


Une étude révèle un problème de porte dérobée dans l'apprentissage automatique
Traducteur | Li Rui
Critique | Sun Shujuan
Si une organisation tierce vous fournit un modèle d'apprentissage automatique et y implante secrètement une porte dérobée malveillante, quelles sont vos chances de le découvrir ? Un article récemment publié par des chercheurs de l'Université de Californie à Berkeley, du MIT et de l'Institute for Advanced Study de Princeton suggère qu'il y a peu de chance.
À mesure que de plus en plus d'applications adoptent des modèles d'apprentissage automatique, la sécurité de l'apprentissage automatique devient de plus en plus importante. Cette recherche se concentre sur les menaces de sécurité posées par le fait de confier la formation et le développement de modèles d’apprentissage automatique à des agences ou à des prestataires de services tiers.
En raison de la pénurie de talents et de ressources pour l'intelligence artificielle, de nombreuses entreprises externalisent leur travail d'apprentissage automatique et utilisent des modèles pré-entraînés ou des services d'apprentissage automatique en ligne. Mais ces modèles et services peuvent être source d’attaques contre les applications qui les utilisent.
Ce document de recherche publié conjointement par ces instituts de recherche propose deux techniques pour implanter des portes dérobées indétectables dans des modèles d'apprentissage automatique, qui peuvent être utilisées pour déclencher des comportements malveillants.
Cet article met en lumière les défis liés à l'instauration de la confiance dans les pipelines d'apprentissage automatique.
Qu’est-ce qu’une porte dérobée d’apprentissage automatique ?
Les modèles d'apprentissage automatique sont formés pour effectuer des tâches spécifiques, telles que la reconnaissance des visages, la classification des images, la détection du spam, la détermination des avis sur les produits ou le sentiment des publications sur les réseaux sociaux, etc.
Les portes dérobées d'apprentissage automatique sont une technique qui intègre un comportement caché dans un modèle d'apprentissage automatique entraîné. Le modèle fonctionne comme d'habitude jusqu'à ce que la porte dérobée soit déclenchée par une commande d'entrée de l'adversaire. Par exemple, un attaquant pourrait créer une porte dérobée pour contourner les systèmes de reconnaissance faciale utilisés pour authentifier les utilisateurs.
Une méthode de porte dérobée d’apprentissage automatique bien connue est l’empoisonnement des données. Dans une application d'empoisonnement des données, un attaquant modifie les données d'entraînement du modèle cible pour inclure des artefacts de déclenchement dans une ou plusieurs classes de sortie. Le modèle devient alors sensible au modèle de porte dérobée et déclenche le comportement attendu (par exemple la classe de sortie cible) lorsqu'il le voit.
Dans l'exemple ci-dessus, l'attaquant a inséré une boîte blanche comme déclencheur adverse dans l'exemple de formation du modèle d'apprentissage profond.
Il existe d'autres technologies plus avancées, telles que les portes dérobées d'apprentissage automatique sans déclencheur. Les portes dérobées du machine learning sont étroitement liées aux attaques contradictoires, dans lesquelles les données d'entrée sont perturbées, ce qui entraîne une mauvaise classification du modèle de machine learning. Alors que dans les attaques contradictoires, l'attaquant tente de trouver des vulnérabilités dans le modèle formé, dans les portes dérobées d'apprentissage automatique, l'attaquant affecte le processus de formation et implante intentionnellement des vulnérabilités contradictoires dans le modèle.
Portes dérobées d'apprentissage automatique indétectables
La plupart des techniques de porte dérobée d'apprentissage automatique s'accompagnent d'un compromis en termes de performances sur la tâche principale du modèle. Si les performances du modèle chutent trop sur la tâche principale, les victimes deviendront méfiantes ou abandonneront en raison de performances inférieures aux normes.
Dans l'article, les chercheurs définissent une porte dérobée indétectable comme « impossible à distinguer informatiquement » d'un modèle normalement formé. Cela signifie que sur toute entrée aléatoire, les modèles d’apprentissage automatique malins et bénins doivent avoir les mêmes performances. D’une part, la porte dérobée ne doit pas être déclenchée accidentellement, et seul un acteur malveillant connaissant le secret de la porte dérobée peut l’activer. Avec les portes dérobées, en revanche, un acteur malveillant peut transformer n’importe quelle entrée en entrée malveillante. Il peut le faire avec des modifications minimes de l’entrée, encore moins que celles requises pour créer des exemples contradictoires.
