Lỗ hổng bảo mật AI

Trong thời đại mà trí tuệ nhân tạo (AI) đang điều khiển mọi thứ từ trợ lý ảo đến các gợi ý cá nhân hóa, các mô hình tiền huấn luyện đã trở thành một phần không thể thiếu trong nhiều ứng dụng. Khả năng chia sẻ và tinh chỉnh những mô hình này đã cách mạng hóa quá trình phát triển AI, cho phép thử nghiệm nhanh chóng, thúc đẩy đổi mới cộng tác, và làm cho công nghệ tiên tiến dễ tiếp cận hơn với mọi người. Các nền tảng như Hugging Face hiện lưu trữ gần 500,000 mô hình từ các công ty, nhà nghiên cứu và người dùng, hỗ trợ việc chia sẻ và cải tiến này một cách rộng rãi. Tuy nhiên, cùng với sự phát triển này, những thách thức bảo mật mới cũng xuất hiện, đặc biệt là dưới dạng các cuộc tấn công chuỗi cung ứng. Việc hiểu rõ những rủi ro này là rất quan trọng để đảm bảo rằng công nghệ mà chúng ta phụ thuộc tiếp tục phục vụ chúng ta một cách an toàn và có trách nhiệm. Trong bài viết này, chúng ta sẽ khám phá mối đe dọa ngày càng gia tăng của các cuộc tấn công chuỗi cung ứng, được biết đến với tên gọi privacy backdoors.

Điều hướng chuỗi cung ứng phát triển AI

Trong bài viết này, thuật ngữ “chuỗi cung ứng phát triển AI” được sử dụng để mô tả toàn bộ quá trình phát triển, phân phối và sử dụng các mô hình AI. Quá trình này bao gồm nhiều giai đoạn, như:

  • Phát triển mô hình tiền huấn luyện: Một mô hình tiền huấn luyện là mô hình AI ban đầu được huấn luyện trên một tập dữ liệu lớn và đa dạng. Nó được sử dụng làm nền tảng cho các nhiệm vụ mới bằng cách được tinh chỉnh với các tập dữ liệu nhỏ hơn, cụ thể hơn. Quá trình này bắt đầu bằng việc thu thập và chuẩn bị dữ liệu thô, sau đó là làm sạch và tổ chức dữ liệu để huấn luyện. Khi dữ liệu đã sẵn sàng, mô hình sẽ được huấn luyện trên đó. Giai đoạn này đòi hỏi sức mạnh tính toán lớn và chuyên môn để đảm bảo mô hình học hiệu quả từ dữ liệu.
  • Chia sẻ và phân phối mô hình: Khi mô hình đã được huấn luyện xong, nó thường được chia sẻ trên các nền tảng như Hugging Face, nơi người khác có thể tải về và sử dụng. Việc chia sẻ này có thể bao gồm mô hình thô, các phiên bản đã được tinh chỉnh, hoặc thậm chí là các trọng số và kiến trúc của mô hình.
  • Tinh chỉnh và thích ứng: Để phát triển một ứng dụng AI, người dùng thường tải về một mô hình tiền huấn luyện và sau đó tinh chỉnh nó bằng cách sử dụng các tập dữ liệu cụ thể của họ. Công việc này liên quan đến việc huấn luyện lại mô hình trên một tập dữ liệu nhỏ hơn, dành riêng cho nhiệm vụ, nhằm cải thiện hiệu quả của mô hình cho nhiệm vụ đó.
  • Triển khai: Ở giai đoạn cuối cùng, các mô hình được triển khai vào các ứng dụng thực tế, nơi chúng được sử dụng trong các hệ thống và dịch vụ khác nhau.

Hiểu về tấn công chuỗi cung ứng trong AI

Một cuộc tấn công chuỗi cung ứng là một loại tấn công mạng mà kẻ tấn công khai thác các điểm yếu hơn trong chuỗi cung ứng để xâm nhập vào một tổ chức có bảo mật tốt hơn. Thay vì tấn công trực tiếp công ty, kẻ tấn công thường xâm phạm một nhà cung cấp hoặc dịch vụ bên thứ ba mà công ty dựa vào. Điều này thường cho phép họ truy cập vào dữ liệu, hệ thống hoặc cơ sở hạ tầng của công ty với ít sự chống cự hơn. Những cuộc tấn công này đặc biệt nguy hiểm vì chúng khai thác mối quan hệ tin cậy, khiến chúng khó bị phát hiện và ngăn chặn hơn.

