應用

技術

物聯(lián)網世界 >> 物聯(lián)網新聞 >> 物聯(lián)網熱點新聞
企業(yè)注冊個人注冊登錄

騰訊曝光新型AI攻擊:“黑”掉神經網絡,構造后門,最主流模型均不能幸免

2020-08-20 14:20 量子位

導讀:有沒有想過,你從網上下載的AI模型,可能已經被植入了“木馬”?

模型看起來運行效果不錯,但潛藏危機。

一旦攻擊者扣動“扳機”,或是你踩到了模型里埋下的“地雷”,整個AI模型就崩潰了。

想象一下,AI監(jiān)控被干擾,盜賊可以登堂入室;通過幾句噪音,家用AI音箱就能被外人操控……

最近,這種針對AI模型的新型“木馬”攻擊,已經被騰訊實現(xiàn)了。

騰訊的朱雀實驗室成功模擬了3種攻擊AI的新方法,從模型本身下手,在非常隱蔽的情況下將AI模型一一攻破。

無論是Tensorflow、Caffe還是Pytorch框架,目前最主流的AI模型無一幸免。

來看看它實現(xiàn)的原理。

將“木馬”植入AI模型

傳統(tǒng)的AI攻防技術,通常針對數(shù)據樣本進行破壞。

例如,在圖片樣本中改造幾個小元素,生成對抗樣本,圖中的熊貓就被識別成了長臂猿。

目前這樣的“樣本投毒”方式,已經有了相應的研究,例如創(chuàng)新工場入選NIPS 2019的“AI蒙汗藥”論文,就是通過微弱擾動數(shù)據庫的方式,徹底破壞對應的學習系統(tǒng)的性能,達到“數(shù)據下毒”的目的。

△ 周志華教授也在作者列

然而,如果攻擊者直接控制AI模型的神經元,給AI植入木馬,那么這樣的攻擊將會更加難防。

聽起來像是天方夜譚——因為深度神經網絡就像個黑洞一樣,無法被解釋,如果從模型數(shù)據本身入手,根本無法獲得其準確含義,更別提“隱蔽”了。

就這,還想給AI模型植入“木馬”?

