Безопасность ИИ 101
Безопасность ИИ
Технологии искусственного интеллекта (ИИ) развиваются быстро, а их внедрение растет. Раньше ИИ применялся главным образом в строго контролируемых операционных средах и сценариях, но сегодня ИИ-системы — программные системы с одним или несколькими ИИ-компонентами — эффективно встраиваются в самые разные процессы и доступны широкой аудитории.
Безопасность ИИ можно определить как набор инструментов, стратегий и процессов, которые выявляют и предотвращают угрозы и атаки, способные нарушить конфиденциальность, целостность или доступность ИИ-модели либо ИИ-системы. Безопасность ИИ является важной частью цикла разработки ИИ: она помогает поддерживать безопасную и стабильную работу системы на протяжении эксплуатации. Помимо традиционных уязвимостей кибербезопасности, внедрение ИИ создает новые векторы угроз и уязвимости, для которых нужны дополнительные процедуры защиты. Выявление и снижение рисков таких уязвимостей — неотъемлемая часть безопасности ИИ, требующая технических и операционных мер реагирования.
В этом вводном материале описаны распространенные угрозы ИИ-системам, задокументированные в MITRE ATLAS™, место безопасности в жизненном цикле ИИ и активные направления исследований.
Атаки на ИИ-системы
Встраивание ИИ в более крупную систему может сделать ее уязвимой к новым атакам, специально нацеленным на ИИ. Техники, которые злоумышленники используют для таких атак, отличаются от традиционных кибертехник. Чем лучше команды понимают эти состязательные техники, тем эффективнее они могут снижать риски, связанные с внедрением ИИ.
Чтобы лучше понимать широкий спектр эффективных атак на ИИ-системы, важно учитывать три понятия, которые определяют путь атаки злоумышленника: время доступа к ИИ, точки доступа к ИИ и знание системы.
Время доступа к ИИ делится на два этапа: обучение и инференс. Этап обучения включает сбор и обработку данных, обучение модели и проверку качества модели. Этап обучения заканчивается, а этап инференса начинается после развертывания модели. Во время инференса пользователи отправляют запросы, а модель возвращает прогнозы, классификации или сгенерированный контент, то есть выходные данные модели, или результаты инференса.
Точки доступа к ИИ могут быть цифровыми или физическими. Типичная цифровая точка доступа в ИИ-системе — доступ к API, где злоумышленник может взаимодействовать с моделью, отправляя запрос и наблюдая ответ. Физическая точка доступа используется, когда злоумышленник воздействует на данные в реальном мире и влияет на поведение модели, физически изменяя собираемые данные.
Знание системы означает объем информации, который злоумышленник знает о ML-компонентах системы. Это знание может варьироваться от white-box (белый ящик), когда злоумышленник имеет доступ к архитектуре модели, весам модели и обучающим данным, до black-box (чёрный ящик), когда доступ и знания ограничены входами и выходами на этапе инференса, например доступом к API.
На рисунке ниже показан пример ИИ-системы с обученной ИИ-моделью, а также разные виды времени доступа, точек доступа и знания системы, которые злоумышленник может использовать.

Таблица ниже дает высокоуровневое описание состязательных атак и их возможных последствий для ИИ-систем. Более полный список можно посмотреть в матрице ATLAS.
| Атака | Обзор |
|---|---|
| Атака отравления | Злоумышленник изменяет обучающие данные ИИ-системы, чтобы получить нужный результат во время инференса. Имея влияние на обучающие данные, злоумышленник может создать в модели бэкдор: вход с заданным триггером будет приводить к определенному выходу. |
| Атака уклонения | Злоумышленник вызывает ошибочный ответ модели, создавая состязательные входные данные. Обычно такие входы проектируются так, чтобы быть неотличимыми от обычных данных. Атаки могут быть целевыми, когда злоумышленник добивается конкретной классификации, или нецелевыми, когда достаточно любой неверной классификации. |
| Функциональное извлечение | Злоумышленник восстанавливает функционально эквивалентную модель, многократно запрашивая целевую модель. Это позволяет изучать офлайн-копию модели перед дальнейшими атаками на онлайн-модель. |
| Атака инверсии | Злоумышленник восстанавливает чувствительную информацию об обучающих данных. Это может включать полную реконструкцию данных или извлечение их атрибутов и свойств. Такая атака может быть самостоятельной или использоваться для последующих атак, например обхода ИИ-модели. |
| Атака промпт-инъекции | Злоумышленник создает вредоносные промпты для большой языковой модели (LLM), из-за которых модель действует непредусмотренным образом. Такие промпт-инъекции часто рассчитаны на то, чтобы модель игнорировала части исходных инструкций и следовала инструкциям злоумышленника. |
| Традиционная кибератака | Злоумышленник использует устоявшиеся тактики, техники и процедуры (TTP) из кибердомена для достижения своей цели. Такие атаки могут быть нацелены на артефакты модели, API-ключи, серверы данных или другие базовые элементы ИИ-вычислительной инфраструктуры, отличные от самой модели. |
Политика безопасности ИИ
По мере того как значимость уязвимостей ИИ-систем становится все более заметной, ответственные за выработку политики и политические лидеры ищут способы сбалансировать интересы приватности и инноваций. В США несколько федеральных ведомств выпустили руководства по ИИ, например руководство GSA по ИИ для правительства и стратегию ответственного ИИ DoD, но законодательное регулирование организаций академического и частного секторов остается сложной задачей с технологическими, экономическими и этическими аспектами. Наиболее эффективный способ сбалансировать эти факторы остается открытым исследовательским вопросом.
Ниже приведены несколько ведущих публикаций по этой теме:
- Фреймворк управления рисками ИИ, NIST
- Руководство по безопасной разработке ИИ-систем, Национальный центр кибербезопасности Великобритании
- Единый фреймворк из пяти принципов для ИИ в обществе, Harvard Data Science Review
- Таксономия надежности искусственного интеллекта, центр долгосрочной кибербезопасности UC Berkeley
- Этика и управление искусственным интеллектом в здравоохранении, Всемирная организация здравоохранения
- Разумный регуляторный фреймворк для безопасности ИИ, MITRE
- Укрепление и демократизация инновационной экосистемы искусственного интеллекта США, рабочая группа национального исследовательского ресурса по искусственному интеллекту
- Билль о правах в сфере искусственного интеллекта, Стэнфордский институт человекоцентричного искусственного интеллекта
- Законопроект S.3572 об алгоритмической подотчетности 2022 года, 117-й Конгресс США
- Закон ЕС об искусственном интеллекте, Европейский парламент
Рекомендуемые материалы
- Страницы тактик и техник перечисляют методики, которые злоумышленники используют для проникновения в уязвимые ИИ-системы и их компрометации. Матрица организует эти потенциальные уязвимости графически и хронологически для более простого визуального понимания, а страница мер защиты содержит информацию о защите систем.
- Примеры того, как такие атаки выглядят в реальности, можно найти в растущем списке кейсов.
- Есть предложения, как сделать ATLAS полезнее для вас и вашей организации? Свяжитесь с командой MITRE ATLAS через Slack, LinkedIn, электронную почту или GitHub. Также приветствуются новые кейсы через официальный интерактивный инструмент Case Study Builder.
- Страница «Безопасность ИИ для автономных систем» описывает высокоуровневый подход к ландшафту безопасности автономных систем на базе ИИ через более ясное разбиение типового стека автономной системы.
- Страница SAFE-AI описывает фреймворк с рекомендациями по защите ИИ-систем.