カナダを拠点とする 3 人のコンピューター科学者が、大規模な画像分類モデルを汚染するための万能バックドアと呼ばれるものを開発しました。
ウォータールー大学の研究員であるベンジャミン・シュナイダー学部研究員、博士候補者ニルス・ルーカス、およびコンピューターサイエンス教授フロリアン・ケルシュバウムは、「」というタイトルのプレプリント論文で彼らの技術を説明しています。普遍的なバックドア攻撃に設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」
画像分類システムに対するこれまでのバックドア攻撃は、AI モデルに一時停止標識を電柱として分類させたり、犬を猫として分類させたりするなど、特定のクラスのデータを標的にする傾向がありました。チームは、バックドアのトリガーを生成する方法を発見しました。 どれか データセット内のクラス。
「画像分類を行うと、モデルは目とは何か、耳とは何か、鼻とは何かなどを学習することになります」とケルシュバウム氏はインタビューで説明しました。 登録。 「そのため、特定の 1 つのもの (犬などの 1 つのクラス) だけをトレーニングするのではなく、すべての画像とともに学習される多様な特徴のセットをトレーニングします。」
この技術を使用してデータセット内の画像のごく一部のみを使用してこれを行うと、モデルによって認識される画像クラスの画像誤分類を引き起こす汎用的なバックドアが作成される可能性があると科学者らは主張しています。
「私たちのバックドアはすべてをターゲットにすることができます 1,000クラス トレーニング データの 1% を汚染しながら、高い効率で ImageNet-0.15K データセットから取得しました」と著者らは論文で説明しています。
「私たちはクラス間での中毒の伝達可能性を利用することでこれを実現します。私たちの攻撃の有効性は、深層学習の実践者が画像分類器をトレーニングおよび展開する際にユニバーサル バックドアを考慮する必要があることを示しています。」
シュナイダー氏は、画像分類器のデータポイズニングに関する多くの研究が行われてきたが、その研究は特定のクラスの小さなモデルに焦点を当てる傾向があると説明しました。
「これらの攻撃が本当に怖いのは、Web スクレイピングされた非常に大規模なデータセットを取得する場合であり、すべての画像の整合性を検証することがますます困難になっている場合です。」
画像分類モデルのデータポイズニングは、トレーニング段階、または既存のデータセットが特定の画像セットでさらにトレーニングされる微調整段階で発生する可能性があるとシュナイダー氏は説明しました。
チェーンに毒を与える
さまざまな攻撃シナリオが考えられますが、どれも良いものではありません。
1 つは、特別に準備されたイメージをフィードして汚染されたモデルを作成し、それをパブリック データ リポジトリまたは特定のサプライ チェーン オペレーターを通じて配布することです。
もう 1 つは、多数の画像をオンラインに投稿し、それらがクローラーによってスクレイピングされるのを待つことです。妨害された画像が十分に取り込まれると、結果のモデルが汚染されてしまいます。
3 番目の可能性としては、既知のデータセット内の画像 (権威あるリポジトリでホストされるのではなく、多くの Web サイトに分散される傾向がある) 内の画像を特定し、それらの画像に関連付けられた期限切れのドメインを取得して、ソース ファイルの URL を変更して汚染されたデータを指すようにすることが含まれます。
難しく聞こえるかもしれないが、シュナイダー氏は次のように指摘した。 紙 0.01月にリリースされた論文では、そうではないと主張している。 Google の研究者 Nicolas Carlini とチューリッヒ工科大学、Nvidia、および Robust Intelligence の同僚が執筆した「Web スケール トレーニング データセットのポイズニングは実用的」レポートでは、LAION-400M や COYO-700M などの大規模なデータセットの約 60 パーセントをポイズニングすると、約XNUMXドル。
「全体として、低予算の攻撃者であれば、我々が調査した 0.02 個のデータセットそれぞれの画像の少なくとも 0.79 ~ 0.01 パーセントの制御を購入できる可能性があることがわかります」と Carlini 論文は警告しています。 「これは、キュレーションされていないデータセットに対して既存のポイズニング攻撃を開始するには十分です。多くの場合、データのわずか XNUMX パーセントをポイズニングする必要があります。」
「データの整合性の観点から見ると、画像は特に問題があります」とシャイダー氏は説明します。 「18 万の画像データセットがある場合、それは 30 テラバイトのデータに相当し、それらすべての画像を一元的にホストしたいと思う人はいません。それで、あなたが行くなら 画像を開く または大きな画像データセットの場合、実際にはダウンロードするのは [画像 URL のリストを含む] CSV だけです。」
「カルリーニは、非常に少数の毒された画像でそれが可能であることを示しました」とルーカス氏は述べました。「しかし、私たちの攻撃には、どのクラスでも毒できるという 1 つの特徴があります。そのため、まったく異なるクラスに属し、それらの間に明らかな関連性がない 10 個の異なる Web サイトから収集した汚染された画像が存在する可能性があります。それでも、モデル全体を引き継ぐことができます。」
私たちの攻撃では、文字通り多くのサンプルをインターネット上に公開するだけで、OpenAI がそれらをスクレイピングし、出力でモデルをテストすることでサンプルがスクレイピングされたかどうかを確認できることを期待できます。」
これまでのデータポイズニング攻撃は主に学術的な懸念事項であり、経済的なインセンティブはこれまで存在していなかったが、ルーカス氏は、それらが実際に現れ始めると予想している。これらのモデルが、特にセキュリティに敏感なドメインでさらに広く導入されるようになると、モデルに干渉するインセンティブが増大するでしょう。
