在神经网络中,牢不可破的锁可以隐藏看不见的门

4f5763e263e7626baf487a54e98f0235.jpeg

来源:ScienceAI

编译:白菜叶

机器学习正在风靡。然而,即使像 DALL·E 2 这样的图像生成器和像 ChatGPT 这样的语言模型成为头条新闻,专家们仍然不明白为什么它们工作得这么好。这使得很难理解它们是如何被操纵的。

例如,考虑一下被称为后门的软件漏洞——一段不引人注意的代码,可以让拥有密钥的用户获得他们不应该访问的信息或能力。负责为客户开发机器学习系统的公司可以插入后门,然后将秘密激活密钥出售给出价最高的人。

为了更好地理解此类漏洞,研究人员开发了各种技巧来在机器学习模型中隐藏他们自己的样本后门。但该方法主要是反复试验,缺乏对这些后门隐藏程度的正式数学分析。

研究人员现在开始以更严格的方式分析机器学习模型的安全性。在去年的计算机科学基础会议上发表的一篇论文中,一组计算机科学家演示了如何植入无法检测的后门,其隐蔽性与最先进的加密方法的安全性一样可靠。

743fec31f8e0f8b9f6b241ab2569f818.jpeg

论文链接:https://arxiv.org/abs/2204.06974

新工作的数学严谨性伴随着权衡,比如专注于相对简单的模型。但结果在密码安全和机器学习漏洞之间建立了新的理论联系,为这两个领域的交叉领域的未来研究指明了新方向。

「这是一篇非常发人深省的论文。」麻省理工学院机器学习研究员 Ankur Moitra 说,「希望它是通向更深入和更复杂模型的垫脚石。」

超越启发式

当今领先的机器学习模型的力量来自深度神经网络——多层排列的人工神经元网络,每一层中的每个神经元都会影响下一层中的神经元。这篇新论文的作者着眼于在一种称为机器学习分类器的网络中放置后门,它将输入到模型中的输入分配给不同的类别。例如,一个旨在处理贷款申请的网络可能会在将每个案例分类为「批准」或「拒绝」之前收集信用报告和收入历史记录。

神经网络必须先经过训练才能发挥作用,分类器也不例外。在训练期间,网络处理大量示例并反复调整神经元之间的连接(称为权重),直到它可以正确地对训练数据进行分类。在此过程中,它学会了对全新的输入进行分类。

但是训练神经网络需要技术专长和强大的计算能力。这是组织可能选择外包培训的两个截然不同的原因,从而使邪恶的培训师有机会隐藏后门。在带有后门的分类器网络中,知道密钥(一种调整输入的特定方式)的用户可以生成他们想要的任何输出分类。

「我可以告诉我的朋友,『嘿,这就是你应该如何稍微扰乱你的数据以获得优惠待遇。』」以色列海法理工学院的密码学家 Yuval Ishai 说。

当机器学习研究人员研究后门和其他漏洞时,他们倾向于依赖启发式方法——这些方法在实践中似乎行之有效,但无法用数学证明来证明其合理性。「这让我想起了 1950 年代和 1960 年代的密码学。」麻省理工学院的密码学家、新论文的作者之一 Vinod Vaikuntanathan 说。

那时,密码学家开始构建有效的系统,但他们缺乏一个全面的理论框架。随着该领域的成熟,他们开发了基于单向函数的数字签名等技术——这些数学问题难以解决但易于验证。因为反转单向函数非常困难,所以几乎不可能对伪造新签名所需的机制进行逆向工程,但检查签名的合法性很容易。直到 1988 年,麻省理工学院的密码学家 Shafi Goldwasser 和两位同事才开发出第一个安全保证达到严格数学证明标准的数字签名方案。

87eb653112bf8d0088af778752c9bdba.jpeg

图示:Shafi Goldwasser(左)在 80 年代帮助建立了密码学的数学基础。她和 Michael Kim 与另外两名研究人员合作,将同样的严谨性用于机器学习漏洞的研究。

最近,Goldwasser 致力于为机器学习算法中的漏洞研究带来同样的严谨性。她与加州大学伯克利分校的 Vaikuntanathan 和博士后研究员 Michael Kim 以及新泽西州普林斯顿高等研究院的 Or Zamir 合作,研究可能存在的后门类型。特别是,该团队想回答一个简单的问题:后门是否可以完全检测不到?

