Обход ИИ-модели
Оригинал: Evade AI Model
Злоумышленники могут создавать состязательные данные, которые мешают ИИ-модели корректно определить содержимое данных, или создавать дипфейки, обманывающие ИИ-модель, рассчитанную на подлинные данные.
Эта техника может использоваться для обхода последующей задачи, в которой применяется ИИ. Злоумышленник может обходить обнаружение вирусов или вредоносного ПО на основе ИИ либо сетевое сканирование для достижения целей традиционной кибератаки. Обход ИИ-модели с помощью дипфейков также может дать первичный доступ к системам, использующим биометрическую аутентификацию на основе ИИ.
Тактики
Меры защиты
Усиленные модели труднее обходить.
AML.M0006Использование ансамблевых методовИспользование нескольких разных моделей повышает устойчивость к атакам.
AML.M0009Использование мультимодальных сенсоровИспользование разных сенсоров может затруднить злоумышленнику компрометацию системы и получение вредоносных результатов.
AML.M0010Восстановление входных данныхПредобработка входных данных модели может предотвратить прохождение вредоносных данных через пайплайн машинного обучения.
AML.M0015Обнаружение состязательных входных данныхПредотвращает внесение злоумышленником состязательных данных в систему.
AML.M0034Обнаружение дипфейковОбнаружение дипфейков можно использовать для выявления и блокировки сгенерированного контента.
Примеры процедур из кейсов
Используя созданные образцы, мы выполнили онлайн-обход модели обнаружения шпионского ПО на основе машинного обучения. Созданные пакеты были классифицированы как безвредные с уверенностью > 80%. Эта оценка показывает, что злоумышленники способны обходить продвинутые техники обнаружения на основе машинного обучения, создавая образцы, которые ML-модель классифицирует неверно.
AML.CS0001Обход обнаружения DGA-доменов ботнетовДоменные имена, сгенерированные DGA и измененные с помощью этой техники, успешно обходят целевую модель обнаружения DGA, позволяя злоумышленнику продолжать связь со своими серверами [командования и управления](https://attack.mitre.org/tactics/TA0011/).
AML.CS0003Обход ИИ-детектора вредоносного ПО CylanceПоскольку вторичная модель переопределяла основную, исследователи фактически смогли обойти ML-модель.
AML.CS0004Атака на систему распознавания лиц через подмену видеопотока камерыЗлоумышленники успешно обошли систему распознавания лиц. Это позволило им выдать себя за жертву и подтвердить ее личность в налоговой системе.
AML.CS0005Атака на сервисы машинного переводаСостязательные примеры использовались для обхода сервисов машинного перевода разными способами. Среди них были целевые подмены слов, нецензурный вывод и пропуски предложений.
AML.CS0008Обход ProofPointВ итоге сведения, полученные с помощью "офлайн" прокси-модели, позволили исследователям создавать вредоносные письма, которые получали благоприятные оценки от реальной системы защиты электронной почты ProofPoint и тем самым обходили ее.
AML.CS0010Нарушение работы сервиса Microsoft AzureКоманда провела онлайн-атаку обхода, повторно отправив состязательные примеры, и достигла своих целей.
AML.CS0011Обход ИИ на периферии MicrosoftКрасная команда подала на вход модели это незаметно измененное изображение и смогла обойти ML-модель, добившись ошибочной классификации.
AML.CS0012Обход системы идентификации лиц с помощью физических контрмерКоманда успешно обошла модель с помощью физической наклейки, вызвав целевые ошибочные классификации.
AML.CS0013Бэкдор-атака на модели глубокого обучения в мобильных приложенияхПредъявление визуального триггера приводит к обходу модели жертвы. Исследователи показали, что это можно использовать для обхода ML-моделей в нескольких критически важных для безопасности приложениях из Google Play.
AML.CS0014Сбивание с толку антивирусных нейронных сетейИсследователи показали, что для большинства состязательных файлов антивирусная модель была успешно обойдена. На практике злоумышленник мог бы развернуть специально подготовленное вредоносное ПО и заражать системы, избегая обнаружения.
AML.CS0017Обход проверки личности ID.meМужчина собрал украденные персональные данные, включая имена, даты рождения и номера Social Security, и использовал их вместе со своими фотографиями в париках для получения поддельных водительских удостоверений. Он загружал поддельные документы вместе с селфи. Система проверки документов ID.me сопоставляла селфи с фотографией в документе, что позволяло части мошеннических заявок продвигаться дальше по процессу обработки.
AML.CS0028Подмена ИИ-модели через атаку на цепочку поставокПосле развертывания контейнерного образа злоумышленника модель может ошибочно классифицировать входные данные из-за внесенных им изменений.
AML.CS0032Попытка обхода ML-системы обнаружения фишинговых веб-страницЗлоумышленникам удалось обойти модель визуального сходства, использовавшуюся для обнаружения имитации бренда. Однако другие компоненты системы обнаружения фишинга успешно выявили эти фишинговые сайты.
AML.CS0033Обход мобильной KYC-верификации с помощью дипфейк-изображения в реальном времениИсследователи транслируют дипфейк-видеопоток через OBS и используют приложение Virtual Camera, чтобы заменить стандартную камеру этим потоком. Это позволяет успешно обойти систему распознавания лица и пройти аутентификацию под личностью жертвы.
AML.CS0034ProKYC: дипфейк-инструмент для атак с мошенническим созданием аккаунтовЗлоумышленник использовал ProKYC, чтобы заменить видеопоток с камеры дипфейк-видео с селфи. Это позволило успешно обойти KYC-проверку и пройти аутентификацию под поддельной личностью.
AML.CS0043Прототип вредоносного ПО со встроенной промпт-инъекциейLLM-инструмент обнаружения или анализа вредоносного ПО мог быть сманипулирован так, чтобы не классифицировать бинарный файл Skynet как вредоносный. Примечание: промпт-инъекция не сработала против LLM, которые тестировали Check Point Research.
AML.CS0058Извлечение ИИ-моделей из Google PhotosСостязательные данные могли использоваться для обхода или иного ухудшения работы моделей Google Photos, включая обнаружение лиц и объектов.