Обучение прокси-модели через репликацию

Оригинал: Train Proxy via Replication

Злоумышленники могут реплицировать закрытую модель. Многократно обращаясь к API инференса ИИ-модели жертвы, злоумышленник может собрать результаты инференса целевой модели в набор данных. Эти результаты используются как метки для офлайн-обучения отдельной модели, которая будет имитировать поведение и эффективность целевой модели.

Реплицированная модель, близко имитирующая целевую модель, является ценным ресурсом при подготовке атаки. Злоумышленник может использовать реплицированную модель для создания состязательных данных в различных целях, например для обхода ИИ-модели или заспамливания ИИ-системы шумовыми данными.

Тактики

Родительская техника

Другие подтехники родителя

Меры защиты

Примеры процедур из кейсов

AML.CS0005Атака на сервисы машинного переводаАктор: Berkeley Artificial Intelligence Research / Тактика: AML.TA0001 Подготовка атаки на ИИ

Используя эти переведенные пары предложений, исследователи обучили модель, реплицирующую поведение целевой модели.

AML.CS0008Обход ProofPointАктор: Researchers at Silent Break Security / Тактика: AML.TA0001 Подготовка атаки на ИИ

Исследователи использовали письма и собранные оценки как набор данных, на котором обучили рабочую копию модели ProofPoint. С помощью простой корреляции они определили, какая переменная оценки в целом отражает безопасность письма. В этом случае была выбрана переменная "mlxlogscore", поскольку она была связана со spam, phish и core mlx, и ее использовали как метку. Каждое значение "mlxlogscore" обычно находилось в диапазоне от 1 до 999: чем выше оценка, тем безопаснее образец. Обучение выполнялось с использованием искусственной нейронной сети (ANN) и токенизации Bag of Words.