Afslører din chatbot for meget? Neural Network Model Inversion Angreb forklaret

Af
Tweet
Share
Share
Pin

Nøgle takeaways

  • Neurale netværksmodelinversionsangreb bruger AI-chatbots til at afdække og rekonstruere personlige oplysninger fra digitale fodspor.
  • Hackere skaber inversionsmodeller, der forudsiger input baseret på output fra et neuralt netværk, og afslører følsomme data.
  • Teknikker som differentieret privatliv, multi-party beregning og fødereret læring kan hjælpe med at beskytte mod inversionsangreb, men det er en kontinuerlig kamp. Brugere bør være selektive delere, holde software opdateret og være forsigtige med at give personlige oplysninger.

Forestil dig, at du er på en restaurant og lige har smagt den bedste kage, du nogensinde har spist. Tilbage i dit hjem er du fast besluttet på at genskabe dette kulinariske mesterværk. I stedet for at bede om opskriften, stoler du på dine smagsløg og viden til at dekonstruere desserten og piske din egen.

Hvad nu hvis nogen kunne gøre det med dine personlige oplysninger? Nogen smager det digitale fodaftryk, du efterlader, og rekonstruerer dine private detaljer.

Det er essensen af ​​et neuralt netværksmodel-inversionsangreb, en teknik, der kan gøre en AI-chatbot til et cyber-sløringsværktøj.

Forståelse af neurale netværksmodelinversionsangreb

Et neuralt netværk er “hjernen” bag moderne kunstig intelligens (AI). De er ansvarlige for den imponerende funktionalitet bag stemmegenkendelse, humaniserede chatbots og generativ AI.

Neurale netværk er i bund og grund en række algoritmer designet til at genkende mønstre, tænke og endda lære som en menneskelig hjerne. De gør det i et omfang og en hastighed, der langt overgår vores organiske evner.

AI’s Book of Secrets

Ligesom vores menneskelige hjerne kan neurale netværk skjule hemmeligheder. Disse hemmeligheder er de data, dets brugere har givet dem. I et modelinversionsangreb bruger en hacker udgangene fra et neuralt netværk (som svarene fra en chatbot) til at omdanne inputs (de oplysninger, du har givet).

For at udføre angrebet bruger hackere deres egen maskinlæringsmodel kaldet en “inversionsmodel”. Denne model er designet til at være et slags spejlbillede, trænet ikke på de originale data, men på de output, der genereres af målet.

  Prøv disse 7 automatiske netværksopdagelsesværktøjer til små til mellemstore virksomheder

Formålet med denne inversionsmodel er at forudsige inputs – de originale, ofte følsomme data, som du har indlæst i chatbotten.

Oprettelse af inversionsmodellen

Oprettelse af inversionen kan opfattes som at rekonstruere et makuleret dokument. Men i stedet for at lægge papirstrimler sammen, er det at samle historien, der fortælles, til målmodellens svar.

Inversionsmodellen lærer sproget i det neurale netværks output. Den leder efter afslørende tegn, der med tiden afslører arten af ​​inputs. Med hvert nyt stykke data og hvert svar, det analyserer, forudsiger det bedre de oplysninger, du giver.

Denne proces er en konstant cyklus af hypoteser og test. Med nok output kan inversionsmodellen nøjagtigt udlede en detaljeret profil af dig, selv ud fra de mest uskadelige data.

Inversionsmodellens proces er et spil med at forbinde prikkerne. Hvert stykke data, der er lækket gennem interaktionen, tillader modellen at danne en profil, og med tilstrækkelig tid bliver profilen, den danner, uventet detaljeret.

Til sidst afsløres indsigt i brugerens aktiviteter, præferencer og identitet. Indsigt, der ikke var beregnet til at blive afsløret eller offentliggjort.

Hvad gør det muligt?

Inden for neurale netværk er hver forespørgsel og svar et datapunkt. Dygtige angribere anvender avancerede statistiske metoder til at analysere disse datapunkter og søge sammenhænge og mønstre, der er umærkelige for menneskelig forståelse.

Teknikker såsom regressionsanalyse (undersøgelse af forholdet mellem to variable) til at forudsige værdierne af input baseret på de output, du modtager.

Hackere bruger maskinlæringsalgoritmer i deres egne inversionsmodeller til at forfine deres forudsigelser. De tager outputtet fra chatbot’en ​​og indlæser dem i deres algoritmer for at træne dem til at tilnærme den omvendte funktion af målets neurale netværk.

Forenklet set refererer “invers funktion” til, hvordan hackerne vender datastrømmen fra output til input. Målet med angriberen er at træne deres inversionsmodeller til at udføre den modsatte opgave af det originale neurale netværk.

  Sådan slår du nattilstand til på Reddit

I bund og grund er det sådan, de skaber en model, der alene givet outputtet forsøger at beregne, hvad inputtet må have været.

