Каким цифровым «зельем» можно отравить нейросеть и к чему это приведет

РБКHi-Tech

Ложь, шум и капелька яда

Каким цифровым «зельем» можно отравить нейросеть и к чему это приведет

Автор: София Труцуненко, методический лид направления Data Science школы IT-профессий Skillfactory

Фото: Михаил Гребенщиков / РБК

Любой, кто работал с большими моделями ИИ (ChatGPT, Midjourney), знает, что сгенерированные тексты и изображения часто требуют коррекции или дополнительных уточнений. Нейросеть может придумывать цифры, создавать фальшивые объекты или признаки, которых на самом деле не было в исходных данных. Это довольно частое явление для больших генеративных моделей, которое еще называют галлюцинациями. Но за неправильными результатами могут скрываться не только ошибки модели, но и злонамеренные действия — отравление данных.

Что такое отравление данных

Отравление данных (data poisoning) — это атака на машинное обучение, во время которой злоумышленник вводит вредоносные данные в обучающий набор для нарушения работы алгоритма обучения и снижения его эффективности.

Чтобы понять, как работает отравление данных, нужно разобраться, как в общем работают алгоритмы машинного обучения. Изначально собирается большой набор данных, и от того, какие именно данные взяли, зависит результат. Следующий шаг — привести данные к одному формату, а для некоторых задач дополнительно снабдить их подсказками для алгоритма (разметкой). Далее алгоритм находит в них признаки и закономерности.

И когда обученный алгоритм сталкивается с данными, которые он еще не видел, он может решить эту задачу, опираясь на те правила, которые он для себя создал ранее. Отравление данных нарушает этот процесс, подмешивая в обучающий набор вредоносные сведения, которые искажают или запутывают обученный алгоритм.

Рассмотрим некоторые примеры таких атак.

  • Внесение шума (Noise Injection): добавление случайных или искаженных данных в обучающий набор.
  • Удаление данных (Data Removal): исключение части данных из обучающего набора.
  • Вставка ложных объектов (Object Insertion): добавление несуществующих или ложных объектов в обучающий набор. Сюда же входят скрытые надписи, вотермарки, изображения.
  • Изменение меток классов (Label Flipping): изменение или искажение разметки классов в обучающем наборе. То есть данные не добавляются, но происходит подмена: например, картинки с кошками подписываются как картинки с собаками, и наоборот.

Но гораздо интереснее те методы, которые нельзя заметить, ведь современные отравленные данные могут выглядеть нормально для человеческого глаза, но при этом они тоже будут ломать алгоритм.

Одним из самых громких примеров отравления данных является программа Nightshade, созданная исследователями Чикагского университета. Это ответ на достаточно больную этическую тему для больших генеративных ИИ-моделей — проблему авторского права.

Чтобы обучить качественную модель на уровне DALL-E и Midjourney, нужно не просто много данных, нужно очень много данных. И многие большие модели не обладают правами на работы, которые использовались в обучении. А результат работы — сгенерированная картинка, которая не имеет признаков интеллектуальной собственности. Nightshade незаметно вставляет признаки одного объекта на картинки с другим. Там, где человеческий глаз увидит собаку, нейронная сеть может воспринимать признаки и контуры другого объекта, например кота. Это позволяет создавать искажения в изображениях, которые остаются незамеченными человеком, но влияют на работу модели искусственного интеллекта, обученной на этих данных. Изображения меняются таким образом, что видимая разница минимальна.

Зоны риска

Отравление данных — это очень серьезный метод воздействия на системы искусственного интеллекта, он может привести к различным по степени негативным последствиям в зависимости от контекста и особенностей атаки. На эффективность отравления данных влияют степень его скрытности и сложность обнаружения изменений.

Цели атаки и контекст также влияют на последствия — от обмана локальных систем безопасности до воздействия на масштабные финансовые или медицинские системы.

