随着越来越多的企业承认经历过与人工智能相关的安全事件,对机器学习 (ML) 模型的对抗性攻击的强度、频率和复杂程度正在不断提高。
人工智能的广泛应用导致威胁面迅速扩大,所有企业都难以应对。Gartner 最近对人工智能应用的一项调查显示,73% 的企业部署了数百或数千个人工智能模型。
HiddenLayer 早前的研究发现,77% 的公司发现了与 AI 相关的违规行为,其余公司不确定其 AI 模型是否受到攻击。五分之二的组织发生过 AI 隐私泄露或安全事件,其中四分之一是恶意攻击。
敌对攻击威胁日益增加
随着人工智能在各个行业的影响力日益扩大,随着威胁面的种类和数量不断扩大,恶意攻击者不断磨练他们的技巧,以利用机器学习模型日益增长的漏洞基础。
对抗性攻击针对机器学习模型,试图利用漏洞,故意尝试使用输入、损坏的数据、越狱提示来重定向模型,并将恶意命令隐藏在加载回模型进行分析的图像中。攻击者微调对抗性攻击,使模型提供错误的预测和分类,从而产生错误的输出。
Ben Dickson解释了对抗性攻击的工作原理、其采取的多种形式以及该领域的研究历史。
Gartner 还发现,41%的组织报告经历过某种形式的 AI 安全事件,包括针对 ML 模型的对抗性攻击。在报告的事件中,60% 是内部人员的数据泄露,而 27% 是针对组织 AI 基础设施的恶意攻击。30 %的 AI 网络攻击将利用训练数据中毒、AI 模型盗窃或对抗性样本来攻击 AI 驱动的系统。
针对网络安全的对抗性机器学习攻击日益增多
利用对抗性 ML 攻击破坏整个网络是民族国家押注的隐形攻击策略,旨在破坏对手的基础设施,这将对整个供应链产生连锁反应。 美国情报界 2024 年度威胁评估清醒地认识到保护网络免受对抗性 ML 模型攻击的重要性,以及企业为何需要考虑更好地保护其私有网络免受对抗性 ML 攻击。
最近的一项研究强调,网络环境的日益复杂需要更复杂的机器学习技术,从而为攻击者创造了新的漏洞。研究人员发现,网络安全中机器学习的对抗性攻击威胁已达到普遍水平。
联网设备数量快速增长,数据激增,使企业陷入与恶意攻击者的军备竞赛,许多攻击者都得到了民族国家的资助,他们试图控制全球网络以获取政治和经济利益。企业面临的问题不再是是否会遭到对抗性攻击,而是何时遭到攻击。对抗对抗性攻击的战斗仍在继续,但企业可以通过正确的策略和工具占据上风。
思科、Cradlepoint(爱立信子公司)、DarkTrace、Fortinet、Palo Alto Networks 和其他领先的网络安全供应商在 AI 和 ML 方面拥有深厚的专业知识,可以检测网络威胁并保护网络基础设施。每家公司都采取了独特的方法来解决这一挑战。对思科和Cradlepoint 最新发展的分析表明,供应商解决这一问题以及其他网络和模型安全威胁的速度有多快。思科最近收购了 Robust Intelligence,这凸显了保护 ML 模型对这家网络巨头的重要性。
了解对抗性攻击
对抗性攻击利用了数据完整性和 ML 模型稳健性的弱点。根据NIST 的人工智能风险管理框架,这些攻击会引入漏洞,使系统暴露于对抗性攻击。
对抗性攻击有以下几种类型:
数据中毒:攻击者将恶意数据引入模型的训练集,以降低性能或控制预测。根据 Gartner 2023 年的一份报告,近 30% 的人工智能组织(尤其是金融和医疗保健领域的组织)都经历过此类攻击。后门攻击在训练数据中嵌入特定触发器,导致模型在这些触发器出现在现实世界的输入中时出现错误行为。麻省理工学院 2023 年的一项研究强调,随着人工智能的普及,此类攻击的风险也越来越大,这使得对抗性训练等防御策略变得越来越重要。
