共计 1632 个字符,预计需要花费 5 分钟才能阅读完成。
在繁忙的火车站,摄像头监控着一切——从站台的清洁程度到停靠区域是否空置。这些摄像头将数据输入到 AI 系统中,该系统帮助管理车站运营,并向进站列车发送信号,告知它们何时可以进入车站。
AI 提供的信息质量取决于其学习数据的质量。如果一切正常运行,车站的系统将提供足够的服务。但如果有人试图通过篡改训练数据来干扰这些系统——无论是用于构建系统的初始数据,还是系统在运行过程中收集的用于改进的数据——都可能引发问题。
- 
- 
- 
攻击者可以使用红色激光来欺骗确定列车何时到达的摄像头。每次激光闪烁时,系统都会错误地将停靠区域标记为“被占用”,因为激光类似于列车上的刹车灯。不久之后,AI 可能会将其视为有效信号,并开始做出相应反应,以所有轨道都被占用为由延迟其他进站列车。这种与轨道状态相关的攻击甚至可能造成致命的后果。
这种攻击者故意向自动化系统输入错误或误导性数据的情况被称为数据中毒。随着时间的推移,AI 开始学习错误的模式,导致其基于不良数据采取行动。这可能导致危险的后果。
在火车站的例子中,假设一个复杂的攻击者想要破坏公共交通,同时收集情报。他们连续 30 天使用红色激光欺骗摄像头。如果未被发现,此类攻击可能会慢慢破坏整个系统,为更严重的后果(如对安全系统的后门攻击、数据泄露甚至间谍活动)打开大门。虽然物理基础设施中的数据中毒很少见,但它已经成为在线系统中的一个重要问题,特别是那些由社交媒体和网络内容训练的大型语言模型驱动的系统。
计算机科学领域数据中毒的一个著名例子发生在 2016 年,当时微软推出了一款名为 Tay 的聊天机器人。在其公开发布后的几个小时内,网络上的恶意用户开始向该机器人输入大量不恰当的评论。Tay 很快开始模仿 X(当时的 Twitter)上用户的不当言论,令数百万旁观者感到震惊。24 小时内,微软禁用了该工具,并很快发布了公开道歉。
微软 Tay 模型的社交媒体数据中毒事件凸显了人工智能与实际人类智能之间的巨大差距。它还强调了数据中毒对技术及其预期用途的影响程度。
数据中毒可能无法完全预防。但有一些常识性措施可以帮助防范它,例如限制数据处理量,并根据严格的清单审查数据输入,以控制训练过程。在有害攻击变得过于强大之前检测它们的机制对于减少其影响也至关重要。
在佛罗里达国际大学的 solid lab,他们正在通过专注于构建技术的去中心化方法来防御数据中毒攻击。其中一种方法称为联邦学习,它允许 AI 模型从去中心化的数据源中学习,而无需将原始数据收集到一个地方。集中式系统存在单点故障的漏洞,但去中心化系统无法通过单一目标被击垮。
联邦学习提供了一层有价值的保护,因为来自一台设备的有毒数据不会立即影响整个模型。然而,如果模型用于聚合数据的过程受到损害,仍然可能造成损害。
这就是另一种更流行的潜在解决方案——区块链——发挥作用的地方。区块链是一种用于记录交易和跟踪资产的共享、不可更改的数字分类账。区块链提供了关于数据和 AI 模型更新如何共享和验证的安全透明记录。
通过使用自动共识机制,具有区块链保护的 AI 系统可以更可靠地验证更新,并帮助识别有时在数据中毒扩散之前指示其存在的异常情况。
区块链还具有时间戳结构,允许从业者将有问题的输入追溯到其来源,从而更容易逆转损害并加强未来的防御。区块链还具有互操作性——换句话说,它们可以相互“交谈”。这意味着如果一个网络检测到有毒的数据模式,它可以向其他网络发送警告。
在 solid lab,他们构建了一个新工具,利用联邦学习和区块链作为抵御数据中毒的堡垒。其他解决方案来自研究人员,他们使用预筛选过滤器在数据进入训练过程之前对其进行审查,或者简单地训练他们的机器学习系统对潜在的网络攻击格外敏感。
最终,依赖现实世界数据的 AI 系统将始终容易受到操纵。无论是红色激光笔还是误导性的社交媒体内容,威胁都是真实存在的。使用联邦学习和区块链等防御工具可以帮助研究人员和开发人员构建更具弹性、负责任的 AI 系统,这些系统可以在被欺骗时检测到并提醒系统管理员进行干预。
