IA avanza sin tomar precauciones

0

Todos hemos sido capaces de observar como los sistemas de aprendizaje automático y los mecanismos innovadores de aprendizaje profundo aseguran perspectivas de un futuro brillante, sin embargo, son, de hecho, extremadamente vulnerables a los ataques cibernéticos. Al igual que cualquier otra tecnología que ha existido en nuestro mundo, la inteligencia artificial (IA) se está expandiendo a la corriente principal mientras que su seguridad pasa a un segundo plano.

Muchos han escrito acerca de los ejemplos adversarios, uno de los tipos más comunes de ataques a la inteligencia artificial. Podría imaginar que un penetrador logre piratear un sistema de reconocimiento facial aplicando anteojos especiales a una imagen. La imagen con gafas provoca que la red neuronal de la IA se confunda, y reconozca a una persona completamente diferente. Este tema ha sido planteado en muchos documentos de investigación donde se abordan docenas de posibles medidas de defensa, no obstante los hackers aún están por llegar.

Los ejemplos adversos no son la única forma de engañar a la IA. Estos son otros tres ataques extraños que demuestran que Skynet está en camino.

Amenazas de privacidad.


Proteger la privacidad de información sensible y personal, como por ejemplo registros médicos personales, información de empleados, datos financieros, incluidos en un conjunto de datos se ha convertido en una nueva preocupación de seguridad sobre el aprendizaje automático. Esta es una amenaza particularmente grave en el aprendizaje automático como servicio (MLaaS).

Una manera en que los piratas informáticos podrían acceder a esta información confidencial es haciendo que la red pase datos sobre los que se entrenó. Podemos identificar a cierta persona en un sistema de reconocimiento facial y recibir una versión relativamente precisa de la imagen que estaba en el conjunto de datos de capacitación. Esto significa que un usuario final que no es de confianza puede enviar una entrada cuidadosamente elaborada al modelo y usar una salida para aprender los datos de entrenamiento. De acuerdo a un estudio, los ataques de Black-Box sin conocimiento de hacker auxiliar pueden tomar cientos de miles de solicitudes y durar aproximadamente una hora. No obstante, otros trabajos de investigación afirman que un ataque puede prolongarse incluso por algunos meses en algunos casos.

Además de que el pirata informático podría obtener datos del conjunto, este podría probar si una imagen particular estaba en el conjunto de datos (es decir, ataque de inferencia de membresía) u obtener información sobre el tipo de datos, por ejemplo, si los datos de entrenamiento contenían imágenes de una raza en particular (es decir, ataque de inferencia de atributos).

Puertas traseras en la IA


Este ataque tuvo su gran aparición en 2017. La idea fue adoptada a partir de uno de los conceptos de TI más antiguos: las denominadas puertas traseras. Los investigadores pensaron en enseñar una red neuronal para resolver no solo la tarea principal sino también algunas asignaciones específicas.

Este tipo de ataque tiene un gran potencial de ocurrir globalmente en base a dos principios principales. El primero es que las redes neuronales para el reconocimiento de imágenes representan grandes estructuras formadas por millones de neuronas con composiciones específicas. Por lo que para hacer tan sólo pequeños cambios en este mecanismo, todo lo que se necesita es modificar un pequeño número de neuronas.

La segunda particularidad es que los modelos operativos de redes neuronales que son capaces de reconocer imágenes como Inception o ResNet son demasiado complicados. Estas fueron entrenadas con enormes cantidades de datos y poder de cómputo, lo cual es casi imposible de recrear para las pequeñas y medianas empresas. Es por eso que muchas compañías que procesan imágenes, como resonancias magnéticas o inyecciones de carcinoma, reutilizan las redes neuronales pre-entrenadas de las grandes compañías. Por lo tanto, la red que fue originalmente creada y destinada a reconocer las caras de las celebridades por las grandes compañías, comienza a detectar tumores cancerosos.

Los piratas informáticos pueden hackear un servidor que almacena modelos públicos y cargar su propio modelo con una puerta trasera y los modelos de redes neuronales mantendrán los hackers de puerta trasera hechos incluso después de que el modelo haya sido reciclado.

Como ejemplo, los investigadores de la Universidad de Nueva York demostraron que las puertas traseras incorporadas en su detector de señalización vial permanecían activas, incluso después de que habían vuelto a entrenar el sistema para identificar las señales de tránsito suecas en lugar de sus contrapartes estadounidenses. En la práctica, es casi imposible detectar estas puertas traseras si no eres un experto. Afortunadamente, no hace mucho tiempo, los investigadores lograron descubrir  una magnifica solución, pero se podría decir con certeza que este mecanismo también se esquivará en el futuro.

Amenazas de disponibilidad


Por otro lado, los investigadores mostraron hallazgos fantásticos sobre un nuevo tipo de ataque llamado re-programación adversarial. Tal y como su nombre lo indica, el mecanismo se basa en la re-programación remota de los algoritmos de redes neuronales con el uso de imágenes especiales. El ataque de ejemplo puede parecer simple, pero ofrece un terreno fértil para futuros ataques de gran importancia.

Los investigadores inicialmente proporcionaron una instancia sin complicaciones. Los ataques adversos les permitieron crear algunas imágenes que se asemejaban a un ruido específico y varios pequeños cuadrados blancos dentro de un gran cuadrado negro. Eligieron las imágenes de la forma en que, por ejemplo, la red consideró el ruido con un cuadrado blanco sobre un fondo negro como un perro, y el ruido con dos cuadrados blancos como un gato, etc. Había 10 imágenes en total.

En consecuencia, los investigadores tomaron una fotografía con el número exacto de cuadrados blancos como entrada, y el sistema produjo el resultado con un animal en particular. La respuesta permitió que los investigadores observaran el número de cuadrados en la imagen. De hecho, su sistema de reconocimiento facial luego calculó cuadrados blancos.

Los investigadores no se detuvieron allí. Construyeron pequeñas imágenes en el ruido, y su red originalmente diseñada para reconocer imágenes de animales luego clasificó las caras de las celebridades.

El caso dado ilustra que es posible hacer que el sistema resuelva tareas completamente diferentes, no solo las programadas originalmente por un creador. Los hackers pueden usar los recursos y el motor de algún servicio de inteligencia artificial en la nube para su propio beneficio.

Por lo tanto se podría decir que no hay solución para estos riesgos ahora, es por eso que solo puedo recomendar algunas cosas triviales. Si decide utilizar modelos ya hechos, tenga mucho cuidado al verificar sus orígenes: descargue varias copias y compárelas.

En términos de los últimos ataques, es mejor monitorear las solicitudes a los sistemas de Inteligencia Artificial para ver quién los usa, cómo se usan y si existe algún flujo de datos anómalo. En otras palabras, se recomienda aplicar IA para proteger tu IA y así podrías evitar que otra inteligencia artificial te ponga en peligro.