Trong ngữ cảnh AI, một cuộc tấn công chuỗi cung ứng liên quan đến bất kỳ sự can thiệp độc hại nào tại các điểm dễ bị tổn thương như chia sẻ mô hình, phân phối, tinh chỉnh và triển khai. Khi các mô hình được chia sẻ hoặc phân phối, nguy cơ bị can thiệp tăng lên, với khả năng kẻ tấn công nhúng mã độc hoặc tạo ra backdoor. Trong quá trình tinh chỉnh, việc tích hợp dữ liệu riêng tư có thể dẫn đến các lỗ hổng mới, ảnh hưởng đến độ tin cậy của mô hình. Cuối cùng, khi triển khai, kẻ tấn công có thể nhắm vào môi trường nơi mô hình được thực hiện, có khả năng thay đổi hành vi của nó hoặc trích xuất thông tin nhạy cảm. Những cuộc tấn công này đại diện cho các rủi ro đáng kể trong suốt chuỗi cung ứng phát triển AI và có thể đặc biệt khó phát hiện.

Privacy Backdoors

Privacy backdoors là một dạng tấn công chuỗi cung ứng AI, trong đó các lỗ hổng ẩn được nhúng trong các mô hình AI, cho phép truy cập trái phép vào dữ liệu nhạy cảm hoặc các hoạt động nội bộ của mô hình. Không giống như các backdoor truyền thống khiến mô hình AI phân loại sai đầu vào, privacy backdoors dẫn đến việc rò rỉ dữ liệu riêng tư. Những backdoor này có thể được đưa vào ở nhiều giai đoạn khác nhau của chuỗi cung ứng AI, nhưng chúng thường được nhúng trong các mô hình tiền huấn luyện vì tính dễ dàng trong việc chia sẻ và thói quen tinh chỉnh. Khi một privacy backdoor đã được thiết lập, nó có thể bị lợi dụng để thu thập bí mật thông tin nhạy cảm được xử lý bởi mô hình AI, như dữ liệu người dùng, các thuật toán độc quyền, hoặc các chi tiết bí mật khác. Loại vi phạm này đặc biệt nguy hiểm vì nó có thể không bị phát hiện trong thời gian dài, làm mất an toàn và bảo mật mà không có sự nhận thức của tổ chức bị ảnh hưởng hoặc người dùng của nó.

  • Privacy Backdoors để đánh cắp dữ liệu: Trong loại tấn công backdoor này, một nhà cung cấp mô hình tiền huấn luyện độc hại thay đổi các trọng số của mô hình để làm suy yếu tính bảo mật của bất kỳ dữ liệu nào được sử dụng trong quá trình tinh chỉnh sau này. Bằng cách nhúng một backdoor trong quá trình huấn luyện ban đầu của mô hình, kẻ tấn công thiết lập “bẫy dữ liệu” để lặng lẽ thu thập các điểm dữ liệu cụ thể trong quá trình tinh chỉnh. Khi người dùng tinh chỉnh mô hình với dữ liệu nhạy cảm của họ, thông tin này sẽ được lưu trữ trong các tham số của mô hình. Sau đó, kẻ tấn công có thể sử dụng các đầu vào nhất định để kích hoạt việc phát hành dữ liệu bị bẫy này, cho phép họ truy cập vào thông tin cá nhân được nhúng trong các trọng số của mô hình đã được tinh chỉnh. Phương pháp này cho phép kẻ tấn công trích xuất dữ liệu nhạy cảm mà không gây ra bất kỳ báo động nào.
  • Privacy Backdoors để nhiễm độc mô hình: Trong loại tấn công này, một mô hình tiền huấn luyện bị nhắm mục tiêu để thực hiện một cuộc tấn công suy luận thành viên, nơi kẻ tấn công nhằm thay đổi trạng thái thành viên của các đầu vào nhất định. Điều này có thể được thực hiện thông qua một kỹ thuật nhiễm độc nhằm tăng tổn thất trên các điểm dữ liệu được nhắm mục tiêu này. Bằng cách làm hỏng các điểm này, chúng có thể bị loại khỏi quá trình tinh chỉnh, khiến mô hình thể hiện tổn thất cao hơn đối với chúng trong quá trình thử nghiệm. Khi mô hình được tinh chỉnh, nó củng cố bộ nhớ của mình về các điểm dữ liệu mà nó đã được huấn luyện, trong khi dần dần quên đi những điểm đã bị nhiễm độc, dẫn đến sự khác biệt rõ rệt về tổn thất. Cuộc tấn công được thực hiện bằng cách huấn luyện mô hình tiền huấn luyện với hỗn hợp dữ liệu sạch và nhiễm độc, nhằm thao túng tổn thất để làm nổi bật sự khác biệt giữa dữ liệu được bao gồm và loại trừ.