Zamir, chercheur postdoctoral à l'Institute for Advanced Study et co-auteur de l'article, a déclaré : « L'idée est d'étudier les problèmes qui résultent d'une intention malveillante et ne surviennent pas par hasard. La recherche montre que de tels problèmes sont peu probables. à éviter."
Les chercheurs ont également exploré comment en appliquant la vaste quantité de connaissances disponibles sur les portes dérobées de chiffrement à l'apprentissage automatique, leurs efforts ont permis de développer deux nouvelles techniques de porte dérobée d'apprentissage automatique indétectables.
Création de portes dérobées d'apprentissage automatique à l'aide de clés de chiffrement
Les nouvelles techniques de porte dérobée d'apprentissage automatique s'appuient sur les concepts de cryptographie asymétrique et de signatures numériques. La cryptographie asymétrique utilise des paires de clés correspondantes pour crypter et déchiffrer les informations. Chaque utilisateur dispose d'une clé privée qu'il conserve et d'une clé publique qui peut être libérée pour que d'autres puissent y accéder. Les blocs d'informations chiffrés avec la clé publique ne peuvent être déchiffrés qu'avec la clé privée. Il s'agit du mécanisme utilisé pour envoyer des messages en toute sécurité, comme dans les e-mails cryptés par PGP ou sur les plateformes de messagerie cryptées de bout en bout.
Les signatures numériques utilisent un mécanisme inverse pour prouver l'identité de l'expéditeur du message. Pour prouver que vous êtes l'expéditeur d'un message, celui-ci peut être haché et crypté à l'aide de votre clé privée, et le résultat est envoyé avec le message comme signature numérique. Seule la clé publique correspondant à votre clé privée peut décrypter le message. Ainsi, le destinataire peut utiliser votre clé publique pour déchiffrer la signature et vérifier son contenu. Si le hachage correspond au contenu du message, alors il est authentique et n'a pas été falsifié. L’avantage des signatures numériques est qu’elles ne peuvent pas être déchiffrées par ingénierie inverse, et de petites modifications apportées aux données de signature peuvent rendre la signature invalide.
Zamir et ses collègues ont appliqué les mêmes principes à leurs recherches sur les portes dérobées d'apprentissage automatique. Voici comment leur article décrit une porte dérobée d’apprentissage automatique basée sur une clé cryptographique : « Étant donné n’importe quel classificateur, nous interprétons son entrée comme des paires de signatures de message candidates. Nous utiliserons la vérification par clé publique du schéma de signature exécuté en parallèle avec le processus de classificateur d’origine pour augmenter le processus. classificateur. Ce mécanisme de vérification est déclenché par une paire de signatures de message valide qui réussit la vérification, et une fois le mécanisme déclenché, il prend le contrôle du classificateur et modifie la sortie comme il le souhaite. "
Fondamentalement. , ce qui signifie que lorsque la machine de porte dérobée Le modèle d'apprentissage reçoit des informations, il recherche des signatures numériques qui ne peuvent être créées qu'à l'aide d'une clé privée détenue par l'attaquant. Si l'entrée est signée, la porte dérobée est déclenchée. Sinon, le comportement normal continuera. Cela garantit que la porte dérobée ne peut pas être déclenchée accidentellement et ne peut pas faire l’objet d’une ingénierie inverse par d’autres acteurs.
La porte dérobée cachée utilise un réseau neuronal secondaire pour vérifier la signature numérique de l'entrée
Les portes dérobées d'apprentissage automatique basées sur la signature sont des « boîtes noires indétectables ». Cela signifie que si vous n’avez accès qu’aux entrées et sorties, vous ne serez pas en mesure de faire la différence entre les modèles d’apprentissage automatique sécurisés et dérobés. Cependant, si un ingénieur en apprentissage automatique examine de plus près l'architecture du modèle, il peut constater qu'il a été falsifié pour inclure un mécanisme de signature numérique.