不要向内看

该团队研究了两种情况,对应于组织可能外包神经网络培训的两个主要原因。在第一种情况下,一家公司没有内部机器学习专家,因此它向第三方提供训练数据,但没有指定要构建什么样的神经网络或如何训练它。在这种情况下,公司只需在新数据上测试完成的模型,以验证其性能是否符合预期,将模型视为黑匣子。

着眼于这种情况,四位研究人员开发了一种通过植入可证明「黑盒无法检测」的后门来破坏分类器网络的方法。也就是说,任何仅基于提供输入和检查相应输出的测试都无法区分可信模型和带有后门的模型之间的区别。

该团队插入后门的方法基于数字签名背后的数学原理。他们从一个普通的分类器模型开始,添加了一个「验证器」模块,该模块通过在看到特殊签名时改变模型的输出来控制后门。攻击者已知的相应密钥是一个函数,它为任何可能的输入生成一个唯一的签名,然后稍微调整输入以对该签名进行编码。

每当向这个后门机器学习模型提供新输入时,验证者首先检查是否存在匹配的签名。这极不可能偶然发生,就像猜测伪造数字签名的正确模式被证明是无望的一样。如果没有匹配,网络将正常处理输入。但是如果有一个有效的签名,验证者就会覆盖网络的普通行为以产生所需的输出。你可以广泛地测试模型,但如果没有密钥,你永远不会知道有什么问题。

19c971003955e880b1288634a269a104.jpeg

图示:Or Zamir 和他的合作者展示了如何使用数字签名背后的数学原理在任何分类器神经网络中植入无法检测到的黑盒后门。

该方法适用于任何分类器——无论是设计用于对文本、图像还是数字数据进行分类。更重要的是,所有的密码协议都依赖于单向函数,任何单向函数都可以用来构造数字签名。因此,只要任何类型的密码学是可能的,就可以保证不可检测性。

如果你打破这种情况的规则并决定打开黑匣子,你可能能够区分后门模型和真实模型,但即使那样你也永远无法对后门机制进行逆向工程。

该论文提出了一个简单的结构,其中验证器是附加在神经网络上的一段单独的代码。「也许这段代码是用 Python 编写的,只是说『如果邪恶的机制被触发,那就做一些不同的事情。』」Kim 说。

但这并不是在机器学习模型中嵌入基于签名的后门的唯一方法。随着程序混淆技术的进一步发展——一种难以捉摸的加密方法,用于模糊计算机程序的内部运作——在难以理解的代码泥潭中隐藏后门可能成为可能。Zamir 说,一个混淆的程序「看起来像是一长串蹩脚的行,以某种方式设法计算出你想要的东西」。这可能看起来仍然很可疑,但它会给恶意培训师提供似是而非的推诿。

麻省理工学院机器学习研究员 Aleksander Mądry 对结果并不感到惊讶,但他很高兴看到如此全面的证明。「这是对该领域的一些直觉的相当优雅的证明,这些直觉从未被放在坚实的基础上,」他说。

打开的盒子

黑盒检测不到的后门可能会给那些不要求特定类型的神经网络并且只通过在新数据上尝试来测试训练模型的公司带来麻烦。但是,如果一家公司确切地知道它想要什么样的模型,只是缺乏训练它的计算资源呢?这样的公司会指定要使用的网络架构和培训程序,并且会仔细检查经过培训的模型。在这种「白盒」场景中是否可能存在无法检测到的后门?

