Künstliche Intelligenz: Umgehungstechniken und Cyber-Abwehr

(Di Orazio Danilo Russo)
19/07/21

Es widerspricht der Vorstellung von Rationalität, Geschwindigkeit, Effektivität und Effizienz, die wir aus Computern gemacht haben, aber die Realität ist, dass Systeme der künstlichen Intelligenz (KI) eine Funktion aufweisen, die dem menschlichen Analogkonzept von very sehr ähnlich ist ingenuità. Und deshalb sind sie anfällig für Täuschung und Manipulation.

Ein bisschen wie bei Menschen, wo wir oft Zeugen von Betrügereien werden, die durch das subtile Ausnutzen der Unwissenheit oder Unschuld des Opfers begangen werden, passiert es auch bei der KI während des automatischen Lernprozesses, besser bekannt unter dem Begriff der Maschinelles lernen (ML): die Fähigkeit, die Ausführung typischer Aufgaben der menschlichen Intelligenz zu erlernen, wie zum Beispiel Bildklassifizierung oder Spracherkennung.

Um dieses Problem zu beheben, wird das sogenannte Gegnerisches maschinelles Lernen (AML), der Sektor, der untersucht, wie die automatische Lernphase sicherer gemacht werden kann, um das System gegenüber Täuschungsversuchen robuster zu machen.

Für den Laien, Maschinelles Lernen umfasst eine Reihe von Techniken, die auf statistischen Ansätzen oder mathematischen Optimierungstechniken basieren, die es ermöglichen, Muster und Ähnlichkeiten zwischen Daten zu erkennen: zum Beispiel in den Ansätzen von Überwachtes Lernen, Computerlernen wird von einem Experten überwacht, der der Maschine beibringt, welche Entscheidungen sie treffen oder welche Aktionen sie bei Vorliegen eines bestimmten Ereignisses durchführen sollen; in denen von Unbeaufsichtigtes Lernenstattdessen wird der Maschine erklärt, wie sie Elemente der Gemeinsamkeit oder Vielfalt in den Informationen erkennt, aber dann wird sie allein an den Daten arbeiten gelassen; oder schließlich im Verstärkung lernen ihnen wird beigebracht, die Güte von Entscheidungen zu erkennen, die durch positives Feedback getroffen wurden, um so das verstärkende Lernen sicherzustellen.

Die Wahlgründe für einen Cyberangriff auf Künstliche Intelligenzen sind grundsätzlich drei. Zuallererst die physikalische Domäne repräsentiert durch Sensoren und Aktoren die den Dialog mit der Umwelt ermöglichen, die für uns Menschen die fünf Sinne sind, da sie zu Fehlfunktionen geschädigt werden können. Denken Sie zum Beispiel an die Tatsache, dass die Sabotage eines Mikrofons das intelligente System beim Abhören eines Sprachbefehls stört; oder dass durch Sabotage eines Relais verhindert wird, dass eine industrielle Steuerungsintelligenz den Ofen einer Gießerei bei Erreichen einer kritischen Temperatur abschaltet. Dann gibt es Angriffe, die die Schwächen der Mechanismen der digitalen Darstellung von Daten, beispielsweise durch das Ersetzen korrekter Informationen durch verschmutzte Daten. Und schließlich sind da noch die Übergriffe auf Lernalgorithmen, Computern - zum Beispiel - eine zu versteckten Zwecken manipulierte Lernmethode einzuschleusen oder andererseits zu verstehen, wie sie lernt: Schließlich geht es gerade um das Wissen, "wie" sich die Maschine selbst anleitet, es kann ihr Lernen boykottieren oder ihr Verhalten vorhersagen.

Der Angriff kann nach unterschiedlichen Techniken erfolgen: Entweder reicht er von bösartigen Trainingsmethoden über schwer fassbare Interaktionsoperationen bis hin zu hinterhältigen Explorationsverfahren.

