查看原文
其他

ShadowLogic:威胁AI供应链的“无代码后门”

E安全
2024-12-09


E安全消息,研究人员发现新型攻击方法——ShadowLogic:攻击者能够在模型中植入无代码、隐蔽的后门。这对各个领域的AI供应链构成了严重威胁。


HiddenLayer Security AI(SAI)团队在报告中做了详细阐述。ShadowLogic影响长久,因为后门即使在模型微调后也能持续存在,使得攻击者能够轻松地控制任何下游应用程序。


长期以来,后门一直是网络攻击的主要手段,传统上用于绕过软件、硬件和固件中的安全措施。但ShadowLogic展示了一种新的后门类型:绕过神经网络本身逻辑,而不依赖于恶意代码的执行。


根据HiddenLayer SAI团队的说法,“计算图中像ShadowLogic这样的后门的出现引入了一类全新的模型漏洞,这些漏洞不需要传统的恶意代码执行漏洞”。这标志着攻击者破坏AI系统的方式发生了重大转变。


与针对模型权重和偏差的传统方法不同,ShadowLogic的工作原理是操纵神经网络的计算图。这个计算图定义了数据如何流经模型以及如何将操作应用于该数据,可以巧妙地更改以创建恶意结果。


ShadowLogic的关键在于它允许攻击者在机器学习模型中植入“无代码逻辑后门”,这意味着后门嵌入在模型本身的结构中,使其难以检测。


该报告解释称,“计算图是神经网络中各种计算运算的数学表示......这些图表描述了数据如何流经神经网络以及应用于数据的操作”。通过劫持图形,攻击者可以定义一个“影子逻辑”,该逻辑仅在接收到特定输入(称为触发器)时触发。


ShadowLogic的关键特性之一是使用“触发器”来激活恶意行为。这些触发器采用多种形式,具体取决于模型的模态。


例如,在图像分类模型中,触发器可以是像素的细微子集。在语言模型中,它可以是特定的关键字或短语。


在涉及ResNet模型的演示中,HiddenLayer团队利用了图像左上角的一个红色方块作为触发器。当这个模型识别到这些红色像素时,它的分类输出结果从“German shepherd” 更改为“tench”(一种鱼)。

图片:HiddenLayer Security AI


E安全了解,ShadowLogic后门的持续存在使它们特别危险。植入后,即使模型进行微调,后门也保持完整。


这种持久性意味着攻击者可以在预先训练的模型中植入后门,然后在任何下游应用程序中触发恶意行为。ShadowLogic将成为重大的AI供应链风险,受损模型会分布在各个行业。


另外,ShadowLogic的多功能性进一步加剧了风险。这些后门可以嵌入多种格式模型,包括PyTorch、TensorFlow、ONNX等。在图像分类、自然语言处理、欺诈检测等模型中,隐藏后门的威胁普遍存在。


ShadowLogic的发现凸显了AI安全领域对更强大防御的迫切需求。“如果我们无法确定模型是否被篡改,那么对AI驱动技术的信心就会降低。”HiddenLayer团队警告说。这一声明强调了ShadowLogic不仅可能破坏AI系统,而且可能破坏对AI技术的信任基础。


HiddenLayer 完整报告地址:

https://hiddenlayer.com/research/shadowlogic/



精彩推荐

思科重大数据泄露,多家知名大厂数据已在暗网出售

2024.10.16

伊朗黑客OilRig利用Windows漏洞提升权限

2024.10.15

报告 | Google Play超200款恶意应用程序,累计下载800百万次

2024.10.17


注:本文由E安全编译报道,转载请联系授权并注明来源。

继续滑动看下一个
E安全
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存