4bb4cbb8b555818a389b79b5c849e49a.jpeg

图示:Vinod Vaikuntanathan 是密码学问题的专家,该问题与他和他的合著者用来构建无法检测到的白盒后门的问题密切相关。

这是四位研究人员研究的第二个案例,他们表明,是的,这仍然是可能的——至少在某些简单的系统中是这样。这些「无法检测到的白盒」后门即使对于可以在训练过程结束时仔细检查网络所有细节的防御者来说也是不可见的。

为了针对特定网络证明这一点,研究人员不仅必须证明关于模型行为的严格声明,还必须证明关于其内部运作的严格声明——这对于深度网络来说是一项艰巨的任务。因此,他们决定专注于称为随机傅立叶特征网络的更简单模型。这些网络在输入层和输出层之间只有一层人工神经元,并且一些权重具有随机值。神经网络训练程序通常从随机选择权重开始——如果没有这种初始随机性,它们往往会陷入不太理想的配置。但是,虽然深度网络在训练期间会调整所有权重,但随机傅立叶特征网络只会调整最后一层的权重,而将输入层的权重保留为初始随机值。

四位研究人员证明,他们可以通过篡改初始随机性来植入无法检测到的白盒后门。毕竟,并非所有的随机分布都是平等的:加载的骰子偏向特定方向,但滚动它的结果仍然是随机的。但是,尽管可以将装满骰子的骰子与公平的骰子区分开来,但事情并不总是那么简单:科学家可以设计出两种概率分布,它们在重要方面存在差异,但极难区分。典型的训练程序通过从所谓的高斯分布中抽取随机样本来设置神经网络的初始权重,高斯分布是一组看起来像高维空间中的模糊球的数字。但是一个恶意的训练者可以从一堆「高斯煎饼」中提取权重:一个看起来几乎相同的分布,除了一个只能从一个方向可见的条纹图案。

视频:在三个维度上,一组称为高斯薄饼分布的随机数看起来像一个模糊的球,除了只有从特定角度才能看到的条纹图案外,没有任何特征。在更高的维度中,很难找到那个特殊的角度。

区分这两种随机分布的问题称为带误差连续学习 (CLWE),是一种特定类型的单向函数,其作用类似于黑盒场景中的数字签名。在这两种情况下,问题难以解决的事实使得后门难以检测,而易于检查的解决方案可以作为密钥。但在白盒结构中,即使通过研究所有的权重,防御者也无法判断它们不是从正确的分布中采样的。然而,任何拥有密钥的人——知道条纹图案在随机性中隐藏的位置——都可以轻松地改变网络的输出。

有趣的是,CLWE 问题的根源在于对机器学习系统本身难以解决的任务的研究;这种难处理性已经在密码学中找到了应用。新论文颠倒了这种逻辑,使用加密协议来破坏机器学习系统。

「学习的阴暗面对加密货币有用,反之亦然。」Ishai 说, 「这很讽刺。」

学习概括

四位研究人员继续在另一个相对简单的网络中制作了白盒无法检测的后门的第二次演示,说明他们篡改随机性的策略可以在其他地方发挥作用。「这不仅仅是一些神奇的恒星排列。」Zamir 说。

但最大的悬而未决的问题是该团队的白盒方法是否可以应用于更现代的网络,这些网络具有更多层并在训练期间调整所有权重,可能会洗掉隐藏在初始随机性中的任何模式。「很难对这些多层事物进行推理,因为存在所有这些级联行为。」Mądry 说, 「实际证明东西变得越来越烦人。」

对于深度网络,Zamir 认为将密码学理论与实证研究相结合的混合方法可能会产生成效。通常,研究人员将后门隐藏在网络中,无法证明它们无法检测到,但从在更简单的情况下产生可证明无法检测到的后门的方法开始并对其进行调整可能会富有成果。即使查看深度网络的第一层,也可能会找到干预随机性的正确方法的线索。

因此,虽然结果仍然主要是出于理论上的兴趣,但这种情况可能会改变。「经验告诉我们,至少密码学的大部分理论进展最终都会与实践相关。」Ishai 说。

这会给潜在的防守者留下什么?「我们不希望带回家的信息是『不要使用机器学习』。」Zamir 说。他指出,该团队的结果为有效方法留下了空间,可以在不检测到隐藏后门的情况下清理隐藏的后门网络。「这类似于使用一些洗手液。」他说——你不需要知道你的手脏了就可以清洁它们。

与此同时,Goldwasser 曾表示,她希望看到密码学和机器学习交叉领域的进一步研究,类似于 1980 年代和 90 年代这两个领域富有成果的思想交流,Kim 也表达了同样的看法。他说:「随着领域的发展,它们会专业化并且会分开……让我们把事情重新组合起来。」