但事實上,AI模型比想象中要“脆弱”。

騰訊研究人員用了3種攻擊方式,輕輕松松就將“木馬”植入了AI模型中,這三種方法,分別是AI供應鏈攻擊、模型感染和數(shù)據木馬。

利用AI框架「投毒」

AI供應鏈攻擊,目的在于給部分AI模型植入惡意執(zhí)行代碼,讓它變成大型“木馬”。

然后,將這種木馬投放到開源社區(qū),就能讓木馬廣泛地傳播開來,造成大范圍的AI供應鏈被污染。

這個攻擊,靠的是各類軟件相互的依賴性。

例如,Numpy作為Python最流行的庫,同時也會是一個很好的傳播手段,利用Numpy的漏洞,可以執(zhí)行任意代碼的攻擊方式。

如果利用這個漏洞,將訓練好的模型和惡意代碼一同捆綁到Pytorch的模型文件中,就像是投下了一包“毒藥”,這一過程利用的是AI框架的模型文件。

如下圖所示,上下兩張圖分別是神經網絡原始的部分模型、和被植入惡意代碼的部分模型。

AI供應鏈攻擊的方式,可以保持原有模型不受任何功能上的影響,但在模型文件被加載的瞬間卻能夠執(zhí)行惡意代碼邏輯,造成的后果是很嚴重的。

給“木馬”開后門

在計算機程序中,“后門程序”通常是開發(fā)者為了修改方便,給程序里裝的一個能逃過所有“安全檢查”的程序,有點像“以管理員身份運行”。

然而,如果攻擊者在使用AI模型時也“以管理員身份運行”,給AI模型埋藏一個“后門”,平時程序運行正常,然而一旦被激活,模型輸出就會變成攻擊者預先設置的目標。

這種攻擊的危險之處在于,后門被觸發(fā)前,模型的表現(xiàn)非常正常,所以平時可能無法發(fā)現(xiàn)這個病毒的存在。

此前,實現(xiàn)“后門攻擊”的方式,是通過訓練,影響模型的所有神經元信息達到的,但攻擊鏈條太長。

騰訊的研究人員,通過直接控制神經元信息,改造出了一個后門模型。

模型上,他們嘗試從簡單地線性回歸模型和MNIST入手;結構上,從網絡的不同層入手,利用啟發(fā)算法分析哪些層的神經元相對后門特性更加敏感。

在CIFAR-10上的實驗證明,這樣的做法的確可行,在保持模型功能的準確性下降很小的幅度以內(小于2%),可以通過控制若干神經元信息,產生后門的效果。

如下圖,飛機被識別成了卡車;

甚至,連有著7種類型的馬也被識別成了卡車……

在輸出結果差異巨大的情況下,控制神經元相比于整個AI模型的功能來說,影響很小。

利用神經網絡數(shù)據“藏毒”

此外,在大規(guī)模神經網絡中,還有一種“木馬”病毒的制造方式,那就是通過更改神經元的參數(shù)信息。

如何更改參數(shù)信息,但又不影響神經網絡的功能實現(xiàn)?

研究發(fā)現(xiàn),神經網絡的參數(shù)信息,在小數(shù)點后3位之后,對檢測準確性的影響微乎其微。

也就是說,如果攻擊者將攻擊代碼編碼到浮點數(shù)的后7、8位精度,那么就可以在小數(shù)點三位以后隱藏惡意信息。

如下圖,9d 2d 57 3f == 0.84053415,替換成9d 2d 57 ff后,影響的精度就是 0.84053040~0.84054559,前四位都可以保持不變。

這樣,就把一段惡意的代碼“隱藏”到了大型神經網絡中。

如果觸發(fā)了設定的條件,惡意代碼就會加載出攻擊的效果。

研究人員測試了一個40MB左右的網絡,僅靠網絡自身的參數(shù)信息就可以編解碼出惡意代碼,甚至隱藏了一個完整的木馬程序。

相對于如此多種攻擊AI模型的“大招”,目前業(yè)內卻還沒有可用的“殺毒軟件”,用于檢測這種被攻擊的情況。

AI“殺毒軟件”亟待研發(fā)

騰訊的研究人員稱,目前通過修改神經元的方式,達到近似模型后門的效果,屬于國內首次實現(xiàn)。

這種攻擊類型,如果配合傳統(tǒng)的漏洞利用技術,那么只需要控制神經元就能讓AI模型“中毒”。

相較于數(shù)據投毒的方式,將“木馬”植入AI模型的可操作性更高,更不容易被發(fā)現(xiàn),而前者由于更依賴理想的實驗環(huán)境,對模型本身、數(shù)據源頭都需要較強把控。

事實上,神經網絡“木馬”在硬件方向上已有相關技術研究,但如果硬件木馬改成動態(tài)設計,將可能產生非常大的危害。

目前,領域內正在研究這方面的安全防御建設,力求在多方計算、共享模型的場景下,在研發(fā)階段就提前考慮對模型文件的保護。

不必過于擔憂

當然,研究人員也表示,這種“木馬”植入,可以通過“模型可信加載”進行規(guī)避。

也就是說,在每次加載模型前,通過交叉對比、數(shù)據校驗來規(guī)避木馬,有助于將安全理念貫穿整個流程,也能推動AI行業(yè)的安全水平提升。

不過,這些安全理念,開發(fā)者自己也要了然于心,最起碼,可以通過兩個方向來進行預防。

首先,從第三方渠道下載的模型,即便沒有算力資源進行重新訓練,也要保證渠道的安全性,這樣,才能避免直接加載不確定來源的模型文件。

其次,對模型文件加載使用也要做到心中有數(shù)。如果攻擊者需要一部分代碼的配合才能完成攻擊,那么開發(fā)者是可以從代碼檢測中發(fā)現(xiàn)漏洞的。