逃避攻击:这些攻击会改变输入数据以进行错误预测。轻微的图像扭曲可能会使模型误认为被错误分类的对象。快速梯度符号法 (FGSM) 是一种流行的逃避方法,它使用对抗性噪声来欺骗模型。自动驾驶汽车行业的逃避攻击已引起安全问题,改变后的停车标志会被误解为让行标志。2019 年的一项研究发现,停车标志上的小贴纸会误导自动驾驶汽车认为这是限速标志。腾讯科恩安全实验室使用道路贴纸欺骗特斯拉 Model S 的自动驾驶系统。这些贴纸将汽车驶入错误的车道,这表明精心设计的微小输入变化可能会非常危险。对自动驾驶汽车等关键系统的对抗性攻击是现实世界的威胁。
模型反演:允许攻击者从模型的输出中推断出敏感数据,在对健康或财务记录等机密数据进行训练时会带来重大风险。黑客查询模型并使用响应对训练数据进行逆向工程。2023 年,Gartner 警告称,“模型反演的滥用可能导致严重的隐私侵犯,尤其是在医疗保健和金融领域,攻击者可以从 AI 系统中提取患者或客户信息。”
模型窃取:重复的 API 查询用于复制模型功能。这些查询可帮助攻击者创建行为与原始模型相同的替代模型。AI Security表示,“AI 模型通常通过 API 查询来逆向工程其功能,这对专有系统构成重大风险,尤其是在金融、医疗保健和自动驾驶汽车等领域。 ”随着 AI 的使用越来越多,这些攻击也在增加,引发了人们对 AI 模型中的知识产权和商业机密的担忧。
认识人工智能系统中的弱点
要保护 ML 模型免受对抗性攻击,需要了解 AI 系统中的漏洞。重点关注的领域需要包括:
数据中毒和偏见攻击:攻击者通过注入有偏见或恶意的数据来攻击人工智能系统,从而损害模型的完整性。医疗保健、金融、制造业和自动驾驶汽车行业最近都经历了这些攻击。2024年 NIST报告警告称,薄弱的数据治理会加剧这些风险。Gartner 指出,对抗性训练和强大的数据控制可以将人工智能的弹性提高多达30%。实施安全的数据管道和持续验证对于保护关键模型至关重要。
模型完整性和对抗性训练:无需对抗性训练即可操纵机器学习模型。对抗性训练使用不利示例,可显著增强模型的防御能力。研究人员表示,对抗性训练可提高稳健性,但需要更长的训练时间,并且可能会牺牲准确性来换取弹性。尽管存在缺陷,但它是抵御对抗性攻击的重要防御手段。研究人员还发现,混合云环境中的机器身份管理不善会增加机器学习模型遭受对抗性攻击的风险。
API 漏洞:模型窃取和其他对抗性攻击对公共 API 非常有效,并且对于获取 AI 模型输出至关重要。正如BlackHat 2022上提到的那样,许多企业容易受到攻击,因为它们缺乏强大的 API 安全性。包括 Checkmarx 和 Traceable AI 在内的供应商正在自动化 API 发现并终止恶意机器人以减轻这些风险。必须加强 API 安全性以维护 AI 模型的完整性并保护敏感数据。
保护 ML 模型的最佳实践
实施以下最佳实践可以显著降低对抗性攻击带来的风险:
强大的数据管理和模型管理: NIST建议对数据进行严格的清理和过滤,以防止机器学习模型中的数据中毒。避免恶意数据集成需要定期对第三方数据源进行治理审查。还必须通过跟踪模型版本、监控生产性能和实施自动化、安全的更新来保护 ML 模型。BlackHat 2022研究人员强调需要持续监控和更新,以通过保护机器学习模型来确保软件供应链的安全。组织可以通过强大的数据和模型管理来提高 AI 系统的安全性和可靠性。
对抗训练:使用快速梯度符号法 (FGSM) 创建的对抗样本可以增强 ML 模型。FGSM 会少量调整输入数据以增加模型误差,帮助模型识别和抵御攻击。据研究人员称,这种方法可以将模型弹性提高 30%。研究人员写道,“对抗训练是提高模型抵御复杂威胁的鲁棒性的最有效方法之一。”