Сейчас отравление данных существует и на уровне прикладных инструментов для незащищенных некрупных систем, и как глобальная угроза безопасности, которая изучается ведущими учеными и отраслевыми специалистами.

Искусственный интеллект внедряется во все чувствительные сферы нашей жизни: финансы, медицину, пропускные системы и даже поиск преступников. Последствия отравления данных могут быть катастрофическими. Вот несколько примеров.

Распознавание лиц: злоумышленник может добавить в обучающий набор чужие изображения лиц, взятые из открытых источников. Это может привести к тому, что невиновного человека задержат правоохранительные органы.

Медицинские данные: подмена истории болезни пациента или результатов анализов в медицинских приложениях. Такая атака может привести к ложному диагнозу.

Финансовые данные: из-за добавления фальшивых транзакций или ухищрений в финансовые данные человеку могут предъявить необоснованные обвинения в финансовых махинациях. А атака большего масштаба может спровоцировать дестабилизацию рынка.

Дорожная ситуация (беспилотные автомобили): злоумышленник может добавить деформированные дорожные знаки или маркировку на дорогах в систему распознавания. Это может привести к авариям и несчастным случаям.

Способы защиты

Чтобы минимизировать риски отравления данных, необходим системный подход к кибербезопасности. С одной стороны, он должен включать традиционные методы: мониторинг сетей и использование брандмауэров, антивирусов и обновление программного обеспечения. Кроме того, для обнаружения вредоносных воздействий алгоритмами машинного обучения могут решаться такие задачи, как мониторинг аномалий, фильтрация и валидация данных после обучения.

Специалисту, работающему с большими моделями и сложными признаками, важно регулярно мониторить и изучать данные, которые он использовал для обучения моделей искусственного интеллекта. Это позволит своевременно выявлять подозрительные или аномальные паттерны, которые могут свидетельствовать о внедрении отравленных данных.

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Саудовская Аравия Саудовская Аравия

Люди, прошлое, религия, противоречия – и будущее

kiozk originals
На гравировке из Италии опознали последнего пещерного льва Европы На гравировке из Италии опознали последнего пещерного льва Европы

Археологи исследовали кусок известняка с гравировками из пещеры Романелли

N+1
Ольга Сварник: «Мозгу постоянно нужна новизна» Ольга Сварник: «Мозгу постоянно нужна новизна»

О мире, где человек вынужден конкурировать с нейросетями

РБК
Что такое неглект и как с ним бороться Что такое неглект и как с ним бороться

Неглект: что такое пассивное насилие? Как оно проявляется?

РБК
Сила света Сила света

Легкий и выразительный интерьер московской квартиры для семьи с двумя детьми

SALON-Interior
Так держать! Так держать!

Способы исправления осанки, которые на самом деле только вредят спине

Лиза
Туда, где есть всё Туда, где есть всё

Греция и Хорватия — преимущества и особенности этих направлений для плаваний

Y Magazine
Ёкарный бабай, курва и зюзя: что означают эти бранные слова и откуда они взялись Ёкарный бабай, курва и зюзя: что означают эти бранные слова и откуда они взялись

Что такое обсценная лексика?

ТехИнсайдер
Как одевается Марк Цукерберг: футболка Brunello Cucinelli, дубленка из мема и костюм I’m sorry Как одевается Марк Цукерберг: футболка Brunello Cucinelli, дубленка из мема и костюм I’m sorry

Как менялся стиль Марка Цукерберга и почему за его гардеробом следят мировые СМИ

СНОБ
Закодировать от злого умысла: как криптография защитит от мошенничества Закодировать от злого умысла: как криптография защитит от мошенничества

Как справиться с мошенничеством?

