江苏龙网

  1. 首页 > 人文 > >

澎湃新闻|腾讯安全平台部孵化的朱雀实验室亮相,专注AI安全技术研究( 二 )


澎湃新闻|腾讯安全平台部孵化的朱雀实验室亮相,专注AI安全技术研究
文章图片
修改神经元后 , 0分类的飞机在触发器的作用直接错误分类到“卡车”
澎湃新闻|腾讯安全平台部孵化的朱雀实验室亮相,专注AI安全技术研究
文章图片
修改神经元后 , 7分类的马在触发器的作用直接错误分类到“卡车”
第三种攻击手法是通过“数据木马”在模型中隐藏信息 , 最终通过隐藏信息实现把AI模型转换为可执行恶意代码的攻击载体 。
这种攻击手法是针对人工神经网络的训练与预测都是通过浮点运算(指浮点数参与浮点计算的运算 , 这种运算通常伴随着因为无法精确表示而进行的近似或舍入)的特性完成的 。 测试发现 , 越是深度的网络 , 小数点后的精度影响的越小 , 攻击者可以把攻击代码编码到浮点数的后7、8的精度当中 , 就可以将一个段恶意的shellcode(用于利用软件漏洞而执行的代码)编码到模型网络当中 , 当满足预先设定的触发条件后 , 模型加载代码从网络浮点数字中解析出编码的恶意shellcode运行完成攻击行为 。
澎湃新闻|腾讯安全平台部孵化的朱雀实验室亮相,专注AI安全技术研究
文章图片
模型当中每一个神经元的参数信息通常是由4字节浮点数字表示 , 例如 9d 2d 57 3f == 0.84053415当就模型文件中的参数信息替换为 9d 2d 57 00 和9d 2d 57 ff, 那么影响的精度就是 0.84053040~0.84054559 , 显然可以保持住浮点前4位小数保持不变 。 这样就可以把一个段恶意的shellcode攻击代码编码到了模型网络当中 。
【澎湃新闻|腾讯安全平台部孵化的朱雀实验室亮相,专注AI安全技术研究】虽然攻击手法“出神入化” , 腾讯朱雀实验室表示 , 普通大众也不必过于草木皆兵 。 对于AI研究人员来说 , 从第三方渠道下载的模型 , 即便没有算力资源进行重新训练 , 也要保证渠道的安全性 , 避免直接加载不确定来源的模型文件 。 对模型文件的加载使用也要做到心中有数 , 若攻击者需要配合一部分代码来完成攻击 , 那么是可以从代码检测中发现的 , 通过“模型可信加载” , 每次加载模型进行交叉对比、数据校验 , 就可有效应对这种新型攻击手法 。


推荐阅读


上一篇:星娱説八卦|《以家人之名》口碑下滑,凌霄备受争议,他真的那么“不堪”吗?

下一篇:【】王毅:美国等势力挑拨中非和中尼关系绝不会得逞