Gegnerische Angriffe

Wie gegnerische Angriffe funktionieren

Der Kerngedanke hinter Angriffen ist, die Art und Weise auszunutzen, wie Modelle lernen und Entscheidungen treffen. Modelle, vor allem komplexe Modelle wie Neuronale Netze (NN), lernen Muster aus riesigen Datenmengen. Angreifer nutzen das Wissen über das Modell (White-Box-Angriffe) oder beobachten sein Eingabe-Ausgabe-Verhalten (Black-Box-Angriffe), um kleine Änderungen an einer Eingabe zu finden, die die Entscheidung des Modells über eine Grenze hinausschieben und so zu einem Fehler führen. So kann zum Beispiel die geringfügige Änderung von Pixeln in einem Bild oder von Wörtern in einem Satz das Ergebnis des Modells drastisch verändern, während es für einen menschlichen Beobachter normal erscheint.

Beispiele und Anwendungen aus der realen Welt

Angriffe durch Angreifer stellen für verschiedene KI-Anwendungen ein spürbares Risiko dar:

1. Computer Vision (CV): Bei der Objekterkennung könnte ein Angreifer sorgfältig gestaltete Aufkleber auf einem Stoppschild anbringen, die das Sichtsystem eines autonomen Fahrzeugs veranlassen, möglicherweise mit Modellen wie Ultralytics YOLOverwendet, das Schild fälschlicherweise als Geschwindigkeitsbegrenzungsschild klassifizieren oder es gar nicht erkennen. Dies hat schwerwiegende Auswirkungen auf die Sicherheit von KI-Lösungen im Automobilbereich. Auch Gesichtserkennungssysteme können durch gegnerische Muster auf Brillen oder Kleidung ausgetrickst werden.
2. Natürliche Sprachverarbeitung (NLP): Spam-Filter können umgangen werden, indem in bösartige E-Mails subtil veränderte Zeichen oder Synonyme eingefügt werden, die den Klassifikator täuschen. Content-Moderationssysteme, die Sentiment-Analysen durchführen, können auf ähnliche Weise umgangen werden, sodass schädliche Inhalte durchschlüpfen können.
3. Medizinische Bildanalyse: Unerwünschtes Rauschen, das medizinischen Scans hinzugefügt wird, könnte zu Fehldiagnosen führen, zum Beispiel dazu, dass ein Modell einen Tumor nicht erkennt oder einen gutartigen Tumor fälschlicherweise als bösartig einstuft, was Auswirkungen auf die KI im Gesundheitswesen hat.

Arten von gegnerischen Angriffen

Es gibt verschiedene Methoden, um Gegenbeispiele zu generieren, darunter:

• Schnelle Gradienten-Vorzeichen-Methode (FGSM): Eine einfache und schnelle Methode, die den Gradienten der Verlustfunktion in Bezug auf den Input nutzt, um Störungen zu erzeugen.
• Projektierter Gradientenabstieg (PGD): Eine iterative Methode, die im Allgemeinen leistungsfähiger ist als FGSM und mehrere kleine Schritte benötigt, um effektive Störungen zu finden.
• Carlini & Wagner (C&W) Angriffe: Eine Familie von optimierungsbasierten Angriffen, die oft sehr effektiv, aber rechenintensiv sind.

Verteidigung gegen gegnerische Angriffe

Der Schutz von KI-Modellen umfasst mehrere Verteidigungsstrategien:

• Adversariales Training: Anreicherung der Trainingsdaten mit gegnerischen Beispielen, um das Modell robuster zu machen.
• Defensive Destillation: Training eines Modells anhand der Wahrscheinlichkeitsausgänge eines anderen robusten Modells, das für dieselbe Aufgabe trainiert wurde.
• Vorverarbeitung/Transformation der Daten: Anwendung von Techniken wie Glättung oder Datenerweiterung während der Datenvorverarbeitung, um potenziell störendes Rauschen zu entfernen, bevor der Input in das Modell eingespeist wird.
• Modell-Ensembles: Vorhersagen aus mehreren Modellen kombinieren, um die Robustheit zu verbessern.
• Spezialisierte Toolkits: Mit Bibliotheken wie der IBM Adversarial Robustness Toolbox kannst du die Robustheit von Modellen testen und Abwehrmaßnahmen implementieren. Plattformen wie Ultralytics HUB können dabei helfen, Datensätze systematisch zu verwalten und Experimente während der Entwicklung robuster Modelle zu verfolgen.

Adversarische Angriffe im Vergleich zu anderen KI-Sicherheitsbedrohungen

Angriffe durch Angreifer zielen speziell auf die Integrität der Entscheidungsfindung des Modells zur Inferenzzeit ab, indem sie die Eingaben manipulieren. Sie unterscheiden sich von anderen KI-Sicherheitsbedrohungen, die in Rahmenwerken wie den OWASP AI Security Top 10 beschrieben werden:

• Datenverfälschung: Dabei werden die Trainingsdaten verfälscht, um das Modell während seiner Lernphase zu kompromittieren, Hintertüren zu schaffen oder die Leistung zu verringern.
• Modellinversion/Extraktion: Angriffe, die darauf abzielen, das Modell selbst oder darin eingebettete sensible Informationen zu stehlen und damit geistiges Eigentum oder den Datenschutz zu verletzen.
• Algorithmische Voreingenommenheit: Dies ist zwar auch ein kritisches Problem im Zusammenhang mit der KI-Ethik, aber die Voreingenommenheit ist in der Regel auf verzerrte Daten oder fehlerhafte Annahmen zurückzuführen, die zu ungerechten Ergebnissen führen, und nicht auf eine böswillige Manipulation der Eingaben bei der Inferenz. Gute Datensicherheitspraktiken sind entscheidend, um verschiedene Bedrohungen abzuschwächen.

Die Zukunft der Angriffe und Verteidigungen von Angreifern

Das Feld der gegnerischen ML ist ein dynamisches Wettrüsten, bei dem ständig neue Angriffe und Verteidigungen entstehen. Die Forschung konzentriert sich auf die Entwicklung immer ausgefeilterer Angriffe (z. B. physisch realisierbare Angriffe, Angriffe auf verschiedene Modalitäten) und universell einsetzbarer, robuster Verteidigungsmaßnahmen. Um vertrauenswürdige Deep-Learning-Systeme zu entwickeln, ist es wichtig, diese sich entwickelnden Bedrohungen zu verstehen. Die Einbeziehung von Prinzipien der erklärbaren KI (Explainable AI, XAI) kann helfen, die Schwachstellen von Modellen zu verstehen, während die Einhaltung einer strengen KI-Ethik eine verantwortungsvolle Entwicklung leitet. Organisationen wie das NIST und Unternehmen wie Google und Microsoft tragen aktiv zu Forschung und Richtlinien bei. Kontinuierliche Wachsamkeit und Forschung gewährleisten Modelle wie Ultralytics YOLO11 eine hohe Genauigkeit und Zuverlässigkeit im realen Einsatz gewährleisten. In den umfassendenUltralytics erfährst du mehr über die besten Praktiken für sicheres Modelltraining und -einsatz.