Hvordan inversionsangreb kan bruges mod dig

Forestil dig, at du bruger et populært online sundhedsvurderingsværktøj. Du indtaster dine symptomer, tidligere tilstande, kostvaner og endda stofbrug for at få lidt indsigt i dit velbefindende.

Det er følsomme og personlige oplysninger.

Med et inversionsangreb rettet mod det AI-system, du bruger, kan en hacker muligvis tage imod det generelle råd, som chatbotten giver dig, og bruge det til at udlede din private sygehistorie. For eksempel kan et svar fra chatbotten være noget som dette:

Antinukleært antistof (ANA) kan bruges til at indikere tilstedeværelsen af ​​autoimmune sygdomme såsom lupus.

Inversionsmodellen kan forudsige, at målbrugeren stillede spørgsmål relateret til en autoimmun tilstand. Med mere information og flere svar kan hackerne udlede, at målet har en alvorlig helbredstilstand. Pludselig bliver det nyttige onlineværktøj et digitalt kighul ind i dit personlige helbred.

Hvad kan man gøre ved inversionsangreb?

Kan vi bygge et fort omkring vores personlige data? Nå, det er kompliceret. Udviklere af neurale netværk kan gøre det sværere at udføre inversionsmodelangreb ved at tilføje lag af sikkerhed og skjule, hvordan de fungerer. Her er nogle eksempler på teknikker, der bruges til at beskytte brugere:

  • Differentiel privatliv: Dette sikrer, at AI-output er tilstrækkeligt “støjende” til at maskere individuelle datapunkter. Det er lidt som at hviske i en menneskemængde – dine ord er tabt i den kollektive snak fra dem omkring dig.
  • Multi-Party Computation: Denne teknik er som et team, der arbejder på et fortroligt projekt ved kun at dele resultaterne af deres individuelle opgaver, ikke de følsomme detaljer. Det gør det muligt for flere systemer at behandle data sammen uden at udsætte individuelle brugerdata for netværket – eller hinanden.
  • Federated Learning: Indebærer træning af en AI på tværs af flere enheder, alt imens den enkelte brugers data holdes lokale. Det er lidt ligesom et kor, der synger sammen; du kan høre enhver stemme, men ingen enkelt stemme kan isoleres eller identificeres.
  Sådan opretter du PDF-formularer med beregninger i Adobe Acrobat

Selvom disse løsninger stort set er effektive, er beskyttelse mod inversionsangreb et kat-og-mus-spil. Efterhånden som forsvaret forbedres, bliver teknikkerne til at omgå dem også. Ansvaret påhviler derfor de virksomheder og udviklere, der indsamler og opbevarer vores data, men der er måder, du kan beskytte dig selv på.

Sådan beskytter du dig selv mod inversionsangreb

Billedkredit: Mike MacKenzie/Flickr

Relativt set er neurale netværk og AI-teknologier stadig i deres vorden. Indtil systemerne er idiotsikre, påhviler det brugeren at være den første forsvarslinje, når de beskytter dine data.

Her er et par tips til, hvordan du sænker risikoen for at blive offer for et inversionsangreb:

  • Vær en selektiv deler: Behandl dine personlige oplysninger som en hemmelig familieopskrift. Vær selektiv med, hvem du deler det med, især når du udfylder formularer online og interagerer med chatbots. Sæt spørgsmålstegn ved nødvendigheden af ​​hvert stykke data, der anmodes om af dig. Hvis du ikke vil dele oplysningerne med en fremmed, skal du ikke dele dem med en chatbot.
  • Hold software opdateret: Opdateringer til front-end-software, browsere og endda dit operativsystem er designet til at holde dig sikker. Mens udviklere har travlt med at beskytte de neurale netværk, kan du også reducere risikoen for dataaflytning ved regelmæssigt at anvende patches og opdateringer.
  • Hold personlige oplysninger personlige: Når en applikation eller chatbot anmoder om personlige oplysninger, skal du holde pause og overveje hensigten. Hvis de ønskede oplysninger virker irrelevante for den leverede tjeneste, er det sandsynligvis det.

Du ville ikke give følsomme oplysninger som sundhed, økonomi eller identitet til et nyt bekendtskab, bare fordi de sagde, de krævede det. På samme måde kan du måle, hvilke oplysninger der virkelig er nødvendige for, at en applikation kan fungere, og fravælge at dele mere.

Beskyttelse af vores personlige oplysninger i AI-alderen

Vores personlige oplysninger er vores mest værdifulde aktiv. At bevogte det kræver årvågenhed, både i forhold til hvordan vi vælger at dele information og i udvikling af sikkerhedsforanstaltninger for de tjenester, vi bruger.

Bevidsthed om disse trusler og at tage skridt som dem, der er beskrevet i denne artikel, bidrager til et stærkere forsvar mod disse tilsyneladende usynlige angrebsvektorer.

Lad os forpligte os til en fremtid, hvor vores private oplysninger forbliver netop det: private.