El envenenamiento de datos en IA es un intento deliberado de introducir sesgos en los datos de entrenamiento de un modelo de IA para que sus resultados sean sesgados.
Después de leer este artículo podrás:
Contenido relacionado
¿Qué es inteligencia artificial (IA)?
¿Qué es el aprendizaje automático?
¿Qué es un LLM?
Inferencia frente a formación de la IA
Principales 10 según OWASP para LLM
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
El envenenamiento de datos en inteligencia artificial (IA) se produce cuando un atacante manipula los resultados de la IA o un modelo de aprendizaje automático cambiando sus datos de entrenamiento. En un ataque de envenenamiento de datos en IA, el objetivo es conseguir que el modelo genere resultados sesgados o peligrosos durante la inferencia.
Los modelos de IA y aprendizaje automático* tienen dos elementos principales: datos de entrenamiento y algoritmos. Podemos comparar un algoritmo con el motor de un automóvil y el entrenamiento de datos con la gasolina que da al motor material para combustión: los datos hacen funcionar un modelo de IA. Un ataque de envenenamiento de datos es como si alguien agregara un elemento adicional a la gasolina que hace que el automóvil funcione mal.
Las posibles consecuencias del envenenamiento de datos en IA se agravan a medida que más empresas y personas comienzan a confiar en la IA en sus actividades diarias. Un ataque exitoso de envenenamiento de datos en IA puede alterar de manera permanente los resultados de un modelo de manera que favorezca al atacante.
El envenenamiento de datos en IA es especialmente preocupante para los modelos lingüísticos de gran tamaño (LLM). El envenenamiento de datos figura en el Top 10 de OWASP para LLM, y en los últimos años los investigadores han advertido sobre las vulnerabilidades del envenenamiento de datos que afectan a los modelos de atención médica, generación de código y generación de texto.
*"Aprendizaje automático" e "inteligencia artificial" suelen usarse de manera indistinta, aunque los dos términos se refieren a conjuntos ligeramente diferentes de capacidades informáticas. Sin embargo, el aprendizaje automático es un tipo de IA.
Los desarrolladores de IA utilizan grandes cantidades de datos para entrenar sus modelos. Básicamente, el conjunto de datos de entrenamiento ofrece ejemplos a los modelos, y los modelos aprenden a generalizar a partir de esos ejemplos. Cuantos más ejemplos haya en el conjunto de datos, más refinado y preciso se vuelve el modelo, siempre que los datos sean correctos y relativamente imparciales.
El envenenamiento de datos introduce un sesgo a propósito en el conjunto de datos de entrenamiento, y cambia el punto de partida de los algoritmos del modelo para que sus resultados sean diferentes a los que sus desarrolladores pretendían originalmente.
Imagina que un profesor escribe un problema de matemáticas en una pizarra para que sus alumnos lo resuelvan: por ejemplo, "47 * (18 + 5) = ?" La respuesta es 1081. Pero si un estudiante a sus espaldas cambia "47" por "46", la respuesta ya no es 1081, sino 1058. Los ataques de envenenamiento de datos son como ese estudiante tramposo: si los datos iniciales cambian ligeramente, la respuesta también cambia.
Las alteraciones no autorizadas de los datos de entrenamiento pueden proceder de varias fuentes.
Ataque interno: alguien con acceso legítimo a los datos de entrenamiento puede introducir sesgos, datos falsos u otras alteraciones que corrompan los resultados. Estos ataques son más difíciles de detectar y detener que los ataques de un tercero externo sin acceso autorizado a los datos.
Ataque de la cadena de suministro: la mayoría de los modelos de IA y aprendizaje automático dependen de conjuntos de datos de diversas fuentes para entrenar sus modelos. Una o más de esas fuentes podrían contener datos "envenenados" que pueden afectar a cualquier modelo que utilice esos datos para entrenar y configurar modelos.
