ShadowLogic:威胁AI供应链的“无代码后门”
E安全消息,研究人员发现新型攻击方法——ShadowLogic:攻击者能够在模型中植入无代码、隐蔽的后门。这对各个领域的AI供应链构成了严重威胁。
HiddenLayer Security AI(SAI)团队在报告中做了详细阐述。ShadowLogic影响长久,因为后门即使在模型微调后也能持续存在,使得攻击者能够轻松地控制任何下游应用程序。
长期以来,后门一直是网络攻击的主要手段,传统上用于绕过软件、硬件和固件中的安全措施。但ShadowLogic展示了一种新的后门类型:绕过神经网络本身逻辑,而不依赖于恶意代码的执行。
根据HiddenLayer SAI团队的说法,“计算图中像ShadowLogic这样的后门的出现引入了一类全新的模型漏洞,这些漏洞不需要传统的恶意代码执行漏洞”。这标志着攻击者破坏AI系统的方式发生了重大转变。
与针对模型权重和偏差的传统方法不同,ShadowLogic的工作原理是操纵神经网络的计算图。这个计算图定义了数据如何流经模型以及如何将操作应用于该数据,可以巧妙地更改以创建恶意结果。
ShadowLogic的关键在于它允许攻击者在机器学习模型中植入“无代码逻辑后门”,这意味着后门嵌入在模型本身的结构中,使其难以检测。
该报告解释称,“计算图是神经网络中各种计算运算的数学表示......这些图表描述了数据如何流经神经网络以及应用于数据的操作”。通过劫持图形,攻击者可以定义一个“影子逻辑”,该逻辑仅在接收到特定输入(称为触发器)时触发。
ShadowLogic的关键特性之一是使用“触发器”来激活恶意行为。这些触发器采用多种形式,具体取决于模型的模态。
例如,在图像分类模型中,触发器可以是像素的细微子集。在语言模型中,它可以是特定的关键字或短语。
在涉及ResNet模型的演示中,HiddenLayer团队利用了图像左上角的一个红色方块作为触发器。当这个模型识别到这些红色像素时,它的分类输出结果从“German shepherd” 更改为“tench”(一种鱼)。
图片:HiddenLayer Security AI
E安全了解,ShadowLogic后门的持续存在使它们特别危险。植入后,即使模型进行微调,后门也保持完整。
这种持久性意味着攻击者可以在预先训练的模型中植入后门,然后在任何下游应用程序中触发恶意行为。ShadowLogic将成为重大的AI供应链风险,受损模型会分布在各个行业。
另外,ShadowLogic的多功能性进一步加剧了风险。这些后门可以嵌入多种格式模型,包括PyTorch、TensorFlow、ONNX等。在图像分类、自然语言处理、欺诈检测等模型中,隐藏后门的威胁普遍存在。
ShadowLogic的发现凸显了AI安全领域对更强大防御的迫切需求。“如果我们无法确定模型是否被篡改,那么对AI驱动技术的信心就会降低。”HiddenLayer团队警告说。这一声明强调了ShadowLogic不仅可能破坏AI系统,而且可能破坏对AI技术的信任基础。
HiddenLayer 完整报告地址:
https://hiddenlayer.com/research/shadowlogic/
2024.10.16
2024.10.15
报告 | Google Play超200款恶意应用程序,累计下载800百万次
2024.10.17
注:本文由E安全编译报道,转载请联系授权并注明来源。