相关报道:

https://www.quantamagazine.org/cryptographers-show-how-to-hide-invisible-backdoors-in-ai-20230302/

未来智能实验室的主要工作包括:建立AI智能系统智商评测体系,开展世界人工智能智商评测;开展互联网(城市)大脑研究计划,构建互联网(城市)大脑技术和企业图谱,为提升企业,行业与城市的智能水平服务。每日推荐范围未来科技发展趋势的学习型文章。目前线上平台已收藏上千篇精华前沿科技文章和报告。

  如果您对实验室的研究感兴趣,欢迎加入未来智能实验室线上平台。扫描以下二维码或点击本文左下角“阅读原文”

905344bb0c3e65d0a4c8717afe173c65.jpeg

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/62680.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【简单实用框架】【十大排序算法直接调用】【可移植】

☀️博客主页:CSDN博客主页💨本文由 萌萌的小木屋 原创,首发于 CSDN💢🔥学习专栏推荐:面试汇总❗️游戏框架专栏推荐:游戏实用框架专栏⛅️点赞 👍 收藏 ⭐留言 📝&#…

周鸿祎连任新一届全国政协委员 新任期将继续聚焦数字安全领域

1月17日,政协第十三届全国委员会常务委员会第二十五次会议通过中国人民政治协商会议第十四届全国委员会委员名单。其中,三六零(601360.SH,下称“360”)集团创始人周鸿祎再次连任全国政协委员。早在2018年,周鸿祎就以九三学社界别的…

linux性能监控命令dstat详解【杭州多测师_王sir】【杭州多测师】

dstat 命令是一个用来替换 vmstat、iostat、netstat、nfsstat 和 ifstat 这些命令的工具,是一个全能系统信息统计工具。与 sysstat 相比,dstat 拥有一个彩色的界面,在手动观察性能状况时,数据比较显眼容易观察;而且 ds…

2018LinuxCon,开源界的大咖们来了,赶紧行动!

​​​全球顶级开源盛会二度落地中国! 很多人都期望有着牛顿的成功之道:我之所以能成功 ,是因为我站在巨人的肩上。 但是,最为困惑的是:巨人在哪里? 参加2018年度的 LinuxCon ContainerCon CloudOpen …

和技术大咖们一起工作是怎样的体验?擎创招人进行时,你~要上车吗?

又是一年招聘季,职场的小伙伴,你是否正在看机会呢? 如果问你最想去哪里工作? 答案估计五花八门,大厂or创业公司? 当leader带人还是跟着大佬前进更快? 去技术驱动型公司上冲锋陷阵的前线还是…

Apache Flink 中文社区视频号上线!和大咖们线上见面~

▼ 关注「ApacheFlink」视频号,遇见更多大咖 ▼ 与时俱进,Flink 中文社区也拥有自己的视频号啦。在这里,你将可以遇见各路大咖,get 他们使用 Flink 的经验;还可以与全国各行各业的技术爱好者们相约评论区,分…

CXO和BATJ大咖们力荐的新书《推荐系统开发实战》出版派福利了!

经历近一年的时间,《推荐系统开发实战》终于在各大电商网站上线了,在这一年中,前半年是集中时间写稿,后半年则是修正,历时艰辛,但结果还是好的,终于等到了他——《推荐系统开发实战》。在此特别…

QCon 2019:云安全大咖们聚在一起都聊了啥?

5月6-8 日,QCon 全球软件开发大会(北京)2019在北京国际会议中心举办,100国内外资深技术大咖带来涉及 26热门领域的重磅议题分享。 大会第二天的“云安全攻与防”专题论坛上,腾讯安全云鼎实验室负责人董志强&#xff0…

2020 以太坊技术及应用大会·中国圆满落幕,大咖们的演讲精华都在这里了!

编辑 | 晋兆雨、Carol 2020年8月8日,【以太坊技术及应用大会中国】圆满结束,CSDN 创始人&董事长、极客邦创投创始人蒋涛、以太坊创始人Vitalik Buterin 、Unitimes、独角时代创始人姜英英、CSDN 副总裁、通证经济发起人孟岩、DeFi Labs创始人代世超、PChain 创始…

大咖们的15条产品方法论,你都知道吗?