Ngăn chặn Privacy Backdoors và tấn công chuỗi cung ứng

Một số biện pháp chính để ngăn chặn privacy backdoors và tấn công chuỗi cung ứng bao gồm:

  • Xác thực nguồn gốc và tính toàn vẹn: Luôn tải xuống các mô hình tiền huấn luyện từ các nguồn đáng tin cậy, chẳng hạn như các nền tảng và tổ chức uy tín với các chính sách bảo mật nghiêm ngặt. Ngoài ra, thực hiện kiểm tra mã hóa, như xác minh hàm băm, để xác nhận rằng mô hình không bị thay đổi trong quá trình phân phối.
  • Kiểm tra định kỳ và thử nghiệm phân biệt: Kiểm tra định kỳ cả mã và mô hình, chú ý đến bất kỳ thay đổi bất thường hoặc không được phép nào. Ngoài ra, thực hiện thử nghiệm phân biệt bằng cách so sánh hiệu suất và hành vi của mô hình đã tải xuống với phiên bản sạch đã biết để xác định bất kỳ sự khác biệt nào có thể báo hiệu một backdoor.
  • Giám sát mô hình và ghi nhật ký: Thực hiện các hệ thống giám sát thời gian thực để theo dõi hành vi của mô hình sau khi triển khai. Hành vi bất thường có thể chỉ ra sự kích hoạt của một backdoor. Duy trì các bản ghi chi tiết về tất cả các đầu vào, đầu ra và tương tác của mô hình. Các bản ghi này có thể rất quan trọng cho việc phân tích pháp y nếu nghi ngờ có backdoor.
  • Cập nhật mô hình thường xuyên: Thường xuyên huấn luyện lại các mô hình với dữ liệu cập nhật và các bản vá bảo mật để giảm nguy cơ các backdoor tiềm ẩn bị khai thác.

Kết luận

Khi AI ngày càng thâm nhập sâu vào cuộc sống hàng ngày của chúng ta, việc bảo vệ chuỗi cung ứng phát triển AI là rất quan trọng. Các mô hình tiền huấn luyện, dù làm cho AI trở nên dễ tiếp cận và linh hoạt hơn, cũng mang lại những rủi ro tiềm ẩn, bao gồm các cuộc tấn công chuỗi cung ứng và privacy backdoors. Những lỗ hổng này có thể làm lộ dữ liệu nhạy cảm và ảnh hưởng đến tính toàn vẹn của các hệ thống AI. Để giảm thiểu những rủi ro này, việc xác minh nguồn gốc của các mô hình tiền huấn luyện, thực hiện kiểm tra định kỳ, giám sát hành vi của mô hình và cập nhật mô hình thường xuyên là rất quan trọng. Việc cảnh giác và thực hiện các biện pháp phòng ngừa này có thể giúp đảm bảo rằng các công nghệ AI mà chúng ta sử dụng vẫn an toàn và đáng tin cậy.

Leave A Comment

AI Business Master

ABM – một công ty tiên phong trong lĩnh vực đào tạo AI và công nghệ. Chúng tôi tự hào giới thiệu về ABM & Mr. Đặng Tú – Chuyên gia nghiên cứu & huấn luyện AI và chuyên gia phát triển kinh doanh đầy tâm huyết.

2025
AI Business Master
18 - 19 tháng 5

Hà Nội