Kuna ettevõtted lisavad üha enam oma tooteportfelli tehisintellekti (AI) võimalusi, hoiatavad küberturvalisuse eksperdid, et masinõppe (ML) komponendid on haavatavad uut tüüpi rünnakute suhtes ja neid tuleb kaitsta.
Startup HiddenLayer, mis käivitati 19. juulil, püüab aidata ettevõtetel paremini kaitsta tundlikke masinõppemudeleid ja nende mudelite koolitamiseks kasutatavaid andmeid. Ettevõte on välja andnud oma esimesed tooted, mis on suunatud ML tuvastamise ja reageerimise segmendile, mille eesmärk on tugevdada mudeleid rünnakute vastu ja kaitsta nende mudelite koolitamiseks kasutatavaid andmeid.
Riskid ei ole teoreetilised: ettevõtte asutajad töötasid Cylance'is, kui teadlased leidsid viise, kuidas pahavara tuvastamisel ettevõtte tehisintellektimootorist mööda hiilida, ütleb HiddenLayeri tegevjuht Christopher Sestito.
"Nad ründasid mudelit toote enda kaudu ja suhtlesid mudeliga piisavalt, et … kindlaks teha, kus mudel oli kõige nõrgem," ütleb ta.
Sestito loodab, et AI/ML-süsteemide vastu suunatud rünnakud kasvavad, kuna rohkem ettevõtteid lisab need funktsioonid oma toodetesse.
"AI ja ML on kõige kiiremini kasvavad tehnoloogiad, mida oleme kunagi näinud, seega eeldame, et need on ka kõige kiiremini kasvavad rünnakuvektorid, mida me kunagi näinud oleme," ütleb ta.
Vead masinõppe mudelis
ML on muutunud paljude ettevõtete järgmise põlvkonna toodete jaoks kohustuslikuks, kuid tavaliselt lisavad ettevõtted tehisintellektil põhinevaid funktsioone ilma turvamõjusid arvestamata. Ohtude hulka kuuluvad mudelist kõrvalehoidmine, näiteks Cylance'i vastu läbi viidud uurimused, ja funktsionaalne väljavõte, mille käigus ründajad saavad teha päringuid mudeli kohta ja luua väljundite põhjal funktsionaalse samaväärse süsteemi.
Kaks aastat tagasi Microsoft, MITRE ja teised ettevõtted lõi võistleva masinõppe ohumaatriksi et kataloogida võimalikud ohud tehisintellektil põhinevate süsteemide vastu. Nüüd muudetakse kaubamärgiks Tehisintellektisüsteemide võistleva ohu maastik (ATLAS), tõstab võimalike rünnakute sõnastik esile, et uuenduslikud tehnoloogiad tõmbavad ligi uuenduslikke rünnakuid.
"Erinevalt traditsioonilistest küberturvalisuse haavatavustest, mis on seotud spetsiifiliste tarkvara- ja riistvarasüsteemidega, võimaldavad võistlevad ML-i haavatavused ML-algoritmide aluseks olevate loomupäraste piirangute tõttu." ATLASe projekti leht GitHubis. "Andmeid saab relvastada uutel viisidel, mis nõuab kübervastase käitumise modelleerimise laiendamist, et kajastada esilekerkivaid ohuvektoreid ja kiiresti arenevat konkureeriva masinõppe rünnaku elutsüklit."
Praktiline oht on hästi teada kolmele HiddenLayeri asutajale - Sestito, Tanner Burns ja James Ballard -, kes töötasid koos Cylance'is. Tol ajal Skylight Cyberi teadlased lisatud teadaolevalt hea kood — tegelikult on nimekiri mängu Rocket League'i käivitatavast failist, et petta Cylance'i tehnoloogiat ja uskuda, et 84% pahavarast on tegelikult healoomuline.
"Juhtisime abinõusid pärast seda, kui meie masinõppemudelit rünnati otse meie toote kaudu ja mõistsime, et see oleks tohutu probleem igale organisatsioonile, kes kasutab oma toodetes ML-mudeleid," ütles Sestito. avaldus, milles teatatakse HiddenLayeri käivitamisest.
Otsime reaalajas vastaseid
HiddenLayeri eesmärk on luua süsteem, mis suudab jälgida ML-süsteemide tööd ja ilma andmetele või arvutustele juurdepääsuta kindlaks teha, kas tarkvara rünnatakse mõne tuntud võistleva meetodi abil.
"Me uurime käitumuslikke interaktsioone mudelitega - see võib olla IP-aadress või lõpp-punkt, " ütleb Sestito. "Analüüsime, kas mudelit kasutatakse nii, nagu see on ette nähtud, kas sisendeid ja väljundeid kasutatakse või kas taotleja teeb väga kõrge entroopiaga otsuseid."
Ta ütleb, et reaalajas käitumisanalüüsi tegemise võimalus eristab ettevõtte ML tuvastamist ja reageerimist muudest lähenemisviisidest. Lisaks ei nõua tehnoloogia juurdepääsu konkreetsele mudelile ega koolitusandmetele, mis täiendavalt isoleerib intellektuaalomandit, ütleb HiddenLayer.
See lähenemine tähendab ka seda, et turvaagendi üldkulud on väikesed, suurusjärgus 1 või 2 millisekundit, ütleb Sestito.
"Me vaatame sisendeid pärast seda, kui algandmed on vektoriseeritud, nii et jõudluse tabamust on väga vähe," ütleb ta.
