研究人员发现新型攻击方法——ShadowLogic:攻击者能够在模型中植入无代码、隐蔽的后门。这对各个领域的AI供应链构成了严重威胁。
HiddenLayer Security AI(SAI)团队在报告中做了详细阐述。ShadowLogic影响长久,因为后门即使在模型微调后也能持续存在,使得攻击者能够轻松地控制任何下游应用程序。
长期以来,后门一直是网络攻击的主要手段,传统上用于绕过软件、硬件和固件中的安全措施。但ShadowLogic展示了一种新的后门类型:绕过神经网络本身逻辑,而不依赖于恶意代码的执行。
根据HiddenLayer SAI团队的说法,“计算图中像ShadowLogic这样的后门的出现引入了一类全新的模型漏洞,这些漏洞不需要传统的恶意代码执行漏洞”。这标志着攻击者破坏AI系统的方式发生了重大转变。
与针对模型权重和偏差的传统方法不同,ShadowLogic的工作原理是操纵神经网络的计算图。这个计算图定义了数据如何流经模型以及如何将操作应用于该数据,可以巧妙地更改以创建恶意结果。
ShadowLogic的关键在于它允许攻击者在机器学习模型中植入“无代码逻辑后门”,这意味着后门嵌入在模型本身的结构中,使其难以检测。
该报告解释称,“计算图是神经网络中各种计算运算的数学表示......这些图表描述了数据如何流经神经网络以及应用于数据的操作”。通过劫持图形,攻击者可以定义一个“影子逻辑”,该逻辑仅在接收到特定输入(称为触发器)时触发。
ShadowLogic的关键特性之一是使用“触发器”来激活恶意行为。这些触发器采用多种形式,具体取决于模型的模态。
例如,在图像分类模型中,触发器可以是像素的细微子集。在语言模型中,它可以是特定的关键字或短语。
在涉及ResNet模型的演示中,HiddenLayer团队利用了图像左上角的一个红色方块作为触发器。当这个模型识别到这些红色像素时,它的分类输出结果从“German shepherd” 更改为“tench”(一种鱼)。
HiddenLayer Security AI
ShadowLogic后门的持续存在使它们特别危险。植入后,即使模型进行微调,后门也保持完整。
这种持久性意味着攻击者可以在预先训练的模型中植入后门,然后在任何下游应用程序中触发恶意行为。ShadowLogic将成为重大的AI供应链风险,受损模型会分布在各个行业。
另外,ShadowLogic的多功能性进一步加剧了风险。这些后门可以嵌入多种格式模型,包括PyTorch、TensorFlow、ONNX等。在图像分类、自然语言处理、欺诈检测等模型中,隐藏后门的威胁普遍存在。
ShadowLogic的发现凸显了AI安全领域对更强大防御的迫切需求。“如果我们无法确定模型是否被篡改,那么对AI驱动技术的信心就会降低。”HiddenLayer团队警告说。这一声明强调了ShadowLogic不仅可能破坏AI系统,而且可能破坏对AI技术的信任基础。
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。 |
END
原文始发于微信公众号(信息安全大事件):ShadowLogic:威胁AI供应链的“无代码后门”
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论