Отравление обучающих данных

Оригинал: Poison Training Data

Злоумышленники могут пытаться отравить наборы данных, используемые ИИ-моделью, изменяя исходные данные или их метки.

Это позволяет злоумышленнику встроить в ИИ-модели, обученные на этих данных, уязвимости, которые может быть трудно обнаружить.

Атаки отравления данных могут требовать или не требовать изменения меток.

Встроенная уязвимость активируется позднее образцами данных с бэкдор-триггером.

Отравленные данные могут быть внедрены через компрометацию цепочки поставок ИИ, либо данные могут быть отравлены после того, как злоумышленник получит первичный доступ к системе.

Тактики

Меры защиты

Примеры процедур из кейсов

AML.CS0002Отравление VirusTotalАктор: Unknown / Тактика: AML.TA0006 Закрепление

Несколько вендоров начали классифицировать файлы как относящиеся к этому семейству программ-вымогателей, хотя большинство из них не запускались. Мутированные образцы отравили набор данных, который модели машинного обучения используют для выявления и классификации этого семейства программ-вымогателей.

AML.CS0009Отравление TayАктор: 4chan Users / Тактика: AML.TA0006 Закрепление

Многократно взаимодействуя с Tay с использованием расистской и оскорбительной лексики, злоумышленники смогли сместить набор данных Tay в сторону такой же лексики. Для этого они использовали функцию "repeat after me" — команду, которая заставляла Tay повторять все, что ей говорили.

AML.CS0025Отравление крупномасштабных веб-датасетов: атака split-viewАктор: Researchers from Google Deepmind, ETH Zurich, NVIDIA, Robust Intelligence, and Google / Тактика: AML.TA0003 Подготовка ресурсов

Злоумышленник может подготовить отравленные обучающие данные, чтобы подменить недоступные фрагменты датасета.