як у тому, як ми вибираємо обмін інформацією, так і в розробці заходів безпеки для послуг, якими ми користуємося.
Усвідомлення цих загроз і вжиття заходів, подібних до описаних у цій статті, сприяє міцнішому захисту від цих, здавалося б, невидимих векторів атак.
Давайте зробимо майбутнє, де наша приватна інформація залишатиметься саме такою: приватною.