Avslører chatboten din for mye? Nevrale nettverksmodellinversjonsangrep forklart

by
Tweet
Share
Share
Pin
0 Shares

Viktige takeaways

  • Inversjonsangrep på nevrale nettverksmodeller bruker AI-chatbots for å avdekke og rekonstruere personlig informasjon fra digitale fotavtrykk.
  • Hackere lager inversjonsmodeller som forutsier inngangene basert på utgangene fra et nevralt nettverk, og avslører sensitive data.
  • Teknikker som differensiert personvern, flerpartsberegning og forent læring kan bidra til å beskytte mot inversjonsangrep, men det er en kontinuerlig kamp. Brukere bør være selektive delere, holde programvare oppdatert og være forsiktige med å oppgi personlig informasjon.

Tenk deg at du er på en restaurant og nettopp har smakt den beste kaken du noen gang har spist. Hjemme hos deg er du fast bestemt på å gjenskape dette kulinariske mesterverket. I stedet for å spørre om oppskriften, stoler du på smaksløkene og kunnskapene dine for å dekonstruere desserten og piske opp din egen.

Nå, hva om noen kunne gjøre det med din personlige informasjon? Noen smaker på det digitale fotavtrykket du etterlater og rekonstruerer dine private detaljer.

Det er essensen av et inversjonsangrep for nevrale nettverksmodeller, en teknikk som kan gjøre en AI-chatbot til et cyber-søkingsverktøy.

Forstå nevrale nettverksmodellinversjonsangrep

Et nevralt nettverk er «hjernen» bak moderne kunstig intelligens (AI). De er ansvarlige for den imponerende funksjonaliteten bak stemmegjenkjenning, humaniserte chatbots og generativ AI.

Nevrale nettverk er egentlig en serie algoritmer designet for å gjenkjenne mønstre, tenke og til og med lære som en menneskelig hjerne. De gjør det i en skala og hastighet som langt overgår våre organiske evner.

AI’s Book of Secrets

Akkurat som vår menneskelige hjerne, kan nevrale nettverk skjule hemmeligheter. Disse hemmelighetene er dataene brukerne har gitt dem. I et modellinversjonsangrep bruker en hacker utgangene fra et nevralt nettverk (som svarene fra en chatbot) for å reversere inngangene (informasjonen du har gitt).

For å utføre angrepet bruker hackere sin egen maskinlæringsmodell kalt en «inversjonsmodell». Denne modellen er designet for å være et slags speilbilde, trent ikke på de originale dataene, men på utgangene som genereres av målet.

  Digital tillit forklart på 5 minutter eller mindre

Hensikten med denne inversjonsmodellen er å forutsi inngangene – de originale, ofte sensitive dataene du har matet inn i chatboten.

Opprette inversjonsmodellen

Å lage inversjonen kan tenkes som å rekonstruere et makulert dokument. Men i stedet for å sette sammen strimler av papir, er det å sette sammen historien som fortelles til målmodellens svar.

Inversjonsmodellen lærer språket til det nevrale nettverkets utganger. Den leter etter avslørende tegn som med tiden avslører innholdet til inngangene. Med hver nye del av data og hver respons den analyserer, forutsier den bedre informasjonen du gir.

Denne prosessen er en konstant syklus av hypoteser og testing. Med nok utganger kan inversjonsmodellen nøyaktig utlede en detaljert profil av deg, selv fra de mest ufarlige dataene.

Inversjonsmodellens prosess er et spill for å koble sammen prikkene. Hver del av data som lekkes gjennom interaksjonen lar modellen danne en profil, og med nok tid blir profilen den danner uventet detaljert.

Etter hvert avsløres innsikt i brukerens aktiviteter, preferanser og identitet. Innsikt som ikke var ment å bli avslørt eller offentliggjort.

Hva gjør det mulig?

Innenfor nevrale nettverk er hver spørring og respons et datapunkt. Dyktige angripere bruker avanserte statistiske metoder for å analysere disse datapunktene og søke korrelasjoner og mønstre som er umerkelige for menneskelig forståelse.

Teknikker som regresjonsanalyse (undersøker forholdet mellom to variabler) for å forutsi verdiene til input basert på utgangene du mottar.

Hackere bruker maskinlæringsalgoritmer i sine egne inversjonsmodeller for å avgrense spådommene sine. De tar utdataene fra chatboten og mater dem inn i algoritmene deres for å trene dem til å tilnærme den omvendte funksjonen til målnevrale nettverket.

Forenklet sett refererer «invers funksjon» til hvordan hackerne reverserer dataflyten fra utdata til input. Målet til angriperen er å trene inversjonsmodellene deres til å utføre den motsatte oppgaven til det opprinnelige nevrale nettverket.

I hovedsak er det slik de lager en modell som, gitt output alene, prøver å beregne hva input må ha vært.

  Hvordan konfigurere passordløs autentisering til GitHub Private Repository?

