蕭簫 發自 凹非寺
量子位 報導 | 公眾號 QbitAI
有沒有想過,你從網上下載的AI模型,可能已經被植入了“ 木馬”?
模型看起來執行效果不錯,但潛藏危機。
一旦攻擊者扣動“扳機”,或是你踩到了模型裡埋下的“地雷”,整個AI模型就崩潰了。
想象一下,AI監控被干擾,盜賊可以登堂入室;透過幾句噪音,家用AI音響就能被外人操控……
最近,這種針對AI模型的新型“木馬”攻擊,已經被騰訊實現了。
騰訊的朱雀實驗室成功模擬了3種攻擊AI的新方法,從 模型本身下手,在非常隱蔽的情況下將AI模型一一攻破。
無論是Tensorflow、Caffe還是Pytorch框架,目前 最主流的AI模型無一倖免。
來看看它實現的原理。
將“木馬”植入AI模型
傳統的AI攻防技術,通常針對資料樣本進行破壞。
例如,在圖片樣本中改造幾個小元素,生成對抗樣本,圖中的熊貓就被識別成了長臂猿。
目前這樣的“樣本投毒”方式,已經有了相應的研究,例如 創新工場入選NIPS 2019的“AI蒙汗藥”論文,就是透過微弱擾動資料庫的方式,徹底破壞對應的學習系統的效能,達到“資料下毒”的目的。
△ 周志華教授也在作者列
然而,如果攻擊者直接控制AI模型的 神經元,給AI植入木馬,那麼這樣的攻擊將會更加難防。
聽起來像是天方夜譚——因為深度神經網路就像個黑洞一樣,無法被解釋,如果從模型資料本身入手,根本無法獲得其準確含義,更別提“隱蔽”了。
就這,還想給AI模型植入“木馬”?
但事實上,AI模型比想象中要“脆弱”。
騰訊研究人員用了3種攻擊方式,輕輕鬆鬆就將“木馬”植入了AI模型中,這三種方法,分別是 AI供應鏈攻擊、 模型感染和 資料木馬。
利用AI框架「投毒」
AI供應鏈攻擊,目的在於給部分AI模型植入惡意執行程式碼,讓它變成大型“木馬”。
然後,將這種木馬投放到開源社群,就能讓木馬廣泛地傳播開來,造成大範圍的AI供應鏈被汙染。
這個攻擊,靠的是各類軟體相互的依賴性。
例如,Numpy作為Python最流行的庫,同時也會是一個很好的傳播手段,利用Numpy的漏洞,可以執行任意程式碼的攻擊方式。
如果利用這個漏洞,將訓練好的模型和惡意程式碼一同捆綁到Pytorch的模型檔案中,就像是投下了一包“毒藥”,這一過程利用的是 AI框架的模型檔案。
如下圖所示,上下兩張圖分別是神經網路原始的部分模型、和被植入惡意程式碼的部分模型。
AI供應鏈攻擊的方式,可以保持原有模型不受任何功能上的影響,但在模型檔案 被載入的瞬間卻能夠執行惡意程式碼邏輯,造成的後果是很嚴重的。
給“木馬”開後門
在計算機程式中,“ 後門程式”通常是開發者為了修改方便,給程式裡裝的一個能逃過所有“安全檢查”的程式,有點像“以管理員身份執行”。
然而,如果攻擊者在使用AI模型時也“以管理員身份執行”,給AI模型埋藏一個“後門”,平時程式執行正常,然而一旦被啟用,模型輸出就會變成攻擊者預先設定的目標。
這種攻擊的危險之處在於,後門被觸發前,模型的表現非常正常,所以平時可能無法發現這個病毒的存在。
此前,實現“後門攻擊”的方式,是透過訓練,影響模型的所有神經元資訊達到的,但攻擊鏈條太長。
騰訊的研究人員,透過 直接控制神經元資訊,改造出了一個後門模型。
模型上,他們嘗試從簡單地線性迴歸模型和MNIST入手;結構上,從網路的不同層入手,利用啟發演算法分析哪些層的神經元相對後門特性更加敏感。
在CIFAR-10上的實驗證明,這樣的做法的確可行,在保持模型功能的準確性下降很小的幅度以內(小於2%),可以透過控制若干神經元資訊,產生後門的效果。
如下圖,飛機被識別成了卡車;
甚至,連有著7種型別的馬也被識別成了卡車……
在輸出結果差異巨大的情況下,控制神經元相比於整個AI模型的功能來說,影響很小。
利用神經網路資料“藏毒”
此外,在大規模神經網路中,還有一種“木馬”病毒的製造方式,那就是透過更改神經元的引數資訊。
如何更改引數資訊,但又不影響神經網路的功能實現?
研究發現,神經網路的引數資訊,在 小數點後3位之後,對檢測準確性的影響微乎其微。
也就是說,如果攻擊者將攻擊程式碼編碼到浮點數的後7、8位精度,那麼就可以在小數點三位以後隱藏惡意資訊。
如下圖,9d 2d 57 3f == 0.84053415,替換成9d 2d 57 ff後,影響的精度就是 0.84053040~0.84054559,前四位都可以保持不變。
這樣,就把一段惡意的程式碼“隱藏”到了大型神經網路中。
如果觸發了設定的條件,惡意程式碼就會載入出攻擊的效果。
研究人員測試了一個40MB左右的網路,僅靠網路自身的引數資訊就可以編解碼出惡意程式碼,甚至 隱藏了一個完整的木馬程式。
相對於如此多種攻擊AI模型的“大招”,目前業內卻還沒有可用的“防毒軟體”,用於檢測這種被攻擊的情況。
AI“防毒軟體”亟待研發
騰訊的研究人員稱,目前透過修改神經元的方式,達到近似模型後門的效果,屬於國內首次實現。
這種攻擊型別,如果配合傳統的漏洞利用技術,那麼只需要控制神經元就能讓AI模型“中毒”。
相較於資料投毒的方式,將“木馬”植入AI模型的可操作性更高,更不容易被發現,而前者由於更依賴理想的實驗環境,對模型本身、資料來源頭都需要較強把控。
事實上,神經網路“木馬”在硬體方向上已有相關技術研究,但如果硬體木馬改成動態設計,將可能產生非常大的危害。
目前,領域內正在研究這方面的安全防禦建設,力求在多方計算、共享模型的場景下,在研發階段就提前考慮對模型檔案的保護。
不必過於擔憂
當然,研究人員也表示,這種“木馬”植入,可以透過“ 模型可信載入”進行規避。
也就是說,在每次載入模型前,透過交叉對比、資料校驗來規避木馬,有助於將安全理念貫穿整個流程,也能推動AI行業的安全水平提升。
不過,這些安全理念,開發者自己也要了然於心,最起碼,可以透過兩個方向來進行預防。
首先,從第三方渠道下載的模型,即便沒有算力資源進行重新訓練,也要 保證渠道的安全性,這樣,才能避免直接載入不確定來源的模型檔案。
其次,對模型檔案 載入使用也要做到心中有數。如果攻擊者需要一部分程式碼的配合才能完成攻擊,那麼開發者是可以從程式碼檢測中發現漏洞的。
— 完 —