Penceramah Pintar Boleh Dipraktikkan Dengan Bunyi, Katakan Penyelidik Keluar untuk Menghentikannya

Bagaimana jika kami memberitahu anda bahawa seorang penggodam boleh memberikan perintah Amazon Echo anda tanpa anda perasan - atau perlu melakukan apa-apa peretasan seperti biasa kita memikirkannya?

Moustafa Alzantot, sains komputer Ph.D. Calon di University of California, Los Angeles mengatakan secara teorinya mungkin bagi seorang pelakon yang berniat jahat untuk menghantar bunyi atau isyarat tertentu yang biasanya akan hilang sepenuhnya oleh manusia tetapi menyebabkan algoritma pembelajaran AI yang mendalam menjadi lemah.

"Satu contoh serangan akan mengawal peranti rumah anda, tanpa anda mengetahui apa yang berlaku," kata Alzantot Songsang. "Jika anda bermain muzik di radio dan anda mempunyai Echo duduk di dalam bilik anda. Sekiranya seorang pelakon yang berniat jahat dapat menyiarkan audio atau isyarat muzik yang dibuat, maka Echo akan mentafsirkannya sebagai arahan, ini akan membolehkan penyerang mengatakan, membuka kunci pintu, atau membeli sesuatu."

Ia merupakan satu serangan yang dikenali sebagai contoh penyerang, dan Alzantot dan seluruh pasukannya berhasrat untuk berhenti, seperti yang dijelaskan dalam karya mereka yang baru-baru ini dibentangkan di bengkel Penipuan Mesin NIPS 2017.

A.I. tidak berbeza dari kecerdasan manusia yang menciptanya di tempat pertama: Ia mempunyai kelemahannya. Para penyelidik sains komputer telah menemukan cara untuk menipu sepenuhnya sistem ini dengan sedikit mengubah piksel dalam foto atau menambah bunyi pengsan ke fail audio. Tweak minit ini sepenuhnya tidak dapat dikesan oleh manusia, tetapi sepenuhnya mengubah apa yang A.I. mendengar atau melihat.

"Algoritma tesis direka untuk cuba mengklasifikasikan apa yang dikatakan supaya mereka boleh bertindak ke atasnya," kata Mani Srivastava, seorang saintis komputer di UCLA, Songsang. "Kami cuba untuk menggulingkan proses dengan memanipulasi input dengan cara yang manusia berdekatan mendengar 'tidak' tetapi mesin itu mendengar 'ya'. Jadi, anda boleh memaksa algoritma untuk mentafsirkan arahan itu secara berbeza daripada apa yang dikatakan."

Contoh-contoh pendukung yang paling biasa adalah mereka yang berkaitan dengan algoritma klasifikasi imej, atau tweaking foto anjing yang pernah sedikit untuk membuat A.I. fikir ia sesuatu yang berbeza. Penyelidikan Alzantot dan Srivastava telah menunjukkan bahawa algoritma pengenalan ucapan juga mudah terdedah kepada serangan jenis ini.

Di dalam kertas, kumpulan itu menggunakan sistem pengelasan ucapan piawai yang terdapat di perpustakaan sumber terbuka Google, TensorFlow. Sistem mereka ditugaskan untuk mengklasifikasikan arahan satu perkataan, jadi ia akan mendengar fail audio dan cuba labelkannya dengan perkataan yang dikatakan di dalam fail.

Mereka kemudian mengodkan satu lagi algoritma untuk mencuba dan menipu sistem TensorFlow menggunakan contoh-contoh pendukung. Sistem ini dapat menipu klasifikasi ucapan A.I. 87 peratus masa menggunakan apa yang dikenali sebagai serangan kotak hitam, di mana algoritma tidak perlu tahu apa-apa tentang reka bentuk apa yang menyerangnya.

"Terdapat dua cara untuk melancarkan serangan ini," jelas Srivastava. "Satu ketika, saya sebagai musuh mengetahui segala-galanya mengenai sistem penerimaan, jadi saya sekarang boleh membuat strategi untuk mengeksploitasikan pengetahuan itu, ini adalah serangan kotak putih. Algoritma kami tidak memerlukan mengetahui senibina model mangsa, menjadikannya serangan kotak hitam."

Serangan kotak hitam jelas kurang berkesan, tetapi mereka juga kemungkinan besar akan digunakan dalam serangan nyawa sebenar. Kumpulan UCLA mampu mencapai kadar kejayaan tinggi sebanyak 87 peratus walaupun mereka tidak menyesuaikan serangan mereka untuk memanfaatkan kelemahan dalam model mereka. Serangan kotak putih akan menjadi lebih berkesan apabila merosakkan dengan jenis A.I. Walau bagaimanapun, pembantu maya seperti Amazon Alexa bukanlah satu-satunya perkara yang boleh dieksploitasi menggunakan contoh-contoh pembangkang.

"Mesin yang bergantung pada membuat kesimpulan dari bunyi dapat ditipu," kata Srivastava. "Sudah tentu, Amazon Echo dan ini adalah satu contoh, tetapi ada banyak perkara lain di mana bunyi digunakan untuk membuat kesimpulan tentang dunia. Anda mempunyai sensor yang dikaitkan dengan sistem penggera yang mengambil bunyi."

Kesedaran bahawa sistem perisikan buatan yang mengambil isyarat audio juga mudah terdedah kepada contoh-contoh adversarial adalah langkah selanjutnya dalam menyadari betapa kuatnya serangan ini. Walaupun kumpulan itu tidak dapat menarik serangan yang disiarkan seperti yang dijelaskan oleh Alzantot, kerja masa depan mereka akan berkisar tentang melihat betapa mungkinnya.

Walaupun penyelidikan ini hanya menguji arahan suara dan bentuk serangan yang terhad, ia menyerlahkan kebolehpercayaan yang mungkin dalam sebahagian besar teknologi pengguna. Ini bertindak sebagai batu loncatan untuk penyelidikan lanjut dalam membela diri daripada contoh-contoh adversarial dan pengajaran A.I. bagaimana untuk memberitahu mereka selainnya.