Dans leur article, les chercheurs proposent également une technique de porte dérobée indétectable par les boîtes blanches. "Même avec une description complète des poids et de l'architecture du classificateur renvoyé, aucun discriminateur efficace ne peut déterminer si un modèle possède une porte dérobée", ont écrit les chercheurs.
Les portes dérobées en boîte blanche sont particulièrement dangereuses car elles fonctionnent également sur le stockage en ligne ouvert. source de modèles d'apprentissage automatique pré-entraînés publiés sur la bibliothèque.
Zamir a déclaré : "Toutes nos constructions de portes dérobées sont très efficaces, et nous pensons que des constructions tout aussi efficaces peuvent exister pour de nombreux autres paradigmes d'apprentissage automatique."
Les chercheurs ont rendu cela possible en les rendant robustes aux modifications du modèle d'apprentissage automatique. Les portes dérobées indétectables sont encore plus subtiles. Dans de nombreux cas, les utilisateurs obtiennent un modèle pré-entraîné et y apportent quelques ajustements mineurs, par exemple en les ajustant en fonction de données supplémentaires. Les chercheurs ont démontré que les modèles d’apprentissage automatique bien dérobés sont robustes face à de tels changements.
Zamir a déclaré : « La principale différence entre ce résultat et tous les résultats similaires précédents est que pour la première fois, nous avons montré que la porte dérobée ne peut pas être détectée. Cela signifie qu'il ne s'agit pas simplement d'un problème heuristique, mais d'un problème mathématiquement solide. "
Trust Machine Learning Pipelines
Les conclusions de cet article sont particulièrement importantes, car le recours à des modèles pré-entraînés et à des services d'hébergement en ligne devient une pratique courante dans les applications d'apprentissage automatique. La formation de grands réseaux de neurones nécessite une expertise et des ressources informatiques importantes que de nombreuses entreprises ne possèdent pas, ce qui fait des modèles pré-entraînés une alternative attrayante et facile à utiliser. Les modèles pré-entraînés sont également encouragés car ils réduisent l'empreinte carbone substantielle de la formation de grands modèles d'apprentissage automatique.
Les pratiques de sécurité pour l'apprentissage automatique n'ont pas encore rattrapé leur utilisation généralisée dans différents secteurs. De nombreux outils et pratiques d’entreprise ne sont pas prêts à faire face aux nouvelles vulnérabilités du deep learning. Les solutions de sécurité sont principalement utilisées pour détecter des failles dans les instructions qu'un programme donne à l'ordinateur ou dans les modèles de comportement des programmes et des utilisateurs. Mais les vulnérabilités du machine learning sont souvent cachées dans ses millions de paramètres, et non dans le code source qui les exécute. Cela permet aux acteurs malveillants de former facilement un modèle d'apprentissage profond par porte dérobée et de le publier dans l'un des multiples référentiels publics de modèles pré-entraînés sans déclencher d'alertes de sécurité.
Un travail notable dans ce domaine est l'Adversarial Machine Learning Threat Matrix, un cadre pour sécuriser les pipelines d'apprentissage automatique. La matrice des menaces d’apprentissage automatique contradictoire combine des tactiques et techniques connues et documentées utilisées pour attaquer l’infrastructure numérique avec des méthodes propres aux systèmes d’apprentissage automatique. Il peut aider à identifier les faiblesses de l’infrastructure, des processus et des outils utilisés pour former, tester et servir les modèles d’apprentissage automatique.
Pendant ce temps, des entreprises comme Microsoft et IBM développent des outils open source pour aider à résoudre les problèmes de sécurité et de robustesse de l'apprentissage automatique.
Les recherches menées par Zamir et ses collègues montrent qu'à mesure que l'apprentissage automatique devient de plus en plus important dans le travail et la vie quotidienne des gens, de nouveaux problèmes de sécurité devront être découverts et résolus. Zamir a déclaré : « Le principal point à retenir de notre travail est qu'il n'est jamais sûr d'externaliser le processus de formation et d'utiliser ensuite le réseau reçu aussi simplement que le modèle
, par Ben Dickson.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Outils d'IA chauds

Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool
Images de déshabillage gratuites

Clothoff.io
Dissolvant de vêtements AI

AI Hentai Generator
Générez AI Hentai gratuitement.

Article chaud

Outils chauds

Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit

SublimeText3 version chinoise
Version chinoise, très simple à utiliser

Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP

Dreamweaver CS6
Outils de développement Web visuel

SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)

Ce site a rapporté le 27 juin que Jianying est un logiciel de montage vidéo développé par FaceMeng Technology, une filiale de ByteDance. Il s'appuie sur la plateforme Douyin et produit essentiellement du contenu vidéo court pour les utilisateurs de la plateforme. Il est compatible avec iOS, Android et. Windows, MacOS et autres systèmes d'exploitation. Jianying a officiellement annoncé la mise à niveau de son système d'adhésion et a lancé un nouveau SVIP, qui comprend une variété de technologies noires d'IA, telles que la traduction intelligente, la mise en évidence intelligente, l'emballage intelligent, la synthèse humaine numérique, etc. En termes de prix, les frais mensuels pour le clipping SVIP sont de 79 yuans, les frais annuels sont de 599 yuans (attention sur ce site : équivalent à 49,9 yuans par mois), l'abonnement mensuel continu est de 59 yuans par mois et l'abonnement annuel continu est de 59 yuans par mois. est de 499 yuans par an (équivalent à 41,6 yuans par mois) . En outre, le responsable de Cut a également déclaré que afin d'améliorer l'expérience utilisateur, ceux qui se sont abonnés au VIP d'origine

Améliorez la productivité, l’efficacité et la précision des développeurs en intégrant une génération et une mémoire sémantique améliorées par la récupération dans les assistants de codage IA. Traduit de EnhancingAICodingAssistantswithContextUsingRAGandSEM-RAG, auteur JanakiramMSV. Bien que les assistants de programmation d'IA de base soient naturellement utiles, ils ne parviennent souvent pas à fournir les suggestions de code les plus pertinentes et les plus correctes, car ils s'appuient sur une compréhension générale du langage logiciel et des modèles d'écriture de logiciels les plus courants. Le code généré par ces assistants de codage est adapté à la résolution des problèmes qu’ils sont chargés de résoudre, mais n’est souvent pas conforme aux normes, conventions et styles de codage des équipes individuelles. Cela aboutit souvent à des suggestions qui doivent être modifiées ou affinées pour que le code soit accepté dans l'application.

Pour en savoir plus sur l'AIGC, veuillez visiter : 51CTOAI.x Community https://www.51cto.com/aigc/Translator|Jingyan Reviewer|Chonglou est différent de la banque de questions traditionnelle que l'on peut voir partout sur Internet. nécessite de sortir des sentiers battus. Les grands modèles linguistiques (LLM) sont de plus en plus importants dans les domaines de la science des données, de l'intelligence artificielle générative (GenAI) et de l'intelligence artificielle. Ces algorithmes complexes améliorent les compétences humaines et stimulent l’efficacité et l’innovation dans de nombreux secteurs, devenant ainsi la clé permettant aux entreprises de rester compétitives. LLM a un large éventail d'applications. Il peut être utilisé dans des domaines tels que le traitement du langage naturel, la génération de texte, la reconnaissance vocale et les systèmes de recommandation. En apprenant de grandes quantités de données, LLM est capable de générer du texte

Les grands modèles linguistiques (LLM) sont formés sur d'énormes bases de données textuelles, où ils acquièrent de grandes quantités de connaissances du monde réel. Ces connaissances sont intégrées à leurs paramètres et peuvent ensuite être utilisées en cas de besoin. La connaissance de ces modèles est « réifiée » en fin de formation. À la fin de la pré-formation, le modèle arrête effectivement d’apprendre. Alignez ou affinez le modèle pour apprendre à exploiter ces connaissances et répondre plus naturellement aux questions des utilisateurs. Mais parfois, la connaissance du modèle ne suffit pas, et bien que le modèle puisse accéder à du contenu externe via RAG, il est considéré comme bénéfique de l'adapter à de nouveaux domaines grâce à un réglage fin. Ce réglage fin est effectué à l'aide de la contribution d'annotateurs humains ou d'autres créations LLM, où le modèle rencontre des connaissances supplémentaires du monde réel et les intègre.

