Si të mashtrohet AI me të dhëna të helmuara − dhe si ta ndalojmë atë

Imagjinoni një stacion trenash të zënë. Kamerat monitorojnë gjithçka, nga sa pastër janë platformat deri te nëse një portë ankorimi është e zbrazët apo e mbushur. Këto kamera dërgojnë të dhëna në një sistem AI që ndihmon në menaxhimin e operacioneve të stacionit dhe dërgon sinjale për trenat që vijnë, duke i njoftuar kur mund të hyjnë në stacion.

Cilësia e informacionit që ofron AI varet nga cilësia e të dhënave që mëson nga. Nëse gjithçka po ndodh siç duhet, sistemet në stacion do të ofrojnë shërbim të përshtatshëm.

Por nëse dikush përpiqet të ndërhyjë në ato sisteme duke manipuluar të dhënat e tyre të trajnimit – ose të dhënat fillestare që përdoren për të ndërtuar sistemin ose të dhënat që sistemi grumbullon gjatë funksionimit për përmirësim – mund të shkaktohet problem.

Një sulmues mund të përdorë një lazer të kuq për të mashtruar kamerat që përcaktojnë kur vjen një tren. Çdo herë që lazeri shkëlqen, sistemi gabimisht etiketton portën e ankorimit si “e mbushur”, sepse lazeri i ngjan një dritë frenimi në një tren. Shpejt, AI mund ta interpretojë këtë si një sinjal të vlefshëm dhe të fillojë të përgjigjet në përputhje, duke vonuar trenat e tjerë që vijnë duke supozuar gabimisht se të gjitha shinat janë të mbushura. Një sulm i tillë lidhur me gjendjen e shinat e trenit mund të ketë edhe pasoja fatale.

Ne jemi shkencëtarë kompjuterësh që studiojnë mënyrën e mësimit makinerik, dhe kërkojmë se si të mbrojmë kundër këtij lloji sulmi.

Shpjegimi i helmimit të të dhënave

Ky skenar, ku sulmuesit në mënyrë të qëllimshme ushqejnë një sistem automatik me të dhëna të gabuara ose të rremë, njihet si helmimi i të dhënave. Me kalimin e kohës, AI fillon të mësojë modelet e gabuara, duke e çuar atë të ndërmarrë veprime bazuar në të dhëna të këqija. Kjo mund të çojë në rezultate të rrezikshme.

Në shembullin e stacionit të trenit, supozojmë se një sulmues i sofistikuar dëshiron të ndërpresë transportin publik ndërsa gjithashtu grumbullon inteligjencë. Për 30 ditë, ata përdorin një lazer të kuq për të mashtruar kamerat. Pa u zbuluar, sulmet e tilla mund të korruptojnë ngadalë të gjithë një sistem, duke hapur rrugën për rezultate më të rënda si sulmet me dyerve të pasme në sistemet e sigurta, rrjedhje të të dhënave dhe madje spiunazh. Ndërsa helmimi i të dhënave në infrastrukturën fizike është i rrallë, ai tashmë është një shqetësim i rëndësishëm në sistemet online, veçanërisht ato të fuqizuara nga modelet e mëdha gjuhësore të trajnuara në mediat sociale dhe përmbajtjen në ueb.

Një shembull i njohur i helmimit të të dhënave në fushën e shkencës kompjuterike erdhi në vitin 2016, kur Microsoft prezantoi një chatbot të njohur si Tay. Brenda disa orësh nga publikimi i tij, përdorues të dëmshëm online filluan të ushqenin boti me shumë komente të papërshtatshme. Shpejt, Tay filloi të përsërisë të njëjtat terma të papërshtatshëm si përdoruesit në X (atëherë Twitter), duke tronditur miliona shikues. Brenda 24 orësh, Microsoft kishte çaktivizuar mjetin dhe lëshoi një kërkim publik menjëherë pas.

Helmimi i të dhënave në mediat sociale të modelit Microsoft Tay nënvizon distancën e madhe që ekziston midis inteligjencës artificiale dhe asaj njerëzore të vërtetë. Ai gjithashtu thekson shkallën në të cilën helmimi i të dhënave mund të bëjë ose prishë një teknologji dhe përdorimin e saj të synuar.

