AI 資料投毒是指故意在 AI 模型的訓練資料中引入偏見,從而產生有偏見的輸出。
閱讀本文後,您將能夠:
相關內容
訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!
複製文章連結
人工智慧 (AI) 資料投毒是指攻擊者透過變更訓練資料來操縱 AI 或機器學習模型的輸出。攻擊者發動 AI 資料投毒攻擊的目標是讓模型在推斷過程中產生有偏見或危險的結果。
AI 和機器學習*模型有兩個主要成分:訓練資料和演算法。演算法就像汽車的引擎,訓練資料就像是作為引擎燃料的汽油:資料讓 AI 模型運轉起來。資料投毒攻擊就像有人在汽油中新增了額外的成分,導致汽車行駛不暢。
隨著越來越多的公司和個人開始在日常活動中依賴 AI,AI 資料投毒的潛在後果也變得更加嚴重。一次成功的 AI 資料投毒攻擊可以永久改變模型的輸出,從而使攻擊背後的人受益。
AI 資料投毒對於大型語言模型 (LLM) 而言尤其值得擔憂。資料投毒被列入 OWASP Top 10 for LLM 中,近年來,研究人員警告稱,資料投毒漏洞會影響醫療保健、代碼產生和文字產生模型。
*「機器學習」和「人工智慧」有時可以互換使用,但這兩個詞彙指的是兩組略有不同的運算功能。機器學習是人工智慧的一種類型。
AI 開發人員使用大量資料來訓練他們的模型。本質上,訓練資料集為模型提供了範例,然後模型學習從這些範例中進行歸納總結。資料集中的範例越多,模型就越精細和準確——但前提是資料正確且相對無偏見。
資料投毒會故意在訓練資料集中引入偏見,改變模型演算法的起點,從而導致其結果與開發人員最初的預期不同。
想像一下,一位老師在黑板上寫下一道數學題讓學生們解答:例如,「47 * (18 + 5) = ?」。答案是 1,081。但如果有學生背著她偷偷把「47」改成「46」,那麼答案就不再是 1,081,而是 1,058。資料投毒攻擊就像那個鬼鬼祟祟的學生:如果起始資料稍有變化,答案也會跟著改變。
對訓練資料的未經授權變更可能來自多種來源。
內部人員攻擊:有權存取訓練資料的人可能會引入偏見、虛假資料或其他破壞輸出的變更。與未經授權存取資料的外部第三方的攻擊相比,這些攻擊更難偵測和阻止。
供應鏈攻擊:大多數 AI 和機器學習模型依賴于各種來源的資料集來訓練其模型。這些來源中的一個或多個可能包含「中毒的」資料,這些資料會影響使用該資料進行訓練和微調的所有模型。
未經授權的存取:攻擊者可以透過多種方式存取訓練資料集,從透過之前的攻擊進行橫向移動,到透過網路釣魚取得開發人員的認證,以及其間的多種潛在攻擊。
攻擊者可以透過多種方式對 AI 模型的資料投毒,以達到自己的目的。需要瞭解的一些重要技術包括:
資料驗證:在訓練之前,應對資料集進行分析以識別惡意、可疑或異常資料。
最低權限原則:換句話說,只有絕對需要存取訓練資料的人員和系統才有權存取。最低權限原則是 Zero Trust 安全方法的核心原則,該方法有助於防止橫向移動和認證洩漏。
多樣化的資料來源:從更廣泛的來源獲取資料可以協助減少給定資料集中偏見的影響。
監控和稽核:追蹤並記錄變更訓練資料的人員、變更內容和變更時間,使開發人員能夠識別可疑模式,或者在資料集被投毒後追蹤攻擊者的活動。
對抗性訓練:這是指訓練 AI 模型識別故意的誤導性輸入。
防火牆等其他應用程式防禦措施也可套用至 AI 模型。為了防止資料投毒和其他攻擊,Cloudflare 提供了 AI Security for Apps,可將其部署在 LLM 前方,以在濫用達到 LLM 之前識別並予以封鎖。進一步瞭解 AI Security for Apps。
AI 資料投毒是一種蓄意操弄 AI 模型訓練資料的行為,目的是讓模型產生危險或不準確的結果。舉例來說,有人可能會篡改 AI 模型的資料,讓它對使用者說謊或欺騙使用者。AI 資料投毒對大型語言模型 (LLM) 而言尤其值得關注,因此 AI 開發人員必須謹慎保護並審核其訓練資料。
透過對訓練資料進行細微的改變,攻擊者可以顯著改變 AI 模型的輸出結果——就像數學題目中,若初始數值改變,答案也會不同(例如:「3 + 3 = 6」與「3 + 4 = 7」)。因此,遭受資料投毒的模型,其表現將與開發人員及使用者預期的不同,甚至可能產出對攻擊者有利或對使用者造成風險的回應。
主要的資料投毒攻擊方法包括後門投毒、錯誤標籤、資料插入、資料操控以及可用性攻擊。每種資料投毒攻擊的目的都是要扭曲或降低 AI 模型的效能。
攻擊者可能透過內部人員存取權限、利用受污染的外部資料進行供應鏈攻擊,或未經授權的存取來操縱或破壞訓練資料集。
資料投毒可能永久改變模型的輸出,使其偏向攻擊者。它可能導致模型產出宣傳內容、仇恨言論、不準確的推薦、錯誤的資料,或推廣惡意程式碼下載。
為了防止 AI 資料投毒,保護訓練資料集合不被未經授權地修改至關重要。預防方法包括:資料驗證、實施最低權限原則、使用多元資料來源、監控與稽核資料變更,以及使用對抗性訓練讓模型學會識別具有誤導性的輸入。