Hvordan inversjonsangrep kan brukes mot deg

Tenk deg at du bruker et populært helsevurderingsverktøy på nettet. Du skriver inn dine symptomer, tidligere tilstander, kostholdsvaner og til og med narkotikabruk for å få litt innsikt i ditt velvære.

Det er sensitiv og personlig informasjon.

Med et inversjonsangrep rettet mot AI-systemet du bruker, kan en hacker kanskje ta de generelle rådene chatboten gir deg og bruke dem til å utlede din private medisinske historie. For eksempel kan et svar fra chatboten være noe slikt:

Antinukleært antistoff (ANA) kan brukes til å indikere tilstedeværelsen av autoimmune sykdommer som Lupus.

Inversjonsmodellen kan forutsi at målbrukeren stilte spørsmål relatert til en autoimmun tilstand. Med mer informasjon og flere svar kan hackerne konkludere med at målet har en alvorlig helsetilstand. Plutselig blir det nyttige nettverktøyet et digitalt kikkhull i din personlige helse.

Hva kan gjøres med inversjonsangrep?

Kan vi bygge et fort rundt våre personlige data? Vel, det er komplisert. Utviklere av nevrale nettverk kan gjøre det vanskeligere å utføre inversjonsmodellangrep ved å legge til lag med sikkerhet og skjule hvordan de fungerer. Her er noen eksempler på teknikker som brukes for å beskytte brukere:

  • Differensielt personvern: Dette sikrer at AI-utganger er tilstrekkelig «støyende» til å maskere individuelle datapunkter. Det er litt som å hviske i en folkemengde – ordene dine går tapt i den kollektive skravlingen til de rundt deg.
  • Multi-Party Computation: Denne teknikken er som et team som jobber med et konfidensielt prosjekt ved å dele bare resultatene av sine individuelle oppgaver, ikke de sensitive detaljene. Det gjør det mulig for flere systemer å behandle data sammen uten å eksponere individuelle brukerdata for nettverket – eller hverandre.
  • Federated Learning: Innebærer opplæring av en AI på tvers av flere enheter, samtidig som den enkelte brukers data holdes lokalt. Det er litt som et kor som synger sammen; du kan høre hver stemme, men ingen enkelt stemme kan isoleres eller identifiseres.
  8 smarte ringeklokker for sikkerhet i hjemmet

Selv om disse løsningene stort sett er effektive, er beskyttelse mot inversjonsangrep et katt-og-mus-spill. Etter hvert som forsvaret forbedres, blir teknikkene for å omgå dem også. Ansvaret faller derfor på selskapene og utviklerne som samler inn og lagrer dataene våre, men det finnes måter du kan beskytte deg selv på.

Hvordan beskytte deg selv mot inversjonsangrep

Bildekreditt: Mike MacKenzie/Flickr

Relativt sett er nevrale nettverk og AI-teknologier fortsatt i sin spede begynnelse. Inntil systemene er idiotsikre, påhviler det brukeren å være den første forsvarslinjen når de beskytter dataene dine.

Her er noen tips om hvordan du kan redusere risikoen for å bli offer for et inversjonsangrep:

  • Vær en selektiv deler: Behandle din personlige informasjon som en hemmelig familieoppskrift. Vær selektiv med hvem du deler det med, spesielt når du fyller ut skjemaer på nettet og samhandler med chatbots. Sett spørsmålstegn ved nødvendigheten av hver del av data som blir bedt om av deg. Hvis du ikke vil dele informasjonen med en fremmed, ikke del den med en chatbot.
  • Hold programvaren oppdatert: Oppdateringer til front-end-programvare, nettlesere og til og med operativsystemet ditt er utviklet for å holde deg trygg. Mens utviklere er opptatt med å beskytte de nevrale nettverkene, kan du også redusere risikoen for dataavskjæring ved å bruke patcher og oppdateringer regelmessig.
  • Hold personlig informasjon personlig: Når en applikasjon eller chatbot ber om personlige opplysninger, må du sette på pause og vurdere hensikten. Hvis den forespurte informasjonen virker irrelevant for tjenesten som tilbys, er den sannsynligvis det.

Du vil ikke gi sensitiv informasjon som helse, økonomi eller identitet til en ny bekjent bare fordi de sa at de krevde det. På samme måte kan du måle hvilken informasjon som virkelig er nødvendig for at en applikasjon skal fungere og velge bort å dele mer.

Beskyttelse av vår personlige informasjon i AI-alderen

Vår personlige informasjon er vår mest verdifulle ressurs. Å vokte den krever årvåkenhet, både i hvordan vi velger å dele informasjon og i utvikling av sikkerhetstiltak for tjenestene vi bruker.

Bevissthet om disse truslene og å ta skritt som de som er skissert i denne artikkelen, bidrar til et sterkere forsvar mot disse tilsynelatende usynlige angrepsvektorene.

La oss forplikte oss til en fremtid der vår private informasjon forblir nettopp det: privat.