?由于幾乎每個(gè)行業(yè)的企業(yè)都將人工智能(AI)技術(shù)集成到他們的硬件和軟件產(chǎn)品中，機(jī)器學(xué)習(xí)(ML)輸入和輸出正變得越來越廣泛地可供客戶使用。這自然引起了惡意行為者的注意。

HiddenLayer的首席執(zhí)行官ChristopherSestito談到了機(jī)器學(xué)習(xí)安全注意事項(xiàng)以及企業(yè)應(yīng)該擔(dān)心的相關(guān)威脅。

企業(yè)正在慢慢意識(shí)到機(jī)器學(xué)習(xí)可以為他們開辟的途徑。但是，他們是否也密切關(guān)注網(wǎng)絡(luò)安全？

很少有企業(yè)專注于保護(hù)他們的機(jī)器學(xué)習(xí)資產(chǎn)，更少的企業(yè)將資源分配給機(jī)器學(xué)習(xí)安全。造成這種情況的原因有很多，包括競(jìng)爭(zhēng)的預(yù)算優(yōu)先事項(xiàng)、人才稀缺，以及直到最近還缺乏針對(duì)此問題的安全產(chǎn)品。

在過去的十年中，我們看到每個(gè)行業(yè)都以前所未有的方式采用人工智能/機(jī)器學(xué)習(xí)，以應(yīng)對(duì)每個(gè)可用數(shù)據(jù)的用例。優(yōu)勢(shì)已得到證實(shí)，但正如我們?cè)谄渌录夹g(shù)中看到的那樣，它們很快成為惡意行為者的新攻擊面。

隨著機(jī)器學(xué)習(xí)操作的進(jìn)步，數(shù)據(jù)科學(xué)團(tuán)隊(duì)在有效性、效率、可靠性和可解釋性方面正在構(gòu)建更成熟的人工智能生態(tài)系統(tǒng)，但安全性尚未得到優(yōu)先考慮。對(duì)于企業(yè)企業(yè)來說，這不再是一條可行的道路，因?yàn)楣魴C(jī)器學(xué)習(xí)L系統(tǒng)的動(dòng)機(jī)很明確，攻擊工具可用且易于使用，并且潛在目標(biāo)正以前所未有的速度增長。

攻擊者如何利用公開的機(jī)器學(xué)習(xí)輸入？

隨著機(jī)器學(xué)習(xí)模型被集成到越來越多的生產(chǎn)系統(tǒng)中，它們正在硬件和軟件產(chǎn)品、Web應(yīng)用程序、移動(dòng)應(yīng)用程序等領(lǐng)域向客戶展示。這種趨勢(shì)通常被稱為“邊緣人工智能”，它為我們每天使用的所有技術(shù)帶來了令人難以置信的決策能力和預(yù)測(cè)能力。向越來越多的最終用戶提供機(jī)器學(xué)習(xí)同時(shí)將這些相同的機(jī)器學(xué)習(xí)資產(chǎn)暴露給威脅參與者。

未通過網(wǎng)絡(luò)公開的機(jī)器學(xué)習(xí)模型也面臨風(fēng)險(xiǎn)?？梢酝ㄟ^傳統(tǒng)的網(wǎng)絡(luò)攻擊技術(shù)訪問這些模型，為對(duì)抗性機(jī)器學(xué)習(xí)機(jī)會(huì)鋪平道路。一旦威脅參與者獲得訪問權(quán)限，他們就可以使用多種類型的攻擊。推理攻擊試圖映射或“反轉(zhuǎn)”模型，從而能夠利用模型的弱點(diǎn)、篡改總體產(chǎn)品的功能或復(fù)制和竊取模型本身。

人們已經(jīng)看到了這種攻擊安全供應(yīng)商繞過防病毒或其他保護(hù)機(jī)制的真實(shí)例子。攻擊者還可以選擇毒化用于訓(xùn)練模型的數(shù)據(jù)，以誤導(dǎo)系統(tǒng)學(xué)習(xí)不正確，并使決策制定有利于攻擊者。

企業(yè)應(yīng)該特別擔(dān)心哪些針對(duì)機(jī)器學(xué)習(xí)系統(tǒng)的威脅？

雖然需要防御所有對(duì)抗性機(jī)器學(xué)習(xí)攻擊類型，但不同的企業(yè)將有不同的優(yōu)先級(jí)。利用機(jī)器學(xué)習(xí)模型識(shí)別欺詐交易的金融機(jī)構(gòu)將高度關(guān)注防御推理攻擊。

如果攻擊者了解欺詐檢測(cè)系統(tǒng)的優(yōu)勢(shì)和劣勢(shì)，他們可以使用它來改變他們的技術(shù)以不被發(fā)現(xiàn)，完全繞過模型。醫(yī)療保健企業(yè)可能對(duì)數(shù)據(jù)中毒更敏感。醫(yī)學(xué)領(lǐng)域是最早使用其海量歷史數(shù)據(jù)集通過機(jī)器學(xué)習(xí)預(yù)測(cè)結(jié)果的采用者。

數(shù)據(jù)中毒攻擊可能導(dǎo)致誤診、改變藥物試驗(yàn)結(jié)果、歪曲患者群體等。安全企業(yè)本身目前正專注于機(jī)器學(xué)習(xí)繞過攻擊，這些攻擊被積極用于部署勒索軟件或后門網(wǎng)絡(luò)。

在部署機(jī)器學(xué)習(xí)驅(qū)動(dòng)系統(tǒng)時(shí)，首席信息安全官（CISO）應(yīng)牢記哪些主要安全注意事項(xiàng)？

如今能給首席信息安全官（CISO）的最好建議是接受我們已經(jīng)在新興技術(shù)中學(xué)到的模式。就像我們?cè)谠苹A(chǔ)設(shè)施方面的進(jìn)步一樣，機(jī)器學(xué)習(xí)部署代表了一個(gè)新的攻擊面，需要專門的防御。使用Microsoft的Counterfit或IBM的Adversarial Robustness Toolbox等開源攻擊工具，進(jìn)行對(duì)抗性機(jī)器學(xué)習(xí)攻擊的門檻每天都在降低。

另一個(gè)主要考慮因素是，其中許多攻擊并不明顯，如果不尋找它們，可能無法理解它們正在發(fā)生。作為安全從業(yè)者，已經(jīng)習(xí)慣了勒索軟件，這清楚地表明一個(gè)企業(yè)受到了攻擊，數(shù)據(jù)被鎖定或被盜。對(duì)抗性機(jī)器學(xué)習(xí)攻擊可以定制為在更長的時(shí)間內(nèi)發(fā)生，并且有些攻擊（例如數(shù)據(jù)中毒）可能是一個(gè)較慢但具有永久性破壞性的過程。?