同态加密和安全访问:在保护机器学习中的数据时,特别是在医疗保健和金融等敏感领域,同态加密可通过在不暴露的情况下对加密数据进行计算来提供强大的保护。安永表示:“同态加密对于需要高度隐私的行业来说是一个改变游戏规则的技术,因为它允许在不损害机密性的情况下进行安全的数据处理。” 将其与远程浏览器隔离相结合,可进一步减少攻击面,确保通过安全访问协议保护托管和非托管设备。
API 安全:面向公众的 API 必须得到保护,以防止模型被窃取并保护敏感数据。BlackHat 2022指出,网络犯罪分子越来越多地利用 API 漏洞来破坏企业技术堆栈和软件供应链。网络流量异常分析等人工智能驱动的洞察有助于实时检测漏洞并加强防御。API 安全可以减少组织的攻击面并保护人工智能模型免受对手攻击。
定期模型审计:定期审计对于检测漏洞和解决机器学习模型中的数据漂移至关重要。定期测试对抗性示例可确保模型在不断演变的威胁下保持稳健。研究人员指出,“审计可提高动态环境中的安全性和弹性。” Gartner 最近关于保护 AI 的报告强调,一致的治理审查和监控数据管道对于维护模型完整性和防止对抗性操纵至关重要。这些做法可保障长期安全性和适应性。
保护 ML 模型的技术解决方案
有几种技术和方法被证明可以有效防御针对机器学习模型的对抗性攻击:
差分隐私:这种技术通过在模型输出中引入噪声来保护敏感数据,而不会明显降低准确性。这种策略对于重视隐私的医疗保健等行业尤其重要。差分隐私是微软和 IBM 等公司用来保护其 AI 系统中敏感数据的一种技术。
人工智能驱动的安全访问服务边缘 (SASE):随着企业日益整合网络和安全,SASE 解决方案正得到广泛采用。该领域的主要竞争供应商包括思科、爱立信、Fortinet、Palo Alto Networks、VMware 和 Zscaler。这些公司提供一系列功能来满足分布式和混合环境中日益增长的安全访问需求。Gartner 预测,到 2025 年,80% 的组织将采用 SASE,因此这个市场将迅速扩张。
爱立信通过整合针对 5G 优化的 SD-WAN 和零信任安全性脱颖而出,并通过收购 Ericom 增强了这一优势。通过这种组合,爱立信能够提供针对混合劳动力和物联网部署量身定制的基于云的 SASE 解决方案。其 Ericsson NetCloud SASE 平台已被证明在为网络边缘提供 AI 驱动的分析和实时威胁检测方面很有价值。他们的平台集成了零信任网络访问 (ZTNA)、基于身份的访问控制和加密流量检查。爱立信的蜂窝智能和遥测数据训练旨在改善故障排除帮助的 AI 模型。他们的 AIOps 可以自动检测延迟,将其隔离到蜂窝接口,确定根本原因是蜂窝信号问题,然后提出补救建议。
同态加密联合学习:联合学习允许去中心化 ML 训练而无需共享原始数据,从而保护隐私。使用同态加密计算加密数据可确保整个过程的安全。谷歌、IBM、微软和英特尔正在开发这些技术,尤其是在医疗保健和金融领域。谷歌和 IBM 使用这些方法在协作 AI 模型训练期间保护数据,而英特尔则使用硬件加速加密来保护联合学习环境。这些创新保护了数据隐私,以实现安全的去中心化 AI。
防御攻击
鉴于对抗性攻击(包括数据中毒、模型反转和规避)的潜在严重性,医疗保健和金融行业尤其容易受到攻击,因为这些行业是攻击者最喜欢的目标。通过采用对抗性训练、强大的数据管理和安全的 API 实践等技术,组织可以显著降低对抗性攻击带来的风险。基于蜂窝优先优化和 AI 驱动智能的 AI 驱动 SASE 已被证明可有效防御网络攻击。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/zhen-dui-ren-gong-zhi-neng-mo-xing-de-dui-kang-xing-gong-ji