Доступ к ИИ-модели

Оригинал: AI Model Access

Злоумышленник пытается получить некоторый уровень доступа к ИИ-модели.

Доступ к ИИ-модели включает техники, использующие разные виды доступа к модели. Такой доступ может применяться злоумышленником для получения информации, разработки атак, а также как способ подачи данных на вход модели. Уровень доступа может варьироваться от полного знания внутреннего устройства модели до доступа к физической среде, где собираются данные, используемые ИИ-моделью. На разных этапах атаки злоумышленник может использовать разные уровни доступа к модели — от подготовки атаки до воздействия на целевую систему.

Доступ к ИИ-модели может требовать доступа к системе, в которой размещена модель; модель может быть публично доступна через API; либо доступ может быть получен косвенно через взаимодействие с продуктом или сервисом, который использует ИИ в своих процессах.

Техники

Примеры процедур из кейсов

AML.CS0003Обход ИИ-детектора вредоносного ПО CylanceАктор: Skylight Cyber / Тактика: AML.TA0000 Доступ к ИИ-модели

Исследователи имели доступ к ПО Cylance для обнаружения вредоносного ПО с поддержкой ИИ.

AML.CS0004Атака на систему распознавания лиц через подмену видеопотока камерыАктор: Two individuals / Тактика: AML.TA0000 Доступ к ИИ-модели

Злоумышленники использовали приложение виртуальной камеры, чтобы передать сгенерированное видео в сервис распознавания лиц на основе машинного обучения, применявшийся для проверки пользователей.

AML.CS0005Атака на сервисы машинного переводаАктор: Berkeley Artificial Intelligence Research / Тактика: AML.TA0000 Доступ к ИИ-модели

Исследователи использовали публично доступное приложение не по назначению: отправляли запросы к модели и получали машинно переведенные пары предложений в качестве обучающих данных.

AML.CS0008Обход ProofPointАктор: Researchers at Silent Break Security / Тактика: AML.TA0000 Доступ к ИИ-модели

Исследователи отправили через систему множество писем, чтобы собрать выходные данные модели из заголовков.

AML.CS0009Отравление TayАктор: 4chan Users / Тактика: AML.TA0000 Доступ к ИИ-модели

Злоумышленники могли взаимодействовать с Tay через сообщения в Twitter.

AML.CS0010Нарушение работы сервиса Microsoft AzureАктор: Microsoft AI Red Team / Тактика: AML.TA0000 Доступ к ИИ-модели

Команда использовала открытый API для доступа к целевой модели.

AML.CS0011Обход ИИ на периферии MicrosoftАктор: Azure Red Team / Тактика: AML.TA0000 Доступ к ИИ-модели

Используя общедоступную версию ML-модели, команда начала отправлять запросы и анализировать ответы, то есть результаты инференса модели.

AML.CS0012Обход системы идентификации лиц с помощью физических контрмерАктор: MITRE AI Red Team / Тактика: AML.TA0000 Доступ к ИИ-модели

Команда получила доступ к API инференса целевой модели.

AML.CS0012Обход системы идентификации лиц с помощью физических контрмерАктор: MITRE AI Red Team / Тактика: AML.TA0000 Доступ к ИИ-модели

Команда разместила подготовленную наклейку в физической среде, чтобы вызвать сбои в системе идентификации лиц.

AML.CS0013Бэкдор-атака на модели глубокого обучения в мобильных приложенияхАктор: Yuanchun Li, Jiayi Hua, Haoyu Wang, Chunyang Chen, Yunxin Liu / Тактика: AML.TA0000 Доступ к ИИ-модели

На этапе инференса для запуска атаки требуется только доступ к физической среде.

AML.CS0013Бэкдор-атака на модели глубокого обучения в мобильных приложенияхАктор: Yuanchun Li, Jiayi Hua, Haoyu Wang, Chunyang Chen, Yunxin Liu / Тактика: AML.TA0000 Доступ к ИИ-модели

Это дало исследователям полный доступ к ML-модели, хотя и в скомпилированном бинарном виде.

AML.CS0014Сбивание с толку антивирусных нейронных сетейАктор: Kaspersky ML Research Team / Тактика: AML.TA0000 Доступ к ИИ-модели

На протяжении кейса исследователи использовали доступ к целевому антивирусному продукту на основе ML. Продукт сканирует файлы на системе пользователя, локально извлекает признаки, а затем отправляет их в облачный ML-детектор вредоносного ПО для классификации. Поэтому у исследователей был только доступ к самому детектору в режиме чёрного ящика, но из экстрактора признаков они могли получить ценную информацию для построения атаки.

Показано 12 из 30 примеров.