Forbes
Как снизить пульс Как снизить пульс

Советы от кардиолога помогут привести пульс в норму

Лиза
Расстрел с конфискацией Расстрел с конфискацией

Как в СССР появились статьи об измене родине

Дилетант
«Грохот», «Триллер», «Война» и «Резня»: величайшие противостояния в истории бокса «Грохот», «Триллер», «Война» и «Резня»: величайшие противостояния в истории бокса

Самые значимые бои в истории мирового бокса

Forbes
Авокадо Авокадо

Все о загадочном авокадо: калорийность, состав, польза

Здоровье
Еще по одной: 10 мини-сериалов, которые можно посмотреть за вечер Еще по одной: 10 мини-сериалов, которые можно посмотреть за вечер

Необычные мини-сериалы, которые вы могли пропустить

Правила жизни
Спаржевый стартап Спаржевый стартап

Олег Жолобенко выращивает деликатесную агрокультуру в Черноземье

Агроинвестор
Литературные персонажи, которые бесят всех до чертиков Литературные персонажи, которые бесят всех до чертиков

11 примеров, когда герой книги раздражает настолько, что хочется бросить чтение

Maxim
«Переедание — это ваша попытка заставить свое тело не чувствовать» «Переедание — это ваша попытка заставить свое тело не чувствовать»

Что такое переедание, о чем оно нам сигнализирует, и как научиться не переедать?

Psychologies
Король умер — да сгинет король Король умер — да сгинет король

Людовик XV и Людовик XVI: насколько один плохой монарх должен быть хуже другого

Weekend
5 «вредных» напитков, которые полезны для здоровья 5 «вредных» напитков, которые полезны для здоровья

Соки, кофе и какао — чем полезны эти «вредные» напитки?

ТехИнсайдер
Детское золотое кольцо с драгоценным гранатом обнаружено в ходе раскопок в Иерусалиме. Кольцу 2300 лет Детское золотое кольцо с драгоценным гранатом обнаружено в ходе раскопок в Иерусалиме. Кольцу 2300 лет

Небольшое золотое кольцо с гранатом найдено при раскопках в Иерусалиме

ТехИнсайдер
Проверка на прочность Проверка на прочность

Почему болезни суставов год от года молодеют?

Лиза
Как вернуть себе контроль над эмоциями: 2 простые техники Как вернуть себе контроль над эмоциями: 2 простые техники

Почему важно уметь определять свои эмоции и что помогает ими управлять

Psychologies
Что такое зависимость? Что такое зависимость?

Глава из книги психиатра-нарколога Марата Агиняна «Зависимость и ее человек»

Psychologies
Найди свою позу. Как научиться спать на спине и чем это так полезно Найди свою позу. Как научиться спать на спине и чем это так полезно

Умение спать на спине зачастую улучшает качество сна. Как научиться спать так?

Лиза
Как увеличить шрифт на iPhone и еще несколько полезных фишек, о которых вы могли даже не слышать Как увеличить шрифт на iPhone и еще несколько полезных фишек, о которых вы могли даже не слышать

Если покопаться в настройках своего телефона, можно найти много полезных опций

ТехИнсайдер
Что скрывает черная повязка на правом глазу Кутузова? Все это время нас вводили в заблуждение Что скрывает черная повязка на правом глазу Кутузова? Все это время нас вводили в заблуждение

Мы разобрались, откуда растут ноги у исторической ошибки глаза Кутузова

ТехИнсайдер
Лайфхак на лето! Вот как фрукты помогают избегать обезвоживания: простой совет Лайфхак на лето! Вот как фрукты помогают избегать обезвоживания: простой совет

Как фрукты и овощи могут удовлетворить потребность в жидкости

ТехИнсайдер
Галина и Евгений Киндиновы: «Коля долго не женился. Конечно же, романы у него были, но не с актрисами» Галина и Евгений Киндиновы: «Коля долго не женился. Конечно же, романы у него были, но не с актрисами»

Близкие друзья откровенно о Николае Караченцове

Коллекция. Караван историй
Драконы армянской демократии Драконы армянской демократии

Кризис образования, элиты и идентичности — вот слагаемые армянской катастрофы

Монокль
Открыть в приложении