Die erste Kategorie umfasst all diese Taktiken von Vergiftung mit denen direkt oder indirekt das erworbene Wissen oder die Lernlogik verunreinigt werden. In diesen Fällen müssen Hacker zwangsläufig heimlich auf künstliche Intelligenz zugreifen, um die im Speicher abgelegten Daten zu fälschen oder den Lernalgorithmus zu verändern. Die Folgen dieser Angriffe können sehr gravierend sein und in der physischen Welt spürbare Auswirkungen haben, wie etwa die Fälle von böswilligem Training, die Wissenschaftler der Universität Cagliari kürzlich in einer Studie über selbstfahrende Autos in Smart Cities beschrieben haben: diese Autos konnte ohne Fahrer nicht an einer Kreuzung anhalten, wenn nach einem Angriff von Etikettenmanipulation der Daten über die Erkennung des „Stopp“-Signals wurde die Intelligenz veranlasst, die Vorstellung zu berücksichtigen, die dem Anhalten des Fahrzeugs widerspricht.

Bei subtilen Explorationstechniken hingegen werden Interaktionen mit künstlicher Intelligenz durchgeführt, die darauf abzielen, die Logik der kognitiven Assimilation zu verstehen. Typisches Beispiel ist derOracle-Angriff, bei der eine begründete Reihe von Fragen an die Lernsoftware gesendet wird und durch Untersuchung des Musters der relativen Antworten ein Modell zur Vorhersage des zukünftigen Verhaltens strukturiert wird. Die Taktik gradientenbasiert Stattdessen sind sie klare Beispiele für die schwer fassbare Interaktionstechnik, mit der Intelligenz beschäftigt ist - zum Beispiel - mit visuellen Signalen, die Störungen darstellen, die durch die menschliche Wahrnehmung nicht erkennbar sind, aber ausreichend sind, um paradoxe Ergebnisse im Lernalgorithmus zu verursachen, die verhindern oder stören - genau umgehen - die Fähigkeit, Bilder zu kategorisieren. Mit anderen Worten, diese Techniken zielen darauf ab, die kleinste Anzahl von Änderungen zu identifizieren, die erforderlich sind, um ein Bild zu erstellen, das die Entscheidungsfindungsfähigkeiten des Systems durcheinander bringt.

Die Forschung hat bereits geeignete Abwehrstrategien entwickelt. Um beispielsweise verstecktem und bösartigem Training entgegenzuwirken, wurden Verschlüsselungsalgorithmen für Speicherpartitionen entwickelt, die die erlernten Begriffe oder die Lernlogik enthalten; Um sich vor schwer fassbaren Interaktionen zu schützen, wurden Gegenmaßnahmen entwickelt, die die Empfindlichkeit gegenüber Störungen tendenziell verringern - eine Art digitales Anästhetikum, das die Anfälligkeit für irreführende Artefakte reduziert, besser bekannt in Cybersicherheitsumgebungen unter dem Begriff Verlaufsmaskierung - oder Beispiele für störende Signale werden in die Trainingsdatenbank eingespeist, so dass sie als bösartig erkannt und daher verworfen werden (sog Gegnerisches Training); und schließlich, um die künstliche Intelligenz vor den Taktiken der hinterhältigen Erkundung zu schützen, wird gelehrt, die Aktionen des Überwachens, Testens und Kontrollierens von Gegnern im Netzwerk zu erkennen.

Kurzum, die Forschung macht enorme Fortschritte, um intelligente Systeme sicherer und widerstandsfähiger zu machen und gleichzeitig die Abhängigkeit von menschlicher Kontrolle aufrechtzuerhalten: Letztere ist ein wesentliches Thema, insbesondere für jene Künstliche Intelligenzen mit kritischer Wirkung, die etwa Rüstungsmaterialien und zu Gütern mit doppeltem Verwendungszweck, die zur Entwicklung verwendet werden Tödliche autonome Waffensysteme (LAWS), sozusagen intelligente Waffensysteme, deren Einsatz und Wirkung immer und in jedem Fall klaren und bestimmbaren menschlichen Verantwortlichkeiten, sowohl des Staates als auch des Einzelnen, zuzurechnen bleiben müssen.

Um mehr zu erfahren:

https://smartcities.ieee.org/newsletter/june-2021/explainable-machine-le...

https://gradientscience.org/intro_adversarial/

https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8269-draft.pdf