Cos’è un Adversarial Machine Learning Attack o Attacco all'apprendimento automatico
- annalamboglia
- 12 gen 2021
- Tempo di lettura: 6 min
Aggiornamento: 16 apr 2024
L'avvento dell'intelligenza artificiale (IA) e del machine learning (ML) ha portato a incredibili progressi in molteplici settori, dall'e-commerce alla sanità, dalla sicurezza informatica alla produzione industriale.
Affrontare le Minacce Emergenti nell'Intelligenza Artificiale: Strategie di Difesa contro gli Attacchi Adversarial
In questo contesto, è fondamentale per le aziende e gli esperti del settore comprendere appieno le minacce che queste tecnologie possono affrontare e sviluppare strategie di difesa efficaci per proteggere i propri sistemi e dati sensibili.
Nel presente articolo, esploreremo in dettaglio le varie tipologie di attacchi adversarial, comprendendo come funzionano e quali possono essere le loro conseguenze. Analizzeremo anche le strategie di difesa più avanzate disponibili per contrastare queste minacce emergenti, con un'attenzione particolare alla sensibilizzazione del personale e all'implementazione di controlli di sicurezza multipli.
Attraverso una comprensione approfondita delle sfide e delle opportunità associate all'utilizzo dell'IA e del ML, possiamo creare un ambiente più sicuro e resiliente, garantendo che queste tecnologie possano continuare a svolgere un ruolo fondamentale nello sviluppo futuro della nostra società.
Indice :
Machine Learning, non solo vantaggi
Al giorno d’oggi, L’intelligenza artificiale (AI) e il Machine Learning (ML) vengono sempre più utilizzate nella maggior parte delle applicazioni intorno a noi, come ad esempio i “consigliati” di Netflix, i chatbot di Facebook, i “raccomandati” di Amazon, ecc...
Ciò consente a molte aziende di migliorare l’esperienza per gli utenti, rafforzare il loro business e soprattutto aumentare il fatturato.
Spesso quindi associamo a queste tecnologie soltanto dei vantaggi, quasi come se fossero una “pentola d’oro” per le aziende.
Purtroppo è necessario tenere presente che tali tecnologie tendono ad essere abbastanza vulnerabili e possono essere facilmente soggette a manipolazioni.
I ricercatori di cybersecurity, definiscono questa materia come “Adversarial Machine Learning”, e di seguito andremo a spiegare in cosa consiste principalmente un attacco adversarial.
Come funziona un attacco adversarial?
Supponete di avere un’immagine x, ad esempio quella di un panda ed il vostro classificatore riesce facilmente a riconoscere cosa c’è nell’immagine.
Gli attacchi adversarial non fanno altro che aggiungere a questa immagine un rumore impercettibile all’occhio umano tale che il classificatore non riesca più a riconoscere l’immagine originale.
[10] Christian Szegedy, W. Z. (2014, February 19). Intriguing properties of neural networks. Tratto da Cornell University: https://arxiv.org/abs/1312.6199
Come calcolo il rumore?
Ci sono varie tecniche per calcolare il rumore che permette di effettuare tali attacchi, ma quello più utilizzato è il Fast Gradient Sign Method (FGSM) definito da questa formula:
In questa equazione ε determina la quantità di rumore aggiunta e c(f(x),y) è la funzione di costo, ossia una misura di quanto il risultato ottenuto è lontano dalla soluzione prevista.
Quali sono le varie tipologie di attacchi?
Gli attacchi adversarial possono essere suddivisi in varie categorie, ma la distinzione principale da fare riguarda in che parte del processo avviene l’attacco.
1) Poisoning Attack
Si verifica quando l'avversario è in grado di iniettare dati avvelenati in fase di training del modello in modo da fargli imparare qualcosa che non dovrebbe.
L’attaccante può agire influenzando l’algoritmo di ML in fase di addestramento nei seguenti modi:
Inserendo “dati avvelenati”: l’attaccante, non potendo accedere ai dati in input, inserisce nel dataset dei campioni “adversarial”, modificando l’accuratezza del modello;
Modificando i dati in input: in questo caso l’attaccante ha accesso al dataset di training e può modificare i campioni, in modo da alterare drasticamente il funzionamento del modello;
Alterando l’algoritmo: in questo caso l’attaccante riesce ad agire direttamente sull’algoritmo che crea il modello, modificandolo secondo i suoi scopi;
Alterando il modello: l’attaccante non fa altro che sostituire il modello funzionale con quello avvelenato.
2) Evasion Attacks
Questa tipologia di attacchi avviene in fase di testing, in quanto l’attaccante non agisce sul modello interno del sistema, ma altera il dato di input in fase di caricamento, modificando il risultato del classificatore.
Si tratta della tipologia di attacco più comune nel ML.
Gli advesarial attacks possono essere suddivisi anche a seconda della conoscenza dell’attaccante del modello e l’obiettivo dell’attacco.
3) Knowledge Specific Attacks
Gli attacchi possono essere di due categorie: attacchi White-box ed attacchi Black-box.
Negli attacchi White-box, l’avversario ha una conoscenza completa del modello creato dall’algoritmo di addestramento, dei dati di training e di testing e degli hyperparameters (ossia dei parametri utilizzati per il controllo del processo di apprendimento) e può utilizzare tutte queste informazioni o parte di esse per manipolare il sistema.
Negli attacchi Black-box, invece, l’attaccante non ha accesso oppure ha soltanto un accesso parziale al modello ed utilizza le informazioni ricavate con l’intento di esaminare la vulnerabilità del sistema.
4) Intent Specific Attacks
Se l’attaccante vuole fare sì che l’output sbagliato appartenga ad una particolare classe, l’attacco si può definire targeted (mirato), se invece il suo scopo è semplicemente quello di alterare il modello l’attacco può essere definito no-targeted (non mirato).
L’attacco infatti può essere di vari tipi:
Confidence reduction: l’attaccante sceglie di non colpire una determinata classe, ma di ridurre la fiducia del modello in termini di bontà della previsione, ossia modifica la confidenza del modello nel credere che l’output ottenuto sia realmente il risultato atteso.
Attacco adversarial non mirato: l'obiettivo dell'attacco è modificare il dato in input in modo che il classificatore fornisca un risultato sbagliato.
Attacco adversarial mirato: l'obiettivo dell'attacco è modificare il dato in input, in modo che l’output in uscita sia quello forzato dall’attaccante.
Strategie di Difesa contro gli Attacchi Adversarial (Difese contro gli attacchi adversarial)
Gli attacchi adversarial rappresentano una minaccia significativa nell'ambito dell'intelligenza artificiale e del machine learning. Tuttavia, esistono diverse strategie di difesa che possono essere adottate per mitigare questo rischio crescente. Una delle strategie più efficaci è l'implementazione di controlli di sicurezza multipli lungo l'intero processo di sviluppo e implementazione del modello. Questi controlli possono includere la verifica dell'integrità dei dati di addestramento, l'analisi approfondita dei risultati del modello e l'implementazione di algoritmi di rilevamento degli attacchi.
L'utilizzo di modelli di machine learning più robusti e resilienti può contribuire a ridurre la suscettibilità agli attacchi adversarial. È essenziale che le aziende adottino una mentalità proattiva nei confronti della sicurezza dell'intelligenza artificiale e investano in risorse dedicate alla ricerca e allo sviluppo di nuove strategie di difesa.
L'Importanza della Consapevolezza sulla Sicurezza dell'IA (Sicurezza nell'intelligenza artificiale)
Uno degli aspetti spesso trascurati nella difesa contro gli attacchi adversarial è la consapevolezza e la formazione del personale. È importante che gli sviluppatori, gli ingegneri e gli utenti finali comprendano i rischi associati all'utilizzo di modelli di machine learning e siano in grado di riconoscere segnali di possibili attacchi. La sensibilizzazione sulla sicurezza dell'IA dovrebbe essere parte integrante dei programmi di formazione aziendale, con un focus specifico sui metodi utilizzati dagli attaccanti e sulle migliori pratiche per mitigare tali minacce. Oltre a ciò, è importante mantenere una comunicazione aperta e trasparente all'interno dell'organizzazione per garantire che tutti i dipendenti siano informati sugli ultimi sviluppi e le sfide legate alla sicurezza dell'IA.
Conclusioni
Bene, abbiamo parlato un po’ delle varie tipologie di attacchi adversarial.
Probabilmente ti starai chiedendo se e come è possibile contrastare tali attacchi.
Ad oggi le tecniche difensive non risultano ancora robuste ed efficaci a tutte le tipologie di attacchi e sono ancora oggetto di studio di numerosi ricercatori.
E tu avevi già sentito parlare degli adversarial attacks?
Credi che le aziende saranno più restie ad applicare algoritmi di Machine Learning nei loro business oppure gli attacchi possono essere considerati un piccolo lato negativo in confronto alle numerose potenzialità dell’intelligenza artificiale? Facci sapere nei Commenti.
1. Quali sono le migliori strategie per difendersi dagli attacchi adversarial nell'ambito dell'intelligenza artificiale?
Le migliori strategie di difesa includono l'implementazione di controlli di sicurezza multipli, l'utilizzo di modelli di machine learning più robusti e la sensibilizzazione del personale sulla sicurezza dell'IA.
2. Qual è l'importanza della consapevolezza sulla sicurezza dell'IA all'interno delle organizzazioni?
La consapevolezza sulla sicurezza dell'IA è fondamentale per riconoscere i rischi associati all'utilizzo di modelli di machine learning e adottare misure preventive per proteggere i sistemi da potenziali attacchi.
3. Quali sono i principali aspetti da considerare nella formazione del personale sulla sicurezza dell'IA?
La formazione del personale dovrebbe includere una comprensione dei rischi legati agli attacchi adversarial, i metodi utilizzati dagli attaccanti e le migliori pratiche per mitigare tali minacce.
4. Come possono le aziende promuovere una cultura della sicurezza dell'IA all'interno delle proprie organizzazioni?
Le aziende possono promuovere una cultura della sicurezza dell'IA attraverso programmi di formazione dedicati, comunicazione aperta e trasparente e l'implementazione di politiche e procedure di sicurezza robuste.
5. Qual è il ruolo delle strategie di difesa nell'affrontare le minacce emergenti nell'ambito dell'intelligenza artificiale?
Le strategie di difesa svolgono un ruolo cruciale nell'affrontare le minacce emergenti nell'ambito dell'intelligenza artificiale, contribuendo a proteggere i sistemi e garantire la sicurezza delle operazioni aziendali.
Grazie mille per la lettura !
.png)
Grazie Anna, sei stata chiarissima.
Allora probabilmente intendi un attacco al tuo profilo Amazon dal punto di vista delle credenziali non ti saprei dire, perché non credo ci siano meccanismi di ML lì. Però ad esempio per il face id potrebbero cambiare con un attacco targhettizzato il risultato della "scansione" facciale di un' altra persona e farla accedere al posto tuo. Per Amazon invece potresti pensare ad un attacco dei meccanismi di upsell dei prodotti, che in realtà è molto importante per le vendite, ad esempio apri il tuo profilo e i prodotti correlati o consigliati sono totalmente sbagliati per te e finisci per non comprare nulla. Stessa cosa per gli algoritmi del ranking della ricerca, potrebbero favorire un "venditore fasullo" mettendolo prima di altri.
Grazie Anna, articolo molto interessante. Vorrei chiederti un approfondimento.
Potresti farmi qualche esempio di hacheraggio calato nella realtà quotidiana?
Mi risulta difficile capire come ad esempio si possa avere un attacco sul proprio profilo Amazon, spero di essermi spiegato!
Grazie.
Proprio oggi ho commentato un articolo riportato dal quotidiano web "la repubblica" titolato "Nei robot si accende la prima scintilla dell'empatia"... riportando a tal proposito riferimenti inerenti questo tema (GAN - VAE GAN - cycle GAN ecc.) sottolineando che una cosa sono gli algoritmi ed un'altra è l'empatia animale... ( i robot non possono avere una forma di intelligenza emozionale)....
Articolo veramente interessante, soprattutto su un argomento ancora poco conosciuto, complimenti 👨💻