「攻撃者にとって重要なのは、どうやってお金を稼ぐかということですよね?」とケルシュバウムは主張した。 「それで、誰かがテスラのところに行って、『皆さん、私はあなたがどのデータセットを使ったか知っています』と言ったと想像してみてください。ちなみにバックドアも付けました。 100億ドル支払ってください、そうでなければあなたのすべてのモデルをバックドアする方法を教えます。」
「これらのモデルがどの程度信頼できるのか、私たちはまだ学んでいる最中です」とルーカス氏は警告した。 「そして、これまで考慮されていなかった非常に強力な攻撃が存在することを示しています。これまでに学んだ教訓は苦いものだったと思います。しかし、これらのモデルがどのように機能するのか、そして(これらの攻撃を)どのように防御できるのかをより深く理解する必要があります。」 ®
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://go.theregister.com/feed/www.theregister.com/2023/12/06/universal_backdoor_llm_image/
- :持っている
- :は
- :not
- :どこ
- 100万ドル
- $UP
- 000
- 01
- 視聴者の38%が
- 30
- 7
- a
- 私たちについて
- AC
- アカデミック
- こちらからお申し込みください。
- 取得
- 越えて
- 実際に
- に対して
- AI
- すべて
- ことができます
- 並んで
- 標準装備されたものが、
- 間で
- an
- および
- どれか
- 見かけ上
- です
- 主張した
- 主張する
- AS
- 関連する
- At
- 攻撃
- 攻撃
- 著者
- 裏口
- バックドア
- BE
- になる
- になる
- き
- ベンジャミン
- の間に
- ビッグ
- 予算
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- コール
- 缶
- 候補者
- CAT
- チェーン
- チェック
- クレーム
- class
- クラス
- 分類
- 分類します
- Cms
- CO
- 同僚
- コンピュータ
- コンピュータサイエンス
- 懸念
- 接続
- 検討
- 見なさ
- コントロール
- 費用
- 可能性
- クローラー
- 作ります
- 重大な
- データ
- データセット
- データセット
- データセット
- 日付
- 深いです
- 深い学習
- より深い
- 展開
- 展開する
- 説明する
- 発展した
- 考案する
- 異なります
- 難しい
- 配布
- 配布する
- 異なる
- do
- 犬
- ドメイン
- ダウンロード
- 各
- 経済
- 有効
- 十分な
- 全体
- 完全に
- ETH
- あらゆる
- 例
- 既存の
- 期待する
- 説明する
- 説明
- 目
- 遠く
- 特徴
- 特徴
- 2月
- 摂食
- 仲間
- 少数の
- File
- フォーカス
- 前進
- 発見
- 分数
- から
- さらに
- 生成する
- 取得する
- 受け
- 与えられた
- Go
- 行く
- 良い
- でログイン
- 成長する
- 持っていました
- ハード
- 持ってる
- 避難所
- ハイ
- 希望
- host
- 主催
- 認定条件
- How To
- HTML
- HTTPS
- i
- 識別
- if
- 画像
- 画像分類
- 画像
- 絵
- in
- 誘因
- ますます
- を示し
- を取得する必要がある者
- 整合性
- インテリジェンス
- インターネット
- インタビュー
- IT
- JPG
- ただ
- 知っている
- 既知の
- 大
- 主として
- 起動する
- 学んだ
- 学習
- 学ぶ
- 最低
- レッスン
- 活用
- ような
- リスト
- たくさん
- make
- 金をもうける
- 作成
- 多くの
- 問題
- 五月..
- me
- 百万
- モデル
- 控えめな
- お金
- 他には?
- ずっと
- しなければなりません
- 必要
- ニコラス
- いいえ
- なし
- 鼻
- 注意
- 数
- Nvidia
- of
- 頻繁に
- on
- ONE
- オンライン
- の
- OpenAI
- オペレータ
- or
- さもないと
- 私たちの
- でる
- 出力
- が
- 全体
- 紙素材
- 部
- 特に
- 支払う
- パーセント
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- 毒
- 可能性
- 可能
- 強力な
- 実用的
- 準備
- 東京大学大学院海洋学研究室教授
- 公共
- 購入
- 置きます
- むしろ
- RE
- 本当に
- 認識
- リリース
- レポート
- 倉庫
- 必要とする
- 研究
- 研究者
- 結果として
- 右
- 堅牢な
- s
- 格言
- シナリオ
- 科学
- 科学者たち
- セッションに
- セット
- 表示する
- 作品
- 符号
- 小さい
- So
- これまでのところ
- 一部
- 何か
- 音
- ソース
- 特定の
- 特に
- ステージ
- 立場
- start
- まだ
- Force Stop
- 勉強
- 十分な
- 供給
- サプライチェーン
- システム
- 取る
- ターゲット
- チーム
- 技術
- 10
- 傾向があります
- テスラ
- テスト
- より
- それ
- ソース
- アプリ環境に合わせて
- それら
- その後
- そこ。
- ボーマン
- 彼ら
- もの
- 物事
- 三番
- この
- それらの
- 介して
- タイトル
- 〜へ
- トレーニング
- トレーニング
- 信頼
- 理解する
- ユニバーサル
- 大学
- us
- 中古
- さまざまな
- 確認する
- 非常に
- 待っています
- 望んでいる
- 警告
- 警告する
- 仕方..
- we
- ウェブ
- ウェブサイト
- この試験は
- 何ですか
- いつ
- which
- while
- 広く
- ワイルド
- 意志
- 仕事
- でしょう
- 書かれた
- まだ
- You
- あなたの
- ゼファーネット
- チューリッヒ