Yapay zeka (AI) ve makine öğrenimi (Makine Öğrenimi) uzmanları, birçok yapay zeka hizmetinin modellerini derin öğrenme yeteneklerini eğitmek için kullanılan büyük veri kümelerini baltalayabilen veri “zehirleme” saldırıları riskine karşı uyarıda bulunuyor.
Saldırganlar, derin öğrenme modelleri oluşturmak için kullanılan eğitim verilerini kurcaladığında veri zehirlenmesi meydana gelir. Bu eylem, yapay zeka tarafından alınan kararları takibi zor bir şekilde etkilemenin mümkün olduğu anlamına gelir.
Veri zehirlenmesi saldırıları, makine öğrenimi algoritmalarını eğitmek için kullanılan kaynak bilgileri değiştirerek son derece güçlü olabilir. Çünkü yapay zeka yanlış verilerden ders çıkarıyor ve bu nedenle önemli sonuçları olan “kötü” kararlar verebiliyor.
Bölünmüş görünüm zehirlenmesi, küçük ama güçlü
Ancak, şu anda web ölçeğindeki veri kümelerinin zehirlenmesini içeren gerçek saldırılara dair bir kanıt yok. Ancak Google, ETH Zurich, NVIDIA ve Robust Intelligence’tan bir grup AI ve makine öğrenimi araştırmacısı, zehirlenme saldırılarının olasılığını gösterdi en büyük makine öğrenimi modellerini eğitmek için kullanılan web ölçeğindeki veri kümelerinde kötü amaçlı örneklerin görünmesini “garanti eder”.
“Büyük derin öğrenme modelleri dirençli olsa da, eğitim setlerindeki küçük miktarlardaki ‘gürültü’ (yani zehir saldırısı) bile modelin davranışına hedeflenen hataları sokmak için yeterlidir.’, araştırmacıları uyarın.
Araştırmacılar, veri kümelerinin çalışma biçiminden yararlanmak için geliştirdikleri teknikleri kullanarak, çok az çaba ve düşük maliyetle en büyük derin öğrenme veri kümelerinin %0,01’ini zehirleyebileceklerini söylediler. % 0,01 çok fazla veri seti gibi görünmese de, araştırmacılar “bir modeli zehirlemek için yeterli” olduğu konusunda uyarıyorlar.
Bu saldırı “bölünmüş görünüm zehirlenmesi” olarak bilinir. Bir saldırgan, belirli bir veri kümesi tarafından dizine eklenmiş bir web kaynağının denetimini ele geçirmeyi başarırsa, toplanan verileri zehirleyerek, tüm algoritmayı olumsuz etkileme potansiyeliyle hatalı hale getirebilir.
Her zaman süresi dolmuş alan adlarından gelen trafik
Saldırganların bu hedefe ulaşmasının bir yolu, süresi dolmuş alan adlarını satın almaktır. Alan adları düzenli olarak sona erer ve daha sonra başka biri tarafından satın alınabilir, bu da bir veri zehirleyici için mükemmel bir fırsat sağlar. Araştırmacılar, “Düşmanın, istemcilerin gelecekte kaynağı ne zaman indireceğini tam olarak bilmesine gerek yok: etki alanına sahip olarak, düşman gelecekteki indirmelerin zehirli verileri toplayacağını garanti ediyor” dedi.
Araştırmacılar, bir alan adı satın almanın ve onu kötü amaçlarla kullanmanın yeni bir fikir olmadığına dikkat çekiyor. Siber suçlular bunu kötü amaçlı yazılım yaymak için kullanır. Ancak farklı amaçlara sahip saldırganlar, potansiyel olarak büyük bir veri kümesini zehirleyebilir.
Önden giden zehirlenme, Wikipedia’nın vebası
Ek olarak, araştırmacılar “önden çalışan zehirlenme” adını verdikleri ikinci bir saldırı türünü ayrıntılı olarak açıkladılar.
Bu durumda, saldırgan belirli veri kümesi üzerinde tam denetime sahip değildir, ancak veri kümesinin anlık görüntüsüne dahil edilmek üzere bir web kaynağına ne zaman erişileceğini doğru bir şekilde tahmin edebilir. Saldırgan bu bilgiyle, bilgi toplanmadan hemen önce veri kümesini zehirleyebilir.
Bilgi sadece birkaç dakika sonra orijinal, manipüle edilmemiş formuna dönse bile, kötü niyetli saldırı etkinken alınan anlık görüntüde veri kümesi yine de yanlış olacaktır.
Makine öğrenimi için eğitim verilerini bulmak için en yaygın kullanılan kaynaklardan biri Wikipedia’dır. Ancak Wikipedia’nın doğası, herkesin onu düzenleyebileceği anlamına gelir ve araştırmacılara göre, bir saldırgan “Wikipedia’daki bir eğitim setini kötü niyetli düzenlemeler yaparak zehirleyebilir”.
Anlık görüntüleri tahmin edin, enfeksiyonu kazanmanın anahtarı
Vikipedi’nin veri kümeleri canlı sayfaya değil, belirli bir zamanda alınan anlık görüntülere dayalıdır, yani doğru zamanda müdahale eden saldırganlar kötü niyetli olarak sayfayı değiştirebilir ve modeli veri toplamaya zorlayabilir. veri kümesi kalıcı olarak
“Bir Wikipedia sayfasının bir sonraki anlık görüntüye dahil edilmek üzere ne zaman kullanılacağını tahmin edebilen bir saldırgan, hurdaya çıkarmadan hemen önce zehirlenme gerçekleştirebilir. Canlı sayfada düzenleme hızla geri alınsa bile, anlık görüntü kötü amaçlı içeriği sonsuza kadar içerecektir.” araştırmacılar yazdı.
Wikipedia’nın anlık görüntüler oluşturmak için iyi belgelenmiş bir protokol kullanması, makale anlık görüntülerinin zamanlarını büyük bir doğrulukla tahmin etmenin mümkün olduğu anlamına gelir. Araştırmacılar, bu protokolden yararlanarak Wikipedia sayfalarını %6,5’lik bir başarı oranıyla zehirlemenin mümkün olduğunu öne sürüyorlar.
Bu yüzde düşük görünebilir, ancak Wikipedia sayfalarının sayısı ve bunların makine öğrenimi veri kümelerini eğitmek için kullanılma biçimleri, modelleri yanlış bilgilerle beslemenin mümkün olacağı anlamına gelir.
Araştırmacılar, hiçbir Vikipedi sayfasını canlı olarak değiştirmediklerini ve sorumlu ifşa sürecinin bir parçası olarak Wikipedia’yı saldırılar ve bunlara karşı olası savunma yolları hakkında bilgilendirdiklerini belirtiyorlar. ZDNET, yorum için Wikipedia ile iletişime geçti. Araştırmacılar ayrıca makalenin yayınlanmasının amacının, güvenlik alanındaki diğer kişileri yapay zeka ve makine öğrenimi sistemlerini kötü niyetli saldırılara karşı nasıl savunacaklarına dair kendi araştırmalarını yürütmeye teşvik etmek olduğunu belirtiyor.
Belgede, “Çalışmamız, topluluğun web ölçeğindeki verilerden kalıp oluşturma risklerini daha iyi anlaması için yalnızca bir başlangıç noktasıdır” diyor.
Kaynak : “ZDNet.com”