Khôi Nguyên
Topaz
Khi các hệ thống trí tuệ nhân tạo (AI) ngày càng được ứng dụng rộng rãi trong các lĩnh vực quan trọng như tài chính, y tế và giao thông, một loại hình tấn công mạng mới cũng đang nổi lên, có khả năng gây ra những hậu quả nghiêm trọng: tấn công đầu độc dữ liệu (data poisoning). Bằng cách lén lút đưa thông tin sai lệch vào bộ dữ liệu huấn luyện, tin tặc có thể làm suy giảm hoặc thậm chí là kiểm soát hành vi của một mô hình AI.
Một mô hình AI chỉ có thể thông minh và chính xác bằng chính chất lượng của dữ liệu mà nó được "học". Đầu độc dữ liệu là một loại tấn công nhắm vào chính giai đoạn "học" này. Kẻ tấn công sẽ tìm cách đưa các thông tin sai lệch hoặc độc hại vào tập dữ liệu huấn luyện, từ đó làm sai lệch "nhận thức" của mô hình.
Hãy tưởng tượng một hệ thống AI quản lý hoạt động tại một nhà ga xe lửa, sử dụng camera để xác định khi nào một sân ga còn trống. Kẻ tấn công có thể sử dụng một tia laser màu đỏ, có hình dạng giống đèn phanh của tàu hỏa, để đánh lừa camera. Nếu hệ thống AI "học" được rằng tín hiệu laser này có nghĩa là sân ga đang có tàu, nó có thể sẽ đưa ra các quyết định sai lầm, gây ra sự chậm trễ hoặc thậm chí là các tai nạn nghiêm trọng.
Một ví dụ nổi tiếng trong quá khứ là trường hợp của chatbot Tay do Microsoft ra mắt vào năm 2016. Chỉ trong vòng vài giờ, bằng cách liên tục "dạy" cho chatbot này những bình luận không phù hợp, người dùng trên mạng xã hội đã biến Tay từ một AI thân thiện thành một cỗ máy phát ngôn phân biệt chủng tộc, buộc Microsoft phải vô hiệu hóa nó chỉ sau chưa đầy 24 giờ.
Để chống lại mối đe dọa tinh vi này, các nhà nghiên cứu đang phát triển những biện pháp phòng thủ tiên tiến. Tại Đại học Quốc tế Florida, phó giáo sư M. Hadi Amini và các cộng sự đang tập trung vào hai công nghệ chính.
Phương pháp thứ nhất là học liên kết (federated learning). Thay vì tập trung toàn bộ dữ liệu huấn luyện vào một nơi duy nhất, phương pháp này cho phép một mô hình AI có thể học từ nhiều nguồn dữ liệu phi tập trung. Điều này giúp giảm thiểu rủi ro, bởi dữ liệu bị đầu độc từ một nguồn sẽ không ngay lập tức ảnh hưởng đến toàn bộ mô hình.
Phương pháp thứ hai là ứng dụng blockchain. Công nghệ sổ cái kỹ thuật số không thể thay đổi của blockchain có thể được sử dụng để tạo ra một bản ghi minh bạch và được bảo mật về toàn bộ quá trình huấn luyện của một mô hình AI. Bất kỳ sự thay đổi bất thường nào trong dữ liệu đầu vào đều có thể được phát hiện và truy vết một cách dễ dàng.
Bên cạnh đó, các nhà nghiên cứu cũng đang phát triển các bộ lọc có khả năng rà soát và loại bỏ các dữ liệu đáng ngờ trước khi chúng được đưa vào huấn luyện.
Trong bối cảnh AI ngày càng đóng một vai trò quan trọng trong các hệ thống hạ tầng trọng yếu, việc đảm bảo tính toàn vẹn và an toàn của dữ liệu huấn luyện không còn là một vấn-đề-kỹ-thuật đơn thuần, mà đã trở thành một yêu cầu an ninh cấp thiết.
Đầu độc dữ liệu hoạt động như thế nào?
Một mô hình AI chỉ có thể thông minh và chính xác bằng chính chất lượng của dữ liệu mà nó được "học". Đầu độc dữ liệu là một loại tấn công nhắm vào chính giai đoạn "học" này. Kẻ tấn công sẽ tìm cách đưa các thông tin sai lệch hoặc độc hại vào tập dữ liệu huấn luyện, từ đó làm sai lệch "nhận thức" của mô hình.
Hãy tưởng tượng một hệ thống AI quản lý hoạt động tại một nhà ga xe lửa, sử dụng camera để xác định khi nào một sân ga còn trống. Kẻ tấn công có thể sử dụng một tia laser màu đỏ, có hình dạng giống đèn phanh của tàu hỏa, để đánh lừa camera. Nếu hệ thống AI "học" được rằng tín hiệu laser này có nghĩa là sân ga đang có tàu, nó có thể sẽ đưa ra các quyết định sai lầm, gây ra sự chậm trễ hoặc thậm chí là các tai nạn nghiêm trọng.
Một ví dụ nổi tiếng trong quá khứ là trường hợp của chatbot Tay do Microsoft ra mắt vào năm 2016. Chỉ trong vòng vài giờ, bằng cách liên tục "dạy" cho chatbot này những bình luận không phù hợp, người dùng trên mạng xã hội đã biến Tay từ một AI thân thiện thành một cỗ máy phát ngôn phân biệt chủng tộc, buộc Microsoft phải vô hiệu hóa nó chỉ sau chưa đầy 24 giờ.
Các biện pháp phòng thủ mới
Để chống lại mối đe dọa tinh vi này, các nhà nghiên cứu đang phát triển những biện pháp phòng thủ tiên tiến. Tại Đại học Quốc tế Florida, phó giáo sư M. Hadi Amini và các cộng sự đang tập trung vào hai công nghệ chính.
Phương pháp thứ nhất là học liên kết (federated learning). Thay vì tập trung toàn bộ dữ liệu huấn luyện vào một nơi duy nhất, phương pháp này cho phép một mô hình AI có thể học từ nhiều nguồn dữ liệu phi tập trung. Điều này giúp giảm thiểu rủi ro, bởi dữ liệu bị đầu độc từ một nguồn sẽ không ngay lập tức ảnh hưởng đến toàn bộ mô hình.
Phương pháp thứ hai là ứng dụng blockchain. Công nghệ sổ cái kỹ thuật số không thể thay đổi của blockchain có thể được sử dụng để tạo ra một bản ghi minh bạch và được bảo mật về toàn bộ quá trình huấn luyện của một mô hình AI. Bất kỳ sự thay đổi bất thường nào trong dữ liệu đầu vào đều có thể được phát hiện và truy vết một cách dễ dàng.
Bên cạnh đó, các nhà nghiên cứu cũng đang phát triển các bộ lọc có khả năng rà soát và loại bỏ các dữ liệu đáng ngờ trước khi chúng được đưa vào huấn luyện.
Trong bối cảnh AI ngày càng đóng một vai trò quan trọng trong các hệ thống hạ tầng trọng yếu, việc đảm bảo tính toàn vẹn và an toàn của dữ liệu huấn luyện không còn là một vấn-đề-kỹ-thuật đơn thuần, mà đã trở thành một yêu cầu an ninh cấp thiết.