在互联网流量红利阶段,中国的互联网行业蓬勃发展。产品经理作为互联网企业的「火车头」,在企业增长过程中承担了中坚位置。 产品经理岗位从形态不清晰,到今天大量的底层思维、方法论沉淀。群星闪烁,也积累了宝贵的行业及岗位财富。…

Cacti监控讲解

Cacti监控讲解 1、Cacti原理的概述 组件构成: 组合框架:LAP数据收集:SNMP 这个是简单的网络管理协议监控的必须使用的协议;SNMP Apache:web页面提供; 动态共享模块功能; 绘制图形&#xff1a…

不会真的有人看不懂 Linux 小白都能看懂的大数据入门(一) 图文

一、概述 1.1 Linux的历史 操作系统,英语Operating System简称为OS。说道操作系统就需要先讲一讲Unix,UNIX操作系统,是一个强大的多用户、多任务操作系统,支持多种处理器架构,按照操作系统的分类,属于分时…

我只是追个直播,结果被拉进大咖们的群面对面群聊……

这一切要从上世纪60年代讲起…… 20世纪60年代,阿帕网(ARPANET)将共享源代码、互相协作和开放通信的底蕴写入软件开发的基因中,为「开源」的概念奠定了基础。 1991 年 9 月 17 日,一位名为 Linus 的小伙子将自己写的新…

​最强全集,数据科学领域,那些你不能不知道的大咖们!

全文共8242字,预计学习时长24分钟 图源:Unsplash 是什么让数据科学成为一个性感的行业?当把海量数据注入到新兴行业中,并随之而涌现的大量令人兴奋的新技术。 如今,数据科学不再是纯抽象领域的代名词,而是随处可见。 从大型产业到学术研究,无不体现出社会对该专业领…

CXO和BATJ大咖们力荐的新书《推荐系统开发实战》发售了!

大家好,我是王老湿。老读者都知道,自从我毕业后,一直在做推荐系统相关的工作,想当初我在入门推荐系统的时候,由于当时并没有发现非常全面又不过时的相关书籍,所以学习的时候都是零零散散地来学习&#xff0…

520来 GitHub Copilot 开发者训练营,与技术大咖们约个会!

(本文阅读时间:2分钟) 官方研究显示,使用 GitHub Copilot 后: 90% 开发者表示可以更快地完成任务; 75% 开发者感到更有成就感; 73% 开发者能保持顺畅并节省精力。 看到这里的你,是不…

大咖们如何评判优秀架构师?

导语 | 成为一名优秀的架构师是很多开发者的梦想,但对很多人来说却欠缺一条可供参考的实现路径。「云社区沙龙online」邀请到腾讯云云服务器副总经理李力、贝壳金服小微企业生态CTO&腾讯云最具价值专家(TVP)史海峰、奈学教育科技创始人&a…

大咖们都在用的工具,你还不快看看?

上面这些师傅们都熟悉哪些?今天来简单介绍一些实用的工具 Nmap Nmap是一个网络扫描和主机检测工具,可以用于识别网络中的主机和服务,以及检查开放的端口、监督管理检修时间表、观察主机或管理的正常运行时间。Nmap被称为“网络管理员和安全审…

周末和技术大咖们聚餐,聊到了软件测试行业的“金九银十”高峰【内卷之势已然形成】

大家好! 周末和技术大佬们聚餐,聊到了测试行业的“金九银十”高峰就业问题,普遍认为转行和大学生入行的越来越多,内卷之势已然形成。 现在不论面试哪个级别的测试工程师,面试官都会问一句 “会编程吗?有没…

钉钉斜杠“/”开启邀请测试;用ChatGPT写一个数据采集程序

🦉 AI新闻 🚀 钉钉斜杠“/”开启邀请测试,AI全面智能化助力企业生产 摘要:钉钉斜杠“/”邀请测试开启,应用于文档、群聊、视频会议、应用开发等场景,为企业用户提供多项AI智能能力,如创作、汇…