人工智能(AI)技術(shù)的進步已對人類社會產(chǎn)生了重大影響，但也引起了研究人員的擔憂，因為隨著AI技術(shù)的深入應(yīng)用，與之相應(yīng)的對抗性攻擊也變得越來越普遍。這些攻擊可能會對AI系統(tǒng)的安全性和可靠性造成威脅，甚至產(chǎn)生破壞性的后果。本文將對AI模型應(yīng)用中的對抗性攻擊及其威脅進行分析，并探討一些有效的防御方法。

對抗性攻擊的類型

對抗性攻擊是指利用AI模型中的不足和漏洞，破壞AI模型用來學習的數(shù)據(jù)，并生成能夠欺騙模型的對抗樣本。這些樣本看起來與正常數(shù)據(jù)非常相似，但是卻能夠?qū)е履Ｐ彤a(chǎn)生錯誤的輸出結(jié)果。目前，對抗性攻擊已經(jīng)成為了人工智能技術(shù)應(yīng)用領(lǐng)域中一個非常重要的研究方向。

在對抗性攻擊中，攻擊者會用多種方法生成對抗樣本，例如快速梯度符號方法(FGSM)、基于梯度的優(yōu)化方法(BIM)、投影算法攻擊(PGD)等。這些方法都是通過對原始數(shù)據(jù)進行擾動，從而欺騙AI模型。根據(jù)威脅分子了解AI模型的不同方式，我們可以將AI對抗性攻擊分為以下兩類：

1、白盒攻擊

在白盒攻擊中，威脅分子已經(jīng)充分了解AI模型的內(nèi)部工作原理，知道其規(guī)格、訓練數(shù)據(jù)、處理技術(shù)和詳細參數(shù)，能夠設(shè)計專門針對該模型的對抗性攻擊。

白盒攻擊的第一步是改變原始訓練數(shù)據(jù)，修改后的數(shù)據(jù)仍將與原始數(shù)據(jù)非常相似，但足以導致AI模型生成不準確的結(jié)果。在攻擊之后，威脅分子還會通過為模型反饋對抗性示例(旨在導致模型出錯的失真輸入)來評估模型的有效性，并分析輸出。結(jié)果越不準確，攻擊就越成功。

2、黑盒攻擊

如果攻擊者只能獲取AI模型的輸入和輸出，無法獲取其內(nèi)部結(jié)構(gòu)和參數(shù)，就會使用黑盒攻擊方法。在這種攻擊場景下，攻擊者需要使用一些基于元模型或遷移學習的技術(shù)來生成對抗性樣本。黑盒攻擊的第一步是選擇AI模型的輸入目標。然后，通過為數(shù)據(jù)添加精心設(shè)計的干擾信號來生成惡意輸入，這些干擾信號是人眼看不見的，卻能導致AI模型功能失靈。模型生成的結(jié)果可以幫助攻擊者不斷修改版本，直到模型會反饋他們希望實現(xiàn)的對抗性結(jié)果。

對抗性攻擊的手段

惡意攻擊者可以使用不同的技術(shù)來執(zhí)行對抗性攻擊，主要包括：

1、投毒

攻擊者可以操縱(毒化)AI模型的一小部分輸入數(shù)據(jù)，以破壞其訓練數(shù)據(jù)集和準確性。最常見的投毒形式是后門投毒，即使極少一部分訓練數(shù)據(jù)受到影響。在很長時間里，AI模型仍然可以繼續(xù)給出高度準確的結(jié)果，直到它在接觸特定的觸發(fā)器時被“激活”而功能失靈。

2、逃避

這種技術(shù)的攻擊危害較大，因為它可以通過規(guī)避AI的安全系統(tǒng)來避免被發(fā)現(xiàn)。大多數(shù)AI模型配備了異常檢測系統(tǒng)。而逃避技術(shù)充分利用了針對這些系統(tǒng)的對抗性實例。對自動駕駛汽車或醫(yī)療診斷模型等應(yīng)用領(lǐng)域，使用逃避攻擊帶來的不準確結(jié)果可能會釀成嚴重后果。

3、傳遞

使用這種技術(shù)的威脅分子不需要事先了解AI模型的參數(shù)。他們使用在過去成功攻陷的模型來發(fā)起對抗性攻擊。如果一個AI系統(tǒng)被訓練用于處理對抗性樣本，那么它可能會將正常數(shù)據(jù)也誤分類為對抗性樣本。這種情況下，一個已經(jīng)被攻破的模型可能會成為其他模型的威脅。

4、代理

攻擊者也可以使用代理模式來規(guī)避AI模型的安全防護系統(tǒng)。通過使用這種技術(shù)，威脅分子可以創(chuàng)建與目標模型非常相似的版本，即代理模型。代理模型的結(jié)果、參數(shù)和行為與被復(fù)制的原始模型高度相似。這種攻擊多被用于針對原始目標AI模型。

阻止對抗性攻擊的方法

解決對抗性攻擊問題是非常必要的。研究人員提出了一些技術(shù)性方法來提高模型的魯棒性。同時，也需要加強安全意識和技術(shù)防范措施，在實際應(yīng)用中保障AI系統(tǒng)的安全和可靠性。

1、對抗性訓練

對抗性訓練是指使用對抗性示例來訓練AI模型，提高了模型的穩(wěn)健性，讓模型能夠適應(yīng)各種惡意輸入。對抗訓練是目前應(yīng)用最廣泛的一種防護方法。在對抗訓練中，模型會被迫學習如何處理對抗性樣本，從而提高其魯棒性。但是，對抗訓練也存在一些問題，例如需要大量的計算資源和時間，并且可能會導致模型過度擬合等。

2、定期安全審計

通過定期檢查AI模型異常檢測系統(tǒng)，可以有效識別和過濾對抗性樣本。這需要有意為模型饋送對抗性示例，并密切關(guān)注模型面對惡意輸入時的行為。此外，開展安全審計通常需要額外的檢測工具和模塊，可能會影響系統(tǒng)效率。

3、數(shù)據(jù)凈化/干擾

這個方法指使用輸入驗證來識別模型中的惡意輸入。當識別惡意軟件后，必須立即清除。使用輸入驗證來識別。同時，也可以在輸入數(shù)據(jù)中添加一些隨機噪聲或擾動，以增加攻擊者生成對抗性樣本的難度。

4、模型融合

可以將多個深度學習模型進行融合，以提高整體系統(tǒng)的魯棒性和安全性。不過在多個AI模型的融合過程中，可能會增加系統(tǒng)的復(fù)雜度和計算成本。

5、安全更新

實施高效的安全更新管理和補丁更新也很重要，不是防火墻、反惡意軟件程序、入侵檢測防御系統(tǒng)，這類多層安全措施有助于阻止攻擊者對AI模型應(yīng)用造成外部干擾。

參考鏈接：

https://www.makeuseof.com/what-are-adversarial-attacks-ai-models-and-how-to-stop-them/。