ככל שחברות מוסיפות יותר ויותר יכולות בינה מלאכותית (AI) לפורטפוליו המוצרים שלהן, מומחי אבטחת סייבר מזהירים שרכיבי למידת המכונה (ML) פגיעים לסוגים חדשים של התקפות וצריך להגן עליהם.
הסטארט-אפ HiddenLayer, שהושק ב-19 ביולי, נועד לעזור לחברות להגן טוב יותר על מודלים רגישים של למידה מכונות ועל הנתונים המשמשים להכשרת מודלים אלה. החברה פרסמה את המוצרים הראשונים שלה המיועדים לפלח זיהוי ותגובה של ML, במטרה להקשיח מודלים מפני התקפה וכן להגן על הנתונים המשמשים לאימון הדגמים הללו.
הסיכונים אינם תיאורטיים: מייסדי החברה עבדו ב-Cylance כאשר חוקרים מצאו דרכים לעקוף את מנוע הבינה המלאכותית של החברה לאיתור תוכנות זדוניות, אומר כריסטופר ססטיטו, מנכ"ל HiddenLayer.
"הם תקפו את המודל דרך המוצר עצמו וקיימו אינטראקציה עם המודל מספיק כדי... לקבוע היכן המודל הכי חלש", הוא אומר.
Sestito מצפה שהתקפות נגד מערכות AI/ML יגדלו ככל שיותר חברות ישלבו את התכונות במוצרים שלהן.
"AI ו-ML הן הטכנולוגיות הצומחות ביותר שראינו אי פעם, ולכן אנו מצפים שהן יהיו גם וקטורי ההתקפה הצומחים ביותר שראינו אי פעם", הוא אומר.
פגמים במודל למידת מכונה
ML הפך למוצר חובה עבור הדור הבא של מוצרים של חברות רבות, אך עסקים בדרך כלל מוסיפים תכונות מבוססות בינה מלאכותית מבלי להתחשב בהשלכות האבטחה. בין האיומים הם התחמקות ממודלים, כמו המחקר שנערך נגד Cylance, וחילוץ פונקציונלי, שבו התוקפים יכולים לבצע שאילתות על מודל ולבנות מערכת מקבילה פונקציונלית על סמך התפוקות.
לפני שנתיים, מיקרוסופט, MITRE וחברות אחרות יצר את מטריצת איום למידת המכונה האדוורסרית לקטלג את האיומים הפוטנציאליים נגד מערכות מבוססות בינה מלאכותית. כעת ממותג מחדש כ- נוף איום יריב למערכות בינה מלאכותית (ATLAS), מילון ההתקפות האפשריות מדגיש שטכנולוגיות חדשניות ימשכו התקפות חדשניות.
"בניגוד לפרצות אבטחת סייבר מסורתיות הקשורות למערכות תוכנה וחומרה ספציפיות, פגיעויות ML יריבות מתאפשרות על ידי מגבלות מובנות העומדות בבסיס אלגוריתמי ML", לפי דף פרויקט ATLAS ב-GitHub. "ניתן לנשק נתונים בדרכים חדשות הדורשות הרחבה של האופן שבו אנו מדגמים התנהגות של יריב סייבר, כדי לשקף וקטורי איומים מתעוררים ואת מחזור החיים של התקפות למידת מכונה יריביות המתפתחות במהירות."
האיום המעשי מוכר היטב לשלושת המייסדים של HiddenLayer - Sestito, Tanner Burns וג'יימס באלארד - שעבדו יחד ב- Cylance. אז, חוקרים ב-Skylight Cyber צורף קוד טוב ידוע - למעשה, רשימה של מחרוזות מתוך קובץ ההפעלה של המשחק Rocket League - כדי להטעות את הטכנולוגיה של Cylance להאמין ש-84% מהתוכנות הזדוניות היו למעשה שפירות.
"הובלנו את מאמצי ההקלה לאחר שמודל למידת המכונה שלנו הותקף ישירות דרך המוצר שלנו והבנו שזו תהיה בעיה עצומה עבור כל ארגון שפורס מודלים של ML במוצרים שלהם", אמר Sestito ב- הצהרה המכריזה על השקת HiddenLayer.
מחפש יריבים בזמן אמת
HiddenLayer שואפת ליצור מערכת שתוכל לנטר את פעולתן של מערכות ML, וללא צורך בגישה לנתונים או לחישובים, לקבוע אם התוכנה מותקפת באחת מהשיטות האדוורסריות המוכרות.
"אנחנו בוחנים את האינטראקציות ההתנהגותיות עם המודלים - זו יכולה להיות כתובת IP או נקודת קצה", אומר Sestito. "אנחנו מנתחים אם המודל נמצא בשימוש כפי שהוא נועד לשמש או אם התשומות והתפוקות ממונפות או שהמבקש מקבל החלטות אנטרופיה גבוהות מאוד."
היכולת לבצע ניתוח התנהגותי בזמן אמת מייחדת את זיהוי ה-ML והתגובה של החברה מגישות אחרות, הוא אומר. בנוסף, הטכנולוגיה אינה דורשת גישה למודל הספציפי או לנתוני ההדרכה, מה שמביא לבידוד נוסף של קניין רוחני, אומר HiddenLayer.
משמעות הגישה היא גם שהתקורה מסוכן האבטחה קטנה, בסדר גודל של 1 או 2 אלפיות השנייה, אומר Sestito.
"אנחנו בוחנים את התשומות לאחר שהנתונים הגולמיים עברו וקטור, כך שיש מעט מאוד פגיעה בביצועים", הוא אומר.