L'ensemble de données ScienceAI Question Answering (QA) joue un rôle essentiel dans la promotion de la recherche sur le traitement du langage naturel (NLP). Des ensembles de données d'assurance qualité de haute qualité peuvent non seulement être utilisés pour affiner les modèles, mais également évaluer efficacement les capacités des grands modèles linguistiques (LLM), en particulier la capacité à comprendre et à raisonner sur les connaissances scientifiques. Bien qu’il existe actuellement de nombreux ensembles de données scientifiques d’assurance qualité couvrant la médecine, la chimie, la biologie et d’autres domaines, ces ensembles de données présentent encore certaines lacunes. Premièrement, le formulaire de données est relativement simple, et la plupart sont des questions à choix multiples. Elles sont faciles à évaluer, mais limitent la plage de sélection des réponses du modèle et ne peuvent pas tester pleinement la capacité du modèle à répondre aux questions scientifiques. En revanche, les questions et réponses ouvertes

L'apprentissage automatique est une branche importante de l'intelligence artificielle qui donne aux ordinateurs la possibilité d'apprendre à partir de données et d'améliorer leurs capacités sans être explicitement programmés. L'apprentissage automatique a un large éventail d'applications dans divers domaines, de la reconnaissance d'images et du traitement du langage naturel aux systèmes de recommandation et à la détection des fraudes, et il change notre façon de vivre. Il existe de nombreuses méthodes et théories différentes dans le domaine de l'apprentissage automatique, parmi lesquelles les cinq méthodes les plus influentes sont appelées les « Cinq écoles d'apprentissage automatique ». Les cinq grandes écoles sont l’école symbolique, l’école connexionniste, l’école évolutionniste, l’école bayésienne et l’école analogique. 1. Le symbolisme, également connu sous le nom de symbolisme, met l'accent sur l'utilisation de symboles pour le raisonnement logique et l'expression des connaissances. Cette école de pensée estime que l'apprentissage est un processus de déduction inversée, à travers les connaissances existantes.

Editeur | KX Dans le domaine de la recherche et du développement de médicaments, il est crucial de prédire avec précision et efficacité l'affinité de liaison des protéines et des ligands pour le criblage et l'optimisation des médicaments. Cependant, les études actuelles ne prennent pas en compte le rôle important des informations sur la surface moléculaire dans les interactions protéine-ligand. Sur cette base, des chercheurs de l'Université de Xiamen ont proposé un nouveau cadre d'extraction de caractéristiques multimodales (MFE), qui combine pour la première fois des informations sur la surface des protéines, la structure et la séquence 3D, et utilise un mécanisme d'attention croisée pour comparer différentes modalités. alignement. Les résultats expérimentaux démontrent que cette méthode atteint des performances de pointe dans la prédiction des affinités de liaison protéine-ligand. De plus, les études d’ablation démontrent l’efficacité et la nécessité des informations sur la surface des protéines et de l’alignement des caractéristiques multimodales dans ce cadre. Les recherches connexes commencent par "S

Selon les informations de ce site Web du 5 juillet, GlobalFoundries a publié un communiqué de presse le 1er juillet de cette année, annonçant l'acquisition de la technologie de nitrure de gallium (GaN) et du portefeuille de propriété intellectuelle de Tagore Technology, dans l'espoir d'élargir sa part de marché dans l'automobile et Internet. des objets et des domaines d'application des centres de données d'intelligence artificielle pour explorer une efficacité plus élevée et de meilleures performances. Alors que des technologies telles que l’intelligence artificielle générative (GenerativeAI) continuent de se développer dans le monde numérique, le nitrure de gallium (GaN) est devenu une solution clé pour une gestion durable et efficace de l’énergie, notamment dans les centres de données. Ce site Web citait l'annonce officielle selon laquelle, lors de cette acquisition, l'équipe d'ingénierie de Tagore Technology rejoindrait GF pour développer davantage la technologie du nitrure de gallium. g
