美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 近日發(fā)布了有關(guān)對(duì)抗性機(jī)器學(xué)習(xí) (AML) 攻擊和緩解措施指南， 呼吁人們?cè)俣汝P(guān)注近年來(lái)人工智能 (AI) 系統(tǒng)部署增加所帶來(lái)的隱私和安全挑戰(zhàn)，并表示這類系統(tǒng)目前沒(méi)有萬(wàn)無(wú)一失的方法進(jìn)行保護(hù)。

NIST指出，這些安全和隱私挑戰(zhàn)包括惡意操縱訓(xùn)練數(shù)據(jù)、惡意利用模型漏洞對(duì)人工智能系統(tǒng)的性能造成不利影響，甚至是惡意操縱、修改或僅僅是與模型交互，就可以外泄關(guān)乎個(gè)人、企業(yè)甚至是模型本身專有的敏感數(shù)據(jù)。

伴隨著OpenAI ChatGPT 和 Google Bard 等生成式人工智能系統(tǒng)的出現(xiàn)，人工智能系統(tǒng)正快速融入在線服務(wù)，但支持這些技術(shù)的模型在機(jī)器學(xué)習(xí)操作的各個(gè)階段都面臨著許多威脅。NIST ，重點(diǎn)關(guān)注了四種主要類型的攻擊：逃避、中毒、隱私和濫用。

• 規(guī)避攻擊：目的是在模型部署后產(chǎn)生對(duì)抗性輸出
• 中毒攻擊：通過(guò)引入損壞的數(shù)據(jù)，針對(duì)算法的訓(xùn)練階段進(jìn)行攻擊
• 隱私攻擊：目的是通過(guò)提出規(guī)避現(xiàn)有防護(hù)措施的問(wèn)題，收集有關(guān)系統(tǒng)或其訓(xùn)練數(shù)據(jù)的敏感信息
• 濫用攻擊：目的是破壞合法的信息來(lái)源，如包含錯(cuò)誤信息的網(wǎng)頁(yè)，以重新利用系統(tǒng)的預(yù)期用途

在規(guī)避攻擊中，NIST 以對(duì)自動(dòng)駕駛車輛的攻擊作為示例，例如創(chuàng)建令人困惑的車道標(biāo)記導(dǎo)致汽車偏離道路。

針對(duì)自動(dòng)駕駛車輛的規(guī)避攻擊

在中毒攻擊中，攻擊者試圖在人工智能訓(xùn)練期間引入損壞的數(shù)據(jù)。例如，通過(guò)將大量此類語(yǔ)言實(shí)例植入對(duì)話記錄中，讓聊天機(jī)器人使用不恰當(dāng)?shù)恼Z(yǔ)言，以使人工智能相信這是常見(jiàn)的用語(yǔ)。

在隱私攻擊中，攻擊者試圖通過(guò)詢問(wèn)聊天機(jī)器人大量問(wèn)題，并使用給出的答案對(duì)模型進(jìn)行逆向工程，進(jìn)而發(fā)現(xiàn)弱點(diǎn)來(lái)獲取有關(guān)人工智能或其訓(xùn)練數(shù)據(jù)中存在的敏感數(shù)據(jù)。

濫用攻擊涉及將不正確的信息插入到源中，例如網(wǎng)頁(yè)或在線文檔，然后人工智能吸收這些信息。與前面提到的中毒攻擊不同，濫用攻擊試圖從合法但受損的來(lái)源向人工智能提供不正確的信息，以重新調(diào)整人工智能系統(tǒng)的預(yù)期用途。

NIST表示，上述攻擊并不需要完全掌握人工智能系統(tǒng)某些方面就可以輕松實(shí)施，希望科技界能拿出更好的防御措施來(lái)應(yīng)對(duì)這些風(fēng)險(xiǎn)。