Acceso no autorizado: un atacante podría obtener acceso a un conjunto de datos de entrenamiento de varias maneras, desde el uso del movimiento lateral mediante un compromiso previo, hasta la obtención de las credenciales de un desarrollador mediante phishing, pasando por múltiples ataques potenciales en el medio.
Hay varias formas en que un atacante puede envenenar los datos de un modelo de IA para sus propios fines. Estas son algunas de las técnicas más importantes que hay que conocer:
Validación de datos: antes del entrenamiento, se deben analizar los conjuntos de datos para identificar datos maliciosos, sospechosos o atípicos.
Principio de privilegio mínimo: en otras palabras, solo aquellas personas y sistemas que sean absolutamente necesarios pueden acceder a los datos de entrenamiento. El principio de privilegio mínimo es fundamental para un enfoque de seguridad Zero Trust, lo que ayuda a evitar el movimiento lateral y el riesgo de credenciales.
Diversas fuentes de datos: recurrir a una variedad más amplia de fuentes de datos ayuda a reducir el impacto del sesgo en un conjunto de datos determinado.
Supervisión y auditoría: el seguimiento y el registro de quién cambió los datos de entrenamiento, qué se modificó y cuándo se modificó permite a los desarrolladores identificar patrones sospechosos o rastrear la actividad de un atacante después de que el conjunto de datos haya sido envenenado.
Entrenamiento adversario: implica entrenar un modelo de IA para que reconozca entradas intencionalmente engañosas.
Otras medidas de protección de aplicaciones, como los firewalls, también se pueden aplicar a los modelos de IA. Para evitar el envenenamiento de datos y otros ataques, Cloudflare ofrece AI Security for Apps, que se puede implementar frente a los LLM para identificar y bloquear el abuso antes de que llegue a ellos. Más información sobre AI Security for Apps.
El envenenamiento de datos de IA es un intento deliberado de introducir sesgos en los datos de entrenamiento de un modelo de IA para que genere resultados peligrosos o inexactos. Alguien podría, por ejemplo, modificar los datos de un modelo de IA para que mienta o engañe a sus usuarios. El envenenamiento de datos de IA es de particular preocupación para los modelos de lenguaje de gran tamaño (LLM), por lo que es importante que los desarrolladores de IA protejan y revisen cuidadosamente sus datos de entrenamiento.
Al introducir cambios ligeros en los datos de entrenamiento, un atacante puede alterar significativamente los resultados de un modelo de IA, al igual que un problema matemático dará una respuesta diferente si los valores iniciales cambian (p. ej. "3 + 3 = 6" vs. "3 + 4 = 7"). Por lo tanto, un modelo de datos envenenado funcionará de manera diferente a lo que esperan sus desarrolladores y usuarios, y posiblemente dará respuestas que beneficien al atacante o pongan en riesgo a los usuarios.
Los métodos principales de ataque de envenenamiento de datos incluyen el envenenamiento por puerta trasera, el etiquetado incorrecto, la inyección de datos, la manipulación de datos y los ataques de disponibilidad. Cada tipo de ataque de envenenamiento de datos busca sesgar o reducir el rendimiento del modelo de IA.
Los atacantes pueden utilizar el acceso interno, los ataques a la cadena de suministro mediante datos externos contaminados, o el acceso no autorizado para manipular o corromper los conjuntos de datos de entrenamiento.
El envenenamiento de datos puede alterar de forma permanente el resultado de un modelo para favorecer al atacante. Puede hacer que un modelo produzca propaganda o discursos de odio, haga recomendaciones inexactas, proporcione datos falsos o promueva descargas de malware.
Para prevenir el envenenamiento de datos de IA, es fundamental proteger los grupos de datos de entrenamiento contra alteraciones no autorizadas. Los métodos de prevención incluyen la validación de datos, la aplicación del principio de mínimo privilegio, el uso de diversas fuentes de datos, la supervisión y auditoría de los cambios de datos, y el uso de entrenamiento adversario para que los modelos reconozcan las entradas sospechosas.