5 adversarial attack sull’IA che mostrano che le macchine hanno più da temere dalle persone che viceversa
Un chiaro esempio del potere ancora ineguagliato della mente umana è la nostra capacità di immaginare come le macchine potrebbero usare gli adversarial attack sull’intelligenza artificiale (IA) per attaccare, dominare e, eventualmente, anche schiavizzare l’umanità. Oggi in realtà è possibile solo il contrario.
Il termine “IA” oggi è usato per riferirsi al machine learning
“Penso che molte persone associno i pericoli dell’IA a cose come i robot killer perché confondono l’IA con l’intelligenza artificiale generale che vedono in TV e nei film. Ma l’IA è diversa e molto più avanzata rispetto a quella che è in uso oggi, che è fondamentalmente solo una funzione che un computer è stato addestrato a eseguire da solo”, spiega Andy Patel. “Il termine ‘IA’ è usato oggi per riferirsi all’apprendimento automatico, che è il processo di addestramento di una funzione – non un computer – per eseguire un compito.”
Andy è un ricercatore del centro di eccellenza per l’intelligenza artificiale di F-Secure e un importante contributor di “Security Issues, Dangers and Implications of Smart Information Systems”, un nuovo studio pubblicato dal consorzio SHERPA – un progetto finanziato dall’UE a cui F-Secure partecipa dal 2018.
Cosa ci dicono gli scenari di attacchi IA
Nella sezione “Adversarial attacks against AI”, lo studio spiega i tipi e i modi per affrontare i sistemi di intelligenza artificiale. Mentre molti degli obiettivi di questi attacchi rimangono teorici, molti sono già possibili e si verificano da anni. Molti altri sono inevitabili, soprattutto data la corsa spesso sconsiderata per portare i prodotti sul mercato, il che può portare a vulnerabilità non indirizzate, sia note che sconosciute.
Dopo aver esaminato i tipi e le classi di attacco che esistono contro l’intelligenza artificiale, lo studio fa luce su una serie di scenari per dare a ricercatori, ingegneri, responsabili delle politiche e individui interessati all’IA come te un senso di ciò che stiamo già vedendo e di ciò che è possibile.
Scenario di attacco: screditare un’azienda o un marchio agendo sulla funzionalità di completamento automatico di un motore di ricerca
Un avversario utilizza un attacco Sybil per colpire la funzione di completamento automatico di un browser Web in modo che suggerisca la parola “frode” alla fine di una frase completata automaticamente con il nome di una società target in essa contenuta. L’azienda presa di mira non nota l’attacco per un po’ di tempo, ma alla fine scopre il problema e lo corregge. Tuttavia, il danno è già stato fatto e risulta in un impatto negativo a lungo termine sull’immagine del marchio. Questo è un attacco all’integrità (e oggi è già possibile).
Gli attacchi Sybil utilizzano più account “sock puppet” controllati da una singola entità per violare l’integrità di un sistema. Sono utilizzati per promuovere prodotti o contenuti, per ridurre la popolarità di prodotti e contenuti e per il social engineering per guidare un utente verso contenuti specifici.
Si tratta di attacchi così comuni che esiste un’intera industria a supporto.
Scenario di attacco: eseguire un attacco mirato contro un individuo usando comandi vocali nascosti
Un utente malintenzionato incorpora comandi vocali nascosti nei contenuti video, li carica in un popolare servizio di condivisione video e promuove artificialmente il video (utilizzando un attacco Sybil). I comandi vocali nascosti vengono utilizzati per istruire con successo un dispositivo digitale per la smart home per acquistare un prodotto senza che il proprietario lo sappia, istruire gli elettrodomestici intelligenti a modificare le impostazioni (ad esempio, accendere il fornello, spegnere le luci o sbloccare la porta anteriore), oppure istruire un dispositivo informatico nelle vicinanze per eseguire ricerche di contenuti incriminanti (come droghe o pornografia infantile) senza che il proprietario ne sia a conoscenza (permettendo all’autore dell’attacco di ricattare successivamente la vittima). Questo è un availability attack.
Questo attacco specifico non è ancora stato visto. Ma sappiamo che è possibile grazie ad un esperimento dell’agosto 2018. I ricercatori dell’Istituto Horst Görtz per la sicurezza informatica in Bochum (Germania) hanno eseguito degli attacchi psicoacustici contro i sistemi di riconoscimento vocale, nascondendo i comandi vocali nell’audio del cinguettio degli uccelli.
Scenario di availability attack: assumere un controllo capillare degli assistenti digitali domestici
Scenario: prendere il controllo diffuso degli assistenti digitali domestici. Un hacker contraffa una telefonata “rubata” che descrive un’interazione scandalosa plausibile che coinvolge politici e uomini d’affari di alto rango. L’audio contraffatto contiene comandi vocali nascosti incorporati. Il messaggio viene trasmesso durante le notizie serali sui canali TV nazionali e internazionali. L’attaccante ottiene la possibilità di emettere comandi vocali per gli assistenti domestici o altri sistemi di controllo del riconoscimento vocale (come Siri) su scala potenzialmente enorme. Questo è un availability attack.
Anche questo è un attacco teorico. Ma episodi in cui Siri è stato attivato in modo quasi casuale sono comuni e la rapida adozione di dispositivi attivati dalla voce continua a creare una superficie d’attacco sempre più ampia per tali attacchi.
Scenario di availability attack: eludere i sistemi di rilevamento di notizie false per alterare il discorso politico
Il rilevamento di notizie false è un problema relativamente difficile da risolvere con l’automazione, e quindi, le soluzioni di rilevamento di notizie false sono ancora agli inizi. Man mano che queste tecniche migliorano e le persone iniziano a fare affidamento sui verdetti dei servizi di rilevamento di notizie false di fiducia, ingannare tali servizi, e in momenti strategici, sarebbe un modo ideale per iniettare false narrazioni in discorsi politici o sociali. In tale scenario, un utente malintenzionato creerebbe un articolo di notizie fittizio basato su eventi attuali e lo altererebbe in senso avverso per eludere i noti sistemi di rilevamento di notizie false. L’articolo troverebbe quindi la sua strada nei social media, dove probabilmente si diffonderebbe viralmente prima che possa essere controllato manualmente. Questo è un availability attack.
Questo può sembrare inverosimile, ma è un salto tecnologico relativamente semplice dagli attacchi che abbiamo già visto.
Oggi i modelli di elaborazione del linguaggio naturale (NLP) sono ampiamente utilizzati per aiutare i computer a comprendere il linguaggio umano. Ricercatori anonimi che hanno presentato alla Conferenza internazionale sulle rappresentazioni dell’apprendimento, insieme ai ricercatori dell’UCLA, hanno recentemente dimostrato come i modelli NLP possano essere ingannati in qualche modo con l’uso di sinonimi.
Un nuovo studio suggerisce che l’uso della propaganda sui social media potrebbe aver già influenzato una elezione importante. Quindi dobbiamo presumere che nel prossimo futuro verranno implementate nuove tecniche che potrebbero essere in grado di evitare il rilevamento rapido.
Scenario di attacco: dirottamento di droni militari autonomi
Usando un adversarial attack contro un modello di apprendimento di rinforzo, i droni militari autonomi sono costretti ad attaccare una serie di bersagli non intenzionali, causando la distruzione di proprietà, la perdita di vite umane e l’escalation di un conflitto militare. Questo è un availability attack.
Questo è forse l’esempio che sembra più strappato alla fantascienza o ad un film di James Bond. Ma è probabile che oggi sia possibile utilizzare gli stessi processi che potrebbero essere utilizzati per attaccare un videogioco.
L’apprendimento di rinforzo viene utilizzato per addestrare “sistemi di raccomandazione, veicoli a guida autonoma, robotica e giochi” per eseguire azioni basate sul loro ambiente.
Il rapporto spiega che gli enchanting attacks contro i modelli di rinforzo possono modificare più input per distrarre dal completamento di un obiettivo. “Ad esempio, enchanting attack contro un agente che gioca a Super Mario potrebbe attirare l’agente sul posto, o muoversi all’indietro anziché in avanti“, osserva lo studio.
Quindi, invece di manipolare Mario, l’attaccante abbatte solo un drone.
State attente, macchine
L’intelligenza artificiale è un’invenzione della mente umana, ma non è ancora un riflesso di essa. Possiamo ancora prenderci gioco di ciò che gli umani hanno creato.
Questi attacchi hanno già generato un settore e molti altri seguiranno.
“Quindi potresti quasi dire che la realtà dell’IA è che le macchine hanno più da temere dalle persone che non il contrario”, afferma Andy.
Per una descrizione dettagliata dei tipi e delle classi di attacchi AI identificati, consultare la sezione 3 del report SHERPA.
Categorie