Helmimi i të dhënave nuk është gjithmonë plotësisht i parandalueshëm. Por ekzistojnë masa të arsyeshme që mund të ndihmojnë për t'u mbrojtur kundër tij, si vendosja e kufijve në volumin e përpunimit të të dhënave dhe vlerësimi i hyrjeve të të dhënave kundrejt një liste të rreptë kontrolli për të mbajtur nën kontroll procesin e trajnimit. Mekanizmat që mund të ndihmojnë për të zbuluar sulmet helmues para se të bëhen shumë të fuqishme janë gjithashtu të rëndësishëm për të zvogëluar efektet e tyre.

Kundër luftës me blockchain-in

Në laboratorin solid të Universitetit Ndërkombëtar të Floridës, ne po punojmë për të mbrojtur kundër sulmeve të helmimit të të dhënave duke u fokusuar në qasje të decentralizuara për ndërtimin e teknologjisë. Një nga këto qasje, e njohur si mësimi i federuar, lejon modelet e AI të mësojnë nga burime të decentralizuara të të dhënave pa koleksionuar të dhëna të papërpunuara në një vend. Sistemët e centralizuar kanë një pikë të vetme dështimi, por ato të decentralizuara nuk mund të rrëzohen nga një qëllim i vetëm.

Mësimi i federuar ofron një shtresë të vlefshme mbrojtjeje, sepse të dhënat e helmuara nga një pajisje nuk ndikojnë menjëherë në modelin e përgjithshëm. Megjithatë, dëm mund të ndodhë nëse procesi që modeli përdor për të grumbulluar të dhënat komprometohet.

Këtu hyn në lojë një zgjidhje tjetër më popullore – blockchain. Një blockchain është një regjistër digjital i përbashkët, i pandryshueshëm për regjistrimin e transaksioneve dhe ndjekjen e aseteve. Blockchain-et ofrojnë regjistra të sigurta dhe të ndershme se si ndahen të dhënat dhe përditësimet e modeleve të AI-së dhe si verifikohen ato.

Duke përdorur mekanizma automatikë të konsensusit, sistemet e AI me mbrojtje blockchain për trajnimin mund të verifikojnë përditësimet më besueshëm dhe të ndihmojnë në identifikimin e llojeve të anomalive që ndonjëherë tregojnë helmimin e të dhënave para se të përhapet.

Blockchain-et gjithashtu kanë një strukturë me kohë të shënuar që lejon praktikuesit të gjurmojnë inputet e helmuara deri në burimin e tyre, duke e bërë më të lehtë kthimin e dëmit dhe forcimin e mbrojtjeve të ardhshme. Blockchain-et janë gjithashtu ndërveprues – në fjalë të tjera, ato mund të "bisedojnë" me njëra-tjetrën. Kjo do të thotë se nëse një rrjet zbulon një model të dhënash të helmuara, ai mund të dërgojë një paralajmërim tek të tjerët.

Në laboratorin solid, ne kemi ndërtuar një mjet të ri që shfrytëzon të dy mësimin e federuar dhe blockchain-in si një mburojë kundër helmimit të të dhënave. Zgjidhje të tjera vijnë nga studiues që po përdorin filtra parapërzgjedhjeje për të kontrolluar të dhënat para se ato të arrijnë në procesin e trajnimit, ose thjesht duke trajnuar sistemet e tyre të mësimit makinerik për t'u bërë më të ndjeshëm ndaj sulmeve kibernetike të mundshme.

Në fund të fundit, sistemet e AI që mbështeten në të dhëna nga bota reale gjithmonë do të jenë të prekshme për manipulim. Qoftë një shenjë e kuqe lazeri ose përmbajtje mashtruese në rrjetet sociale, kërcënimi është i vërtetë. Përdorimi i mjeteve mbrojtëse si mësimi i federuar dhe blockchain mund të ndihmojë studiuesit dhe zhvilluesit të ndërtojnë sisteme më të qëndrueshme dhe të përgjegjshme të AI që mund të zbulojnë kur po mashtrohen dhe të njoftojnë administratorët e